Sommaire - Votre IT Facile · de croissance et de chiffre d'affaires. Selon une étude menée par le cabinet de conseil PWC en 2016, ... telles que le chiffrement des données stockées

Toshiba France Division PC B2B - 7 rue Ampère - 92800 Puteaux 2

Sommaire

La sécurité des données : enjeu majeur des entreprises ..................................... 3

Renforcement de la protection des données personnelles : un nouveau défi

pour les DSI ............................................................................................................... 7

Risque informatique en entreprise : les 8 sujets à traiter ..................................... 9

Employés maillon faible de la sécurité ................................................................. 11

Le coût des pertes de données pour les entreprises .......................................... 13

LE BYOD représente-il un risque pour l'entreprise ? .......................................... 16

Cloud et sécurité des données : comment faciliter la vie de vos employés ? .. 18

8 solutions pour améliorer la sécurité informatique des entreprises ................ 20

Quelle politique de sécurité informatique adopter dans les PME et TPE ? ....... 22

Infrastructure et sécurité : l'un ne va pas sans l'autre ........................................ 24

Comment le cryptage des données améliore la sécurité et la protection des

données? ................................................................................................................. 26

Le client léger mobile est l’avenir de la virtualisation ......................................... 28

Comment collaborer de façon sécurisée dans les TPE PME ? .......................... 30

Protéger l'accès aux données de l'extérieur en situation de mobilité ............... 32

Mobile Zero Client : la sécurité avant tout ............................................................ 34

Le Client léger et le Zero Client ............................................................................. 36

A propos de Toshiba .............................................................................................. 37

CONTACTS .............................................................................................................. 39

Tous droits réservés © 2017-2018, reproduction partielle ou totale interdite sans l’avis préalable de l’auteur.

Edition 2017/2018


La sécurité des données : enjeu majeur des entreprises

Les données sont le cœur même des entreprises, quelle que soit leur taille. En dépit de leur effectif réduit et de leur organisation simplifiée, les PME sont confrontées aux mêmes menaces de sécurité que les grandes organisations… sans toutefois disposer de leur budget. Vous souhaitez sensibiliser vos collègues aux problématiques de la sécurité des données ? Toshiba vous livre les meilleures pratiques en matière de protection des données et de conformité aux normes en vigueur, à destination des petites et moyennes entreprises.

Faire face à des risques multiples qui mettent en péril l'entreprise

Les failles de sécurité des systèmes d'information font partie des problématiques les plus délétères en matière de croissance et de chiffre d'affaires. Selon une étude menée par le cabinet de conseil PWC en 2016, 61% des chefs d’entreprises français se disent préoccupés par le risque de cybercriminalité.

Toujours selon cette même enquête 2016, les pertes financières liées aux incidents de cyber sécurité se seraient élevées à 3,7 milliards de dollars en France en 2015, en augmentation de 28% par rapport à 2014.

Les causes de ces écueils sont de différentes natures. L'on distingue généralement

• Les actes malveillants provenant de l'extérieur des problèmes de sécurité interne, dus à des erreurs humaines

• Les e-mails frauduleux

• L’usurpation d'identité

• L’infection des postes de travail

• La perte d'informations sensibles

• Les fausses manipulations qui peuvent être à l'origine d'un risque de sécurité qui doit être anticipé et/ou maîtrisé. La sensibilisation de vos collaborateurs est, à cet égard, un enjeu crucial.

La perte de données : un écueil plus fréquent qu'on ne le pense

Bien que la perte de données puisse sembler inévitable, une méthodologie appropriée et des infrastructures idoines contribuent à limiter ce phénomène.

La première étape consiste à comprendre les principales causes de la perte données et à en détecter les signes avant-coureurs.

