Sécurité des systèmes informatiques

Sécurité des systèmes informatiquesLa mise en sécurité des systèmes d’information des collectivités devient de plus en plus importante. Lors de mes nombreuses interventions dans ce milieu (ma spécialité), j’ai découvert de réelles lacunes qui pour certaines pourraient mettre en difficulté certaines structures publiques tant sur un plan juridique qu’informatique.

Mot de passe des applications métiers connu de tous, les codes d’accès aux divers sites confidentiels collés sur l’écran, le non suivi des mise à jour antivirus et système, l’absence de sauvegarde et j’en passe. Les risques sont réels et il est important d’en être conscient afin de parer à toute éventualité. De la « simple » lacune légale, en passant par la « petite » indiscrétion jusqu’au risque de perte globale des données, aucun point n’est à négliger.

  • Mots de passe des applications métiers :
    Tous ces codes doivent rester confidentiels même entre collègues. N’oublions pas que la comptable n’a pas à avoir l’accès à l’état-civil et inversement par exemple. De plus une même clef ouvre toutes les portes (applications) de la collectivité. Il est donc important que chacun ait ses propres identifiants et encore plus le stagiaire de passage.
  • Accès aux sites « confidentiels » :
    De plus en plus de démarches se font via internet et nécessitent des accès autorisés. La mémorisation des logins est à proscrire. N’importe qui pourrait les utiliser en utilisant l’unique profil (généralement) utilisateur présent sur le poste informatique. De plus des logiciels malveillant pourrait s’en emparer.
  • Protection des certificats :
    Les certificats numériques utilisés dans le cadres d’accès distant (Portail DGFIP par ex.) et pour la signature électronique doivent être protégés par mots de passe. En effet, trop souvent, il est possible de récupérer les certificats par une simple copie sur le poste de l’utilisateur. Son exportation ne doit pas être possible.
  • Complexité des mots de passe :
    Si les identifiants des utilisateurs sont souvent simples à mémoriser (le nom, le prénom…), les mots de passe eux doivent être complexes. Un mélange de 8 caractères alphanumériques avec majuscules et minuscules qui ne veulent rien dire (aléatoire est le mieux) est d’un bon niveau de sécurité. On évitera le nom du petit dernier, la date de naissance du conjoint… trop souvent rencontrés. Un renouvellement régulier de ceux-ci sera le bienvenu sur les domaines sensibles et lorsqu’il s’agit d’accès distants.
  • Mise à jour :
    La mise à jour des systèmes est une étape importante. En effet, nombreuses sont les failles de sécurité comblées grâce au updates et ce quelque soit le système (windows, linux, mac…) Parmi les mises à jour importantes, n’oublions pas celles des suites anti-virus quand les licences n’ont pas expirées !
  • Sauvegarde :
    Que doit-on sauvegarder comme données est la première question à se poser. Quelles données seraient manquantes en cas de disparition du système ? Les supports doivent être sécurisés, les fichiers ne doivent pas être lisibles directement, n’oublions pas qu’il y a des données confidentielles de police, d’état-civil… La multiplication est une bonne chose si elle est organisée. La bande quotidienne associée à une télésauvegarde hebdomadaire reste un bon compromis si les bandes sont stockées à l’extérieur en cas de sinistre. Mettre une sauvegarde en place c’est très bien mais il faut vérifier son efficacité.
  • Formation :
    Encore trop souvent, les utilisateurs ne comprennent pas tout le fonctionnement des systèmes. A quoi sert le certificat, quand suis-je sur un site sécurisé, que puis-je dire par mail ? Tous ces points doivent être abordés lors de formations régulières afin d’être rassuré d’une part mais aussi savoir utiliser ses outils. Les technologies évoluent mais les utilisateurs subissent trop souvent sans savoir ni pourquoi ni comment.

 

Les données en sécuritéQuand on observe tous ces aspects, on s’aperçoit qu’il y a une réelle réflexion à avoir. Il faut donc imaginer les différents scénarios réalistes (vol, panne, intrusion…) et évaluer les risques. Définir qui doit avoir accès à quelles informations et mettre en place une politique de mots de passe. Enfin, avoir un suivi sérieux des systèmes et des sauvegardes efficaces.

Se faire accompagner par un spécialiste reste une bonne idée. Mais il est important de vérifier d’où il vient, ses compétences, ses références afin d’avoir les conseils les plus adaptés. Une politique trop sécuritaire risque d’aboutir à l’effet inverse de par sa difficulté d’application.

2 comments on “Sécurité des systèmes informatiques

  1. Vous présentez ici de bonnes habitudes mais elles sont difficilement applicables. Un mot de passe de 8 caractères à mémoriser c’est pas ce qu’il y a de plus simple. Comment faire pour qu’il soit mémorisables et restent confidentiels ? C’est pas joué !

  2. Une solution assez répandue consiste à prendre une phrase et a en extraire les initiales et les chiffres. Par exemple « Il était 1 fois, les 7 nains travailleurs » qui donne « iE1fL7nT » en alternant minuscules/majuscules.

    Pour éviter la divulgation des mots de passe, une information « officielle » et une sensibilisation à la sécurité reste une bonne solution.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>