Votre environnement informatique est-il suffisamment sécurisé ?
Evaluez gratuitement votre niveau de sécurité sur la base de 25 questions.
1. Les collaborateurs peuvent-ils accéder sans aucune restriction au réseau de l'entreprise au moyen de leur propre appareil (smartphone, ordinateur...) ?
Notre conseil : Établissez des restrictions en matière d'accès au réseau de l'entreprise. Il n'est p. ex. pas nécessaire que votre employé puisse se connecter en dehors des heures de bureau (sauf s'il se trouve dans un fuseau horaire différent du vôtre). Exigez également l'utilisation d'un RPV et interdisez l'utilisation de connexions Wi-Fi non sécurisées, comme p. ex. celles proposées dans les cafés.
2. Les collaborateurs peuvent-ils utiliser leurs appareils professionnels (smartphone, ordinateur, etc.) sur le réseau de l'entreprise sans restrictions ?
Notre conseil : Établissez des restrictions en matière d'accès. L'utilisation d'une procédure de connexion sécurisée reste importante : sécurité avec un mot de passe pour un ordinateur de bureau, et avec une double authentification (2FA) pour un smartphone ou un ordinateur portable. Si vous travaillez avec Microsoft 365, attribuez des rôles à vos collaborateurs pour déterminer les documents auxquels certaines catégories de collaborateurs ont accès.
3. Les appareils mobiles de vos collaborateurs (smartphones, tablettes) sont-ils gérés au moyen d'un système de gestion d'appareils ?
Notre conseil: Les systèmes de gestion d'appareils sont principalement utilisés par les grandes entreprises, mais ils sont également recommandés pour les PME. Votre service informatique peut utiliser ce logiciel pour surveiller, gérer et sécuriser les appareils mobiles de vos collaborateurs. La gestion des appareils mobiles (GAM) n'est qu'une seule des nombreuses facettes de la gestion de la mobilité en entreprise (GME), qui ne concerne pas seulement les appareils mêmes, mais aussi la gestion des applications et des contenus. Ce logiciel permet également de travailler en toute sécurité avec des appareils mobiles.
4. Vos appareils professionnels peuvent-ils être gérés à distance ? (p. ex. pour supprimer un ordinateur portable ou un smartphone)
Notre conseil : Lorsqu'un appareil (professionnel) est volé ou perdu, et qu'il n'est pas suffisamment sécurisé au moyen d'un code d'accès, la personne qui l'a trouvé ou volé a accès aux données de votre entreprise. Si le système d'exploitation de l'appareil ne permet pas la gestion à distance, installez un logiciel supplémentaire qui permet d'utiliser cette fonction. Vous pourrez ainsi supprimer à distance un ordinateur portable Windows, un iPhone, un iPad ou un appareil fonctionnant sous Android.
5. Les appareils professionnels sont-ils tous équipés d'un antivirus ?
Notre conseil : Un antivirus reste un élément essentiel de votre sécurité. Il suffit en effet d'un seul collaborateur distrait qui clique par mégarde sur un lien infecté pour causer de très sérieux problèmes ! Le système d'exploitation Windows inclut déjà un antivirus intégré, mais la plupart des logiciels antivirus (payants) offrent tout de même une plus grande sécurité. Assurez-vous que l'antivirus bénéficie de mises à jour automatiques !
6. Désactivez-vous les mises à jour automatiques sur vos appareils professionnels, afin de d'abord pouvoir tester si les mises à jour n'entrent pas en conflit avec vos applications professionnelles ?
Notre conseil : Activez les mises à jour automatiques sur tous les ordinateurs portables et de bureau de votre parc d'ordinateurs. Certains smartphones et certaines tablettes ne reçoivent plus de mises à jour, soit parce que le fabricant n'en déploie pas, soit parce que les appareils sont si vieux que les mises à jour ne sont carrément plus possibles. Ne laissez pas les choses aller aussi loin, et investissez plutôt dans un nouvel appareil, car un piratage ou une fuite de données pourrait vous coûter beaucoup plus cher !
7. Les disques durs des appareils professionnels sont-ils chiffrés ?
Notre conseil : Un disque dur chiffré rend l'accès à vos fichiers plus difficile pour les intrus. Le premier chiffrement de vos données prendra un certain temps, mais après cela, vous pourrez travailler sur vos fichiers sans perte de performance. Le chiffrement est recommandé, surtout pour les appareils mobiles, afin d'éviter que vos données puissent tomber entre de mauvaises mains.