Une fois que vous avez effectué ce travail de recherche, vous devez appliquer les bonnes pratiques en matière de prévention et vous pourrez prendre les mesures nécessaires pour empêcher la perte de données avant qu'elle n'entraîne une situation critique pour votre entreprise.

https://www.pwc.fr/fr/assets/files/pdf/2016/03/pwc_ad_fraude_mars2016_v3.pdf


1. Les principales causes de la perte de données

La perte de données peut être due à une défaillance de l'infrastructure informatique. Les pannes de serveurs ou des postes de travail résultent soit d'un problème de maintenance soit, tout simplement, de l'usure. Les conséquences peuvent être graves, allant de l'immobilisation des équipes à la perte de données importantes et sensibles, en cours de traitement par les utilisateurs.

La suppression accidentelle par les employés est également une cause importante de la perte de données. Les fichiers peuvent être écrasés par inadvertance. En l'absence de systèmes de sauvegarde automatique ou de récupération d'anciennes versions de fichier, il est impossible de récupérer les informations perdues.

Pour lutter contre la perte de données liée aux dysfonctionnements technologiques ou humaines, il est possible de mettre en place différentes stratégies, comme le PCA et le PRA.

2. Le PCA : accroître la disponibilité des activités essentielles

Le PCA est un acronyme signifiant Plan de Continuité d'Activité. Il repose sur un ensemble de procédures visant à anticiper les défaillances du Système d'Information et éviter, par la même, les interruptions d'activité au sein de l'entreprise. Les avantages du PCA sont nombreux : sauvegarde des données sensibles/critiques sur sites extérieurs, sensibilisation des équipes en cas de faille de sécurité ou de sinistre.

3. Le PRA : facilité le redémarrage des activités après une interruption

Lorsque l'interruption est effective, il convient de réagir de la meilleure manière pour redémarrer les applications et systèmes composant le SI. Le PRA (Plan de Reprise d'Activité) permet de limiter les dégâts et l'impact financier en cas d'incident technique ou humain. Il implique et fédère les équipes en assignant à chacun son rôle pour améliorer la réactivité dans l'urgence. Les systèmes de sauvegarde (backup) et de redondance des unités de stockage (RAID) peuvent être intégrés dans ce plan de secours pour limiter la perte d'informations.

La protection des données

La perte de données n'est pas le seul écueil rencontré par les TPE/PME. A l'instar des grandes entreprises, elles peuvent subir des menaces externes, y compris au sein des environnements sécurisés et/ou nomades.

Des menaces de différentes origines

Tout ordinateur connecté à un réseau informatique peut subir une faille de sécurité. Les menaces extérieures (virus, chevaux de Troie, piratage) peuvent entrainer la compromission d'un poste de travail et s'étendre à l'ensemble du SI de l'entreprise en l'absence de réaction adéquate. Ces attaques présentent des risques non négligeables allant de l'utilisation d'informations sensibles (données bancaires, informations confidentielles ou personnelles), à l'usurpation d'identité, en passant par le vol de documents relatifs à la propriété intellectuelle de l'entreprise, bien souvent à des fins de revente.

Parfois, ce n'est pas une faille de sécurité de l'infrastructure informatique qui devient une porte d'entrée pour les pirates mais l'utilisateur lui-même. Le phishing, par exemple, consiste à faire croire à l'usager qu'il se trouve sur un site de confiance pour récupérer des informations stratégiques (données bancaires, comptes mails ou mots de passe).

Pour anticiper, limiter et lutter contre les attaques et tentatives de piratage, il convient de mettre en place des actions spécifiques :

• Utiliser un firewall (pare-feu) : il s'agit d'un système permettant de protéger les postes de travail des intrusions externes. Attention, un pare-feu doit toujours être paramétré. Il est notamment possible d'autoriser ou bloquer la connexion de certains programmes/applications.


• Un logiciel antivirus, de préférence adapté aux entreprises et régulièrement mis à jour, peut bloquer les tentatives d'intrusion par des logiciels malveillants.

• Des systèmes de détection d’intrusion (IDS) permettent de détecter des activités anormales sur le réseau.

• Utiliser des mots de passe complexes (10 caractères minimum, utilisation de majuscules et minuscules, caractères spéciaux.) Changer régulièrement les mots de passe des utilisateurs (mise en place d'un système automatique).

Après une attaque, il est préférable de réinstaller les applications/interfaces touchées.

Cloud et PME : quels risques de sécurité ?

