Vers une stratégie globale de sécurité Internet pour les PME

Par David Kelleher, chargé d’études chez GFI Software

Grâce au Web, les employés des petites et moyennes entreprises communiquent, collaborent et réussissent. Ce media non protégé, systématiquement utilisé, est crucial pour la productivité d’une entreprise.

Dans le même temps, sa popularité en fait le premier vecteur de menaces.
Bien qu’ils restent des composants critiques et efficaces, le pare-feu, l’antivirus et les autres outils de protection fondés sur les signatures ne sont aujourd’hui pas suffisants pour contrer les nouvelles attaques, surtout celles provenant du Web 2.0. La gestion du Web 2.0 est bien plus compliquée et ambitieuse parce que ces services sont gratuits et ouverts. Les employés peuvent utiliser des comptes de messagerie, des réseaux sociaux, des réseaux peer-to-peer et télécharger des fichiers. Les fichiers téléchargés peuvent alors être transférés vers un appareil mobile, et ensuite être visionnés sur les ordinateurs de l’entreprise où les menaces pourront se propager.

De nombreuses PME estiment qu’elles sont suffisamment protégées pour prévenir les attaques du Web, d’autant qu’elles doivent gérer plus de risques avec moins de ressources. Cependant, les menaces actuelles exigent d’implémenter une protection multi-couche – protection dans le nuage, sur la passerelle Internet, sur l’ensemble des serveurs du réseau et sur le poste client. L’alternative qui consiste à se munir de solutions ponctuelles pour réagir à chaque menace, bien qu’économique, s’avère plus complexe et mène à des coûts d’exploitation très élevés.
Mais la défense la plus importante, et peut-être la plus difficile à atteindre, est de former les utilisateurs comme un élément d’une stratégie globale de sécurité.

D’abord la formation de l’utilisateur !

Ne pas former les utilisateurs serait un peu comme ne pas apprendre au soldat à se servir de son fusil. Mettez les utilisateurs au courant des menaces et encouragez-les à en parler haut et fort si quelque-chose paraissait étrange ou déplacé. Apprenez-leur à ne pas faire confiance et à être méfiants aux demandes externes d’installation ou de désinstallation d’une application. Conseillez-leur d’appeler le support technique. Assurez-vous qu’ils ont bien compris que les sites de partage de fichiers, de pornographie, de jeux d’argent et de réseaux sociaux sont de véritables paradis pour les cybercriminels et les logiciels malveillants. Fournissez-leur les meilleures pratiques de sécurité qu’ils pourront utiliser aussi sur leurs ordinateurs privés, ce qui renforcera le message de la sécurité en ligne. Si vous êtes amené à refuser un privilège ou bloquer un site, veillez à en expliquer les raisons aux utilisateurs.

Ayez des règles de bon usage

Des règles de bon usage servent essentiellement de ligne de conduite pour le personnel et engagent le comportement et l’utilisation des technologies approuvées par l’entreprise. Cette politique de bon usage devrait détailler aussi les conséquences auxquelles le personnel s’expose en cas d’usage incorrect de cette technologie.

Déployez un logiciel de filtrage Web

Malheureusement, former les utilisateurs et avoir des règles de bon usage de l’internet ne sont pas toujours suffisant. Toutes les enquêtes successives montrent qu’un certain nombre d’employés ne comprennent pas le message, n’ont pas les connaissances informatiques suffisantes pour s’y soumettre ou choisissent tout simplement de les ignorer pour toutes sortes de raisons allant de la rébellion à l’intention criminelle. Les pertes de productivité et l’exposition aux failles de sécurité peuvent être importantes. Contrôler l’accès à Internet peut y remédier.
La surveillance web compte de nombreux avantages comme : la réduction de la cyberparesse, l’augmentation de la productivité, une sécurité accrue grâce au blocage des sites dangereux, l’optimisation de la bande passante en minimisant l’usage non professionnel d’Internet et une meilleure sécurisation des données de l’entreprise.
Elle procure aussi un avantage psychologique important. En effet, elle est la preuve que l’organisation est sérieuse quant aux politiques mises en place, et elle protège à la fois les employés et l’entreprise contre tout usage impropre du système fourni, tout à leur avantage.

Sécurisez le navigateur

Vous ne pourrez pas empêcher l’utilisation d’Internet à des fins personnelles, mais vous pouvez fournir un environnement plus sûr en utilisant les contrôles de sécurité intégrés à votre navigateur. Par exemple, Internet Explorer offre de nombreuses options de gestion des cookies. Les cookies qui contiennent des informations d’identification utilisateur sont utilisés par les cybercriminels pour les attaques « cross-site scripting ». Ces derniers peuvent ainsi dérober des identifiants et rediriger les utilisateurs vers des sites malveillants. Internet Explorer vous permet de définir des politiques pour les compléments logiciels de tierce partie et les plug-ins de navigateur. Les autres navigateurs offrent des contrôles similaires, faites-en donc bon usage si votre entreprise utilise de multiples navigateurs.

Limitez les droits d’administrateur de l’utilisateur

Une grande partie de votre personnel n’a que peu de raison d’utiliser les PC et les portables avec des droits d’administrateur complets. La limitation des droits d’administration peut prévenir l’installation de logiciels indésirables et malveillants. Profitez du contrôle de compte d’utilisateur de Windows qui a été introduit avec Windows Vista et reste disponible dans Windows 7. Celui-ci limite les droits des utilisateurs pour exécuter des fonctions comme changer le statut du système, désactiver le pare-feu et installer des logiciels. Ces actions ne garantissent pas la sécurité de vos employés, mais elles contribuent à limiter le nombre d’attaques auxquelles ils sont exposés.

Utilisez Windows 7 AppLocker

Si vous avez effectué la mise à niveau vers Windows 7, AppLocker est une nouvelle fonction qui se comporte comme un pare-feu d’application. Elle permet aux administrateurs de définir quelles applications peuvent être exécutées en fonction, entres autres, de la signature numérique de l’éditeur ou d’une révision de fichier d’un exécutable particulier. Elle permet aussi aux administrateurs de configurer des stratégies de groupe qui empêchent les utilisateurs d’exécuter des applications non approuvées.

Déployez le logiciel de sécurité Web en tant que service

Avec un logiciel SaaS, le trafic Web est routé automatiquement vers le serveur du fournisseur, où les logiciels malveillants sont extraits en temps réel. Les fournisseurs regroupent en général d’autres services, comme le filtrage URL qui garde les employés à distance des zones sombres du Web.

Maintenir une surveillance continue

Indépendamment de ce que vous déployez, le travail ne s’arrête pas là. Vous pouvez consolider votre stratégie de sécurité par une surveillance permanente des incidents et en restant au fait des derniers outils et méthodologies de piratage. Il est aussi important de veiller à ce que les logiciels soient mis à jour, les patches appliqués pour faire face aux dernières menaces et que les systèmes d’exploitation soient systématiquement mis à jour avec le dernier service pack.

Aucune de ces solutions à elles seules, ou en tandem ne suffira à stopper les programmes malveillants. En fait, aucune solution totale ne sera jamais disponible. Mais si vous êtes une PME, ces méthodes vous
aideront longtemps à façonner une stratégie globale pour sécuriser votre accès à Internet.