8. Laissez-vous à vos employés la liberté de verrouiller automatiquement leur appareil ou non ?
Notre conseil : Bien sûr, il est plus facile pour vos collaborateurs de ne pas avoir à se reconnecter à chaque fois à leur poste de travail fixe ou leur appareil mobile après une période d'inactivité. Mais cela est également beaucoup plus dangereux pour vos données professionnelles. Utilisez donc une politique de verrouillage. Obligez vos employés à verrouiller leur appareil mobile, lequel ne pourra ensuite être déverrouillé qu'au moyen d'un code d'accès, d'une reconnaissance faciale ou d'autres informations biométriques. Pour les ordinateurs de bureau et les ordinateurs portables, vous pouvez utiliser la Stratégie de Groupe (Windows 10 ou Mac) pour définir le verrouillage.
9. Existe-t-il des règles spécifiques concernant les mots de passe au sein de votre entreprise ? (p. ex. longueur, caractères spéciaux, changement régulier, etc.)
Notre conseil : Exigez de vos collaborateurs qu'ils utilisent un mot de passe sûr. Utilisez un minimum de 8 caractères, mais plus, c'est encore mieux. Il faut également au moins un caractère spécial, une combinaison de lettres majuscules et minuscules et un chiffre. Il n'est plus recommandé d'obliger vos collaborateurs à changer leur mot de passe régulièrement. Cela les inciterait en effet à utiliser le même mot de passe pour différents services.
10. Laissez-vous à vos collaborateurs la liberté d'utiliser un gestionnaire de mots de passe ou non ?
Notre conseil : Plus le mot de passe est sûr, plus votre collaborateur aura du mal à s'en souvenir - et plus vite il laissera les choses aller. Un gestionnaire de mots de passe apporte donc la solution idéale, puisque votre collaborateur n'a plus qu'à se souvenir d'un seul mot de passe sûr pour que l'outil récupère dans sa base de données les mots de passe nécessaires pour les différents comptes. Les gestionnaires de mots de passe sont disponibles sous forme d'add-ons pour les navigateurs et sous forme d'applications pour les appareils mobiles. Exiger l'utilisation d'un gestionnaire de mots de passe est une sage décision.
11. Vos collaborateurs peuvent-ils se connecter à des sites cruciaux sans utiliser la double authentification ?
Notre conseil : La double authentification ou, en anglais, two-factor authentication (2FA) ajoute une étape supplémentaire au processus de connexion. En plus du nom d'utilisateur et du mot de passe, un code temporaire unique est également créé et envoyé à votre collaborateur par SMS ou via une application. Veillez à utiliser la 2FA pour les connexions critiques, et conseillez à vos collaborateurs de l'utiliser partout où elle est proposée (réseaux sociaux, e-mail, etc.).
12. Vos collaborateurs utilisent-ils SSO (single-sign-on) ou Microsoft Hello pour se connecter ?
Notre conseil : SSO et Windows Hello sont des solutions alternatives pour permettre à vos collaborateurs de se connecter. Avec une solution SSO, votre collaborateur ne doit se connecter qu'une seule fois au logiciel même, après quoi ce dernier remplit automatiquement tous les identifiants pour les différents services que votre collaborateur ouvre par la suite. Microsoft Hello est quant à lui un protocole spécifique pour les appareils Windows, grâce auquel la connexion repose sur des informations biométriques (reconnaissance faciale, empreinte digitale) ou d'autres types d'informations (code PIN, clé de sécurité, mot de passe, mot de passe avec image). Le grand avantage de SSO, Microsoft Hello et les gestionnaires de mots de passe est qu'ils empêchent la fatigue des mots de passe.
13. L'accès aux données professionnelles est-il limité en fonction des règles de conformité ? (Vos collaborateurs doivent p. ex. utiliser une connexion RPV pour se connecter au réseau de l'entreprise depuis leur domicile)
Notre conseil : Définissez une politique claire expliquant les règles que vos employés doivent suivre pour se connecter au réseau de l'entreprise, et concluez des accords clairs en matière de télétravail. L'utilisation d'un RPV (un tunnel sécurisé entre l'ordinateur personnel et le réseau de l'entreprise) est recommandée, et vous pouvez p. ex. interdire toute connexion à partir d'un réseau Wi-Fi non sécurisé.
14. Existe-t-il un cadre clair pour déterminer qui a des droits d'administrateur et qui n'en a pas ? (Par exemple, au niveau de l'accès au serveur Git, au logiciel de gestion des services d'assistance ou à l'environnement cloud).