De plus en plus de PME sont séduites par la technologie cloud, qui offre beaucoup de flexibilité et réduit le coût lié à l'achat et à la maintenance d'une infrastructure informatique dédiée (serveurs, racks, etc.). Néanmoins, l'environnement cloud pose certains problèmes en matière de sécurité.

Le renforcement des infrastructures réseau doit être la règle absolue pour prévenir toute intrusion. Des mesures telles que le chiffrement des données stockées et l'authentification systématique des utilisateurs par mot de passe complexe peuvent être notamment mises en place.

Les outils de communication nomades, notamment les tablettes et les Smartphones doivent être paramétrés avec des chiffrements adéquats. Toutes les données sensibles doivent être archivées dans des containeurs (dossiers) chiffrés avec une clé de cryptage rendant celles-ci inaccessibles en cas de perte ou de vol du matériel.

Attention aux réseaux WiFi : en dépit de leur caractère pratique, ils sont particulièrement vulnérables puisqu'ils ouvrent le réseau interne de l'entreprise au-delà des murs physiques des locaux. Parmi les bonnes pratiques, il est indispensable de sécuriser les connexions en ayant recours au protocole WPA et en choisissant le mode de chiffrement AES/CCMP.


La RGPD : une nouvelle norme imposée aux TPE/PME

Une autre contrainte renforce les enjeux de la protection des données : la nouvelle norme RGPD (Règlement Général sur le Protection des Données) visant à affermir les obligations des entreprises vis-à-vis des informations concernant des tiers (clients, prospects). Toute fuite ou faille de sécurité expose donc les entreprises à des sanctions si elles n'ont pas déployé tous les moyens pour accroître la sécurité de leur Système d'Information ou en cas de non-conformité aux nouvelles normes relatives à la protection des données. Le RGPD entrera en vigueur le 25 mai 2018.

La gestion de l'accès aux données

Au-delà des menaces externes, il existe un certain nombre de situations critiques pour la sécurité d'une entreprise au niveau interne. Les membres de l'entreprise accèdent quotidiennement aux informations les plus précieuses. C'est pourquoi il est primordial de mettre en place une politique de sécurité interne quant à la définition des droits et des habilitations de chaque utilisateur, mais également de sensibiliser les équipes pour éviter ou limiter les erreurs de manipulation et les réactions inadaptées en cas de cyberattaque.

La définition des droits des utilisateurs

La restriction des droits permet d'éviter que certains utilisateurs n'accèdent à des répertoires spécifiques du réseau local de l'entreprise. Par conséquent, chaque usager peut uniquement visualiser et traiter les informations dont il a réellement besoin. Définir un administrateur du réseau (idéalement le gestionnaire principal du Système d'Information) permet de limiter les actions visant à modifier l'infrastructure en place par n'importe quel utilisateur (téléchargement d'un programme ou d'une application, par exemple).

Les personnes externes à l'entreprise susceptible de se connecter au réseau (comme un prestataire ou un client, par exemple) doivent disposer d'un accès invité, avec une utilisation restreinte notamment en ce qui concerne l'accès aux informations et dossiers confidentiels protégés par mots de passe.

Suite au départ - volontaire ou non - d'un employé, il est recommandé de supprimer son compte, ses permissions d'accès aux répertoires et ses mots de passe.

Authentification et cryptage des données

Chaque utilisateur doit posséder son propre mot de passe, créé par ses soins, et éviter de le communiquer à des tiers. La construction d'un mot de passe complexe est seule garante d'une sécurité optimale. Plus le mot de passe choisi sera complexe (combinaison de chiffres, lettres, caractères spéciaux, majuscules et minuscules) et décorrélé de l'univers personnel de l'utilisateur, plus il sera efficace en matière de sécurité.