Notre conseil : En collaboration avec vos départements RH et informatique, déterminez un cadre clair définissant les rôles et les droits attribués à chaque fonction. Dans Microsoft 365, vous pouvez définir ces rôles de façon très détaillée. Vous pouvez toutefois aussi créer des comptes d'utilisateur ordinaires pour ces collaborateurs et insister pour qu'ils ne se connectent en tant qu'administrateur que pour les tâches qui le requièrent. Cela permet de réduire les risques d'erreurs de distraction.
15. Avez-vous programmé des alarmes prévenant d'actions inhabituelles avec les données de l'entreprise ? (Par exemple la récupération de données de l'entreprise depuis un endroit inconnu)
Notre conseil : Il s'agit d'une protection supplémentaire contre la violation des données, qui permet (grâce aux journaux du trafic de données) de détecter toute manipulation inhabituelle. Pour ce faire, vous pouvez utiliser un logiciel qui vous avertit automatiquement par le biais d'une alerte. Avec Microsoft 365, vous pouvez configurer vous-même ces alertes dans le Centre de Sécurité & Conformité. Veillez toutefois à ne pas aller trop loin dans la surveillance de vos collaborateurs - pensez à leur vie privée !
16. Consignez-vous les événements importants concernant des collaborateurs, par exemple lorsque quelqu'un modifie des droits ?
Notre conseil : Les fichiers journaux relatifs à la gestion des droits d'un certain logiciel sont généralement créés automatiquement dans cette application. Ils peuvent constituer un outil très utile lorsqu'une activité suspecte est détectée. Avec Microsoft 365, vous pouvez simplement récupérer ces fichiers journaux et les trier par date, par personne, etc.
17. Avez-vous défini une politique claire sur la manière de supprimer l'accès lorsqu'un collègue est licencié (politique de départ d'un employé) ?
Notre conseil : En collaboration avec votre département RH, veillez à élaborer une procédure claire concernant ce qui doit se passer lorsqu'un employé démissionne ou est licencié. Les informations doivent être transmises en temps utile par le département des ressources humaines, et les mesures prises par le département informatique doivent porter sur la totalité des aspects concernés : suppression de l'accès au réseau de l'entreprise, redistribution des tâches et des documents sur lesquels la personne travaillait, etc. Vous pouvez aussi, par exemple, décider de conserver la boîte mail (sans accès possible pour l'ex-employé, bien sûr) et de la transformer en boîte de groupe afin que les messages restent accessibles.
18. Êtes-vous certain que vos employés s'informent eux-mêmes sur les dangers liés au fait d'ouvrir des pièces jointes ou de cliquer sur des liens contenus dans des e-mails suspects ?
Notre conseil : Veillez à ce que vos employés soient vigilants ! Organisez régulièrement des ateliers pour discuter des derniers dangers qui menacent votre sécurité. Passez en revue quelques incidents de sécurité récents qui ont fait la une de la presse mondiale et où, comme c'est souvent le cas, l'imprudence a été la cause du problème. Et n'oubliez pas que le management de votre entreprise doit lui aussi être régulièrement prévenu des dangers qui le guettent !
19. Vos collaborateurs sont-ils informés des risques liés à l'ingénierie sociale ou aux fausses factures ?
Notre conseil : Les virus et les logiciels malveillants ne sont pas les seuls à constituer une menace ; le phishing est tout aussi inquiétant. Expliquez à vos collaborateurs que la discrétion est primordiale, y compris sur les réseaux sociaux. Les hackers y recherchent en effet des données personnelles qui leur permettent ensuite de se faire passer pour un ami ou un collègue dans le cadre d'une attaque de phishing ciblée (spear-phishing). Faites bien comprendre à vos employés qu'en cas de doute, ils doivent absolument prendre leur téléphone et appeler la personne qui leur a envoyé un e-mail ou un message Whatsapp. Votre collaborateur a-t-il soudainement reçu une demande de paiement d'un fournisseur sur un autre compte bancaire ? Une fois de plus, nous vous conseillons d'appeler cette société, non pas au numéro indiqué sur la facture, mais au numéro figurant dans ses propres coordonnées.
20. Votre entreprise effectue-t-elle systématiquement des sauvegardes de vos données cruciales ?
Notre conseil : Les sauvegardes vous protègent contre la perte et/ou le vol de données. Le message est donc clair : il faut absolument faire des sauvegardes régulières. Mais il faut aussi vérifier si la qualité des sauvegardes est suffisante. Il est préférable de réfléchir à une stratégie de sauvegarde pour l'ensemble de votre entreprise et d'automatiser autant que possible ce processus, de manière à ce qu'un oubli ne puisse entraîner aucune perte de données. Avez-vous choisi d'héberger votre site web ou votre application chez Combell ? Dans ce cas, Combell effectuera ces sauvegardes pour vous. Et vous pourrez les restaurer très facilement via votre panneau de contrôle.
21. Conservez-vous vos sauvegardes en lieu sûr dans votre propre entreprise ?
Notre conseil : Ne conservez pas les sauvegardes au sein même de votre entreprise. En cas de sinistre, comme p. ex. un incendie, il y a en effet de fortes chances que votre sauvegarde soit également perdue. Les sauvegardes hors site offrent également une protection contre les cyberattaques, comme celles impliquant l'utilisation de rançongiciels. Si les activités de votre entreprise sont entravées par des hackers, une sauvegarde externe est parfois la seule chose qui puisse leur échapper. Une sauvegarde dans le cloud est vivement recommandée. Combell conserve les sauvegardes sur des serveurs dans un centre de données hypermoderne, qui est hautement sécurisé, tant au niveau physique que numérique.
22. Avez-vous activé des systèmes de sécurité avancés tels que la détection des intrusions ou des gestionnaires de journaux d'événements avec protection des données intégrée ?
Notre conseil :Si vous voulez être totalement sûr de n'avoir rien à craindre, utilisez des logiciels ou des services avancés conçus pour détecter à temps toute menace éventuelle. Un système de détection d'intrusion (IDS) est un appareil ou une application qui surveille le réseau afin de détecter toute activité illicite ou toute violation de la politique de sécurité. Ces violations sont ensuite centralisées par le biais d'un système de gestion de l'information et des événements de sécurité (SIEM). Un gestionnaire de journal d'événements vous permettra ensuite d'analyser les informations collectées par le SIEM.
23. Avez-vous prévu une feuille de route pour faire face aux attaques DDoS, au hacking ou au plantage d'un serveur critique pour votre entreprise ?
Notre conseil : Tout comme vous avez des plans d'évacuation pour être prêt à faire face à un éventuel incendie dans votre entreprise, vous devez aussi avoir une feuille de route ou un plan d'action qui définit clairement comment réagir en cas de sinistre numérique. Votre propre département informatique joue certes un rôle essentiel dans ce contexte, mais l'hébergeur de votre site web ou de votre application est lui aussi un acteur de premier plan à cet égard. Concluez donc des accords clairs : demandez quelles sont les mesures de sécurité prises par cette entreprise et quelles garanties elle est en mesure d'offrir dans un contrat de niveau de service (CNS) pour que votre application ou votre site web puisse redevenir opérationnel le plus rapidement possible en cas de problème. Combell, par exemple, garantit d'office une disponibilité de 99,999 % !
24. Comptez-vous que les filtres des clients de messagerie individuels de vos collaborateurs fonctionnent de manière efficace sans solutions de sécurité pour le trafic mail au niveau de votre entreprise ? (p. ex. un filtre anti-spam)
Notre conseil : Vous pouvez éviter de nombreux de tracas en filtrant les messages électroniques avant que ceux-ci n'atteignent les boîtes mail de vos collaborateurs. Les filtres anti-spam peuvent être paramétrés au niveau du fournisseur mail ou être ajustés dans le client de messagerie de vos collaborateurs. Dans Microsoft 365, vous pouvez vous-même définir la politique anti-spam d'Exchange Online Protection dans le Centre de Sécurité & Conformité. Le blocage automatique des spams permet non seulement de renforcer la sécurité, mais aussi de booster la productivité !
25. La sécurité de l'accès physique au bâtiment de votre entreprise, avec par exemple un système de badges, une alarme ou autre, est-elle moins importante à vos yeux ?
Notre conseil : Les menaces pour la sécurité des données de votre entreprise ne se limitent pas au domaine du numérique, avec des hackers ou des fuites de données – votre bureau doit lui aussi être protégé sur le plan physique. Les intrus peuvent en effet causer beaucoup de dégâts à votre matériel, mais une alarme devrait tout au moins les dissuader. Un contrôle d'accès par badges vous permet de déterminer, par bureau ou département de votre bâtiment, quels membres du personnel sont autorisés à y accéder. Ainsi, vous pourrez garder les personnes non autorisées à l'extérieur.
Voulez-vous mieux sécuriser votre environnement informatique ? Discutons-en !
Laissez-nous vos coordonnées et nous vous contacterons pour un entretien sans obligation
0800-8-5678
Actuellement disponible
sales@combell.com