En conclusion

Pour conclure, la sécurité informatique et la protection des données sont des problématiques récurrentes qui concernent aussi bien les petites entreprises que les groupes de grande envergure. Une faille de sécurité représente un risque important qui peut engager l'avenir et le chiffre d'affaires d'une entreprise. Dans un contexte où les normes de sécurité prennent une ampleur considérable, notamment avec l'entrée en vigueur prochaine de la RGPD, la responsabilité des dirigeants quant au traitement et à la préservation des informations peut être imputée. Il est d'autant plus important de déployer des moyens adaptés pour affermir la sécurité du Système d'Information.


Renforcement de la protection des données personnelles : un nouveau défi pour les DSI

Jamais, jusqu'à maintenant, la protection des données personnelles n'avait eu un tel impact sur le fonctionnement interne des entreprises. Avec la création du DGPR (Règlement Général sur la Protection des Données) qui entrera en vigueur le 25 mai 2018, les DSI sont contraints de revoir leur stratégie en matière de sécurité. Selon Elizabeth Denham, dirigeante de l'Information Commissioner's Office au Royaume-Uni, le DGPR s'affirme comme « la plus grande transformation réglementaire pour la protection des données ».

Le renforcement des législations existantes en matière de protection des données intervient dans un contexte spécifique, où l'évolution des technologies de l’information, l'apparition de nouveaux comportements modernes et de nouvelles méthodes de travail posent d'importants questionnements en termes de sécurité.

Des pratiques telles que le BYOD ("bring your own device"), qui encouragent les employés à utiliser leur propre matériel informatique sur leur lieu de travail, augmentent non seulement la vulnérabilité des entreprises mais sème également la confusion entre les domaines de la vie privée et de la vie professionnelle.

Les DSI doivent donc faire face à des enjeux forts : compliance aux nouvelles normes, optimisation de la protection des infrastructures existantes, choix technologiques et gestion des impacts budgétaires.

Quels sont les nouveaux enjeux et les bonnes pratiques en matière de protection des données ?

Le SI doit devenir le rempart de la protection des données

Non seulement la DGPR induit plus de transparence, mais elle implique la responsabilité des entreprises en cas d'atteinte à la sécurité des données personnelles. Ceci engendre des contraintes plus fortes pour les DSI et leurs équipes. Le renforcement de la sécurité apparaît comme une priorité, permettant à la fois d'améliorer la détection des risques et de mettre en place un plan d'action en cas d'attaque. Les menaces sont multiples et peuvent aussi bien provenir d'un intervenant humain (hacker) que d'un programme malveillant. En s'infiltrant dans le réseau de l'entreprise, l'intrus accède aux données sensibles relatives aux clients ou aux salariés. Il peut prendre celles-ci en otage, moyennant rançon (principe des ransomwares).

Si l'infrastructure informatique est majoritairement concernée par les failles de sécurité, l'utilisation des objets connectés (vidéosurveillance, domotique) présente un risque supplémentaire.

Comment renforcer la protection des infrastructures et lutter contre le piratage des données ?

Il est possible d'agir en mettant en place des systèmes de sauvegarde et restauration.

La mise en place d'une politique d'authentification et de confidentialité plus stricte, à travers la restriction d'accès


et la limitation des droits d'administration, contribue à garder le contrôle sur l'accès aux informations.

Enfin, la sensibilisation des équipes internes permet de réduire les risques liés aux comportements humains (reconnaissance des attaques de phishing, comportement en cas de compromission du poste de travail).

La protection des données dans les environnements nomades

L'utilisation accrue des Smartphones et tablettes, outils nomades qui voyagent en dehors de l'entreprise, complexifient la sécurisation des données. Les usagers peuvent se connecter sur des réseaux privés ou publics qui n'ont pas le même niveau de sécurité que ceux de l'entreprise. Sans compter que le vol ou la perte de matériel est plus fréquente.

Parmi les solutions les plus adaptées, le chiffrement des dossiers professionnels et le cloisonnement des données relatives à l'entreprise permettent de limiter les risques d'intrusion et de vol de données.

Pour conclure, les nouvelles directives de la DGPR contraignent les entreprises, quelle que soit leur taille, à remettre en question leur infrastructure actuelle. Mais ces investissements s'affirment d'autant plus importants que les données sont devenus le cœur même de toute structure, véhiculant des enjeux financiers importants. En ce sens, le renforcement de la sécurité des données personnelles peut être vu comme une opportunité.


Risque informatique en entreprise : les 8 sujets à traiter

Les entreprises traitent de plus en plus d’informations numériquement, mais négligent souvent les précautions de sécurité informatique nécessaires pour conserver ces données. Elles s’exposent par conséquent à des risques. Voici huit sujets à traiter en priorité pour mieux gérer le risque informatique pour dans les PME ?

1. Les programmes malveillants

Les programmes malveillants constituent sûrement le risque le plus connu.

Très visibles il y a quelques années, ils tentent désormais d’être le plus discret possible, car leur but est souvent de collecter des informations.

Par exemple, les keyloggers enregistrent tout ce qui est tapé au clavier. En 2016, un autre type de malware s’est répandu : le ransomware.

Il crypte les données des disques durs et demande une rançon pour les rendre de nouveau accessibles. La contamination peut se faire via internet ou par un support de stockage, comme par exemple une clé USB.

2. Les emails frauduleux

Les emails frauduleux sont un autre fléau auquel il faut prêter attention.

Ils peuvent contenir une pièce jointe infectant l’ordinateur sitôt qu’elle est ouverte, mais le plus souvent, ils ont pour but de rediriger l’utilisateur vers un site web falsifié demandant des informations confidentielles : c’est le phishing.

3. Le piratage des données

Les entreprises sont également exposées aux tentatives de piratage.

Les chances de réussite de ces derniers dépendent directement du niveau de sécurité de l’infrastructure réseau.

Le pirate peut, pour s’introduire dans le système, utiliser des failles de sécurité Zero-day (c’est-à-dire qui n’ont pas encore subi de correctif), recueillir des informations d’authentification via une opération de phishing, installer un logiciel espion grâce à l’accès physique aux machines ou encore pratiquer l’ingénierie sociale qui consiste à exploiter des failles humaines et sociales.

4. Les erreurs de manipulation

Une simple erreur de manipulation peut représenter un risque informatique important : l’intégralité d’un dossier peut être supprimée d’un simple clic.


Il est également possible de se tromper de destinataire lors de l’envoi d’un mail. Ce type d’erreur survient souvent à cause d’une méconnaissance des solutions informatiques utilisées.

5. 5 - L’espionnage industriel

L’espionnage industriel est un risque étroitement lié à ceux déjà évoqués, puisque la collecte d’informations peut se faire, par exemple, suite à un piratage ou à l’infection d’ordinateurs traitant des données sensibles.

Ce risque ne se limite pas aux structures informatiques : des renseignements confidentiels peuvent tout aussi bien être communiqués par des employés.

6. La malversation

La malversation n’est pas limitée au domaine de l’informatique non plus. Cependant, elle y est souvent liée, étant donné que la majorité des informations nécessaires à ce genre de pratiques sont stockées numériquement.

7. La perte ou le vol

La perte ou le vol d’équipements informatiques peut aussi représenter un risque pour les données qui y sont stockées.

En effet, en plus de la perte éventuelle des données, il suffit de brancher le disque dur à un autre ordinateur pour en voir le contenu celui-ci n’a pas été chiffré au préalable.

Un ordinateur portable perdu peut donner accès à des informations confidentielles, et pour peu que les données ne soient pas cryptées une personne mal intentionnée pourra récupérer les données et éventuellement avoir accès aux ressources distantes (réseau d’entreprise, cloud)

8. La perte d’informations confidentielles

S’ils sont négligés, ces risques peuvent avoir une conséquence commune : la perte d’informations confidentielles. C’est un risque majeur pour l’entreprise.

Il peut s’agir de brevet, d’opération financières, de données personnelles sur les salariés etc.

C’est pourquoi il faut absolument mettre en place des mesures pour sécuriser les données, ainsi que les supports par lesquels elles transitent.

En conclusion

Le risque informatique est bien présent que l’on soit une petite entreprise, une PME ou une grande entreprise. Ce risque peut venir de l’extérieur de l’entreprise mais aussi de l’intérieur. Les pertes pour l’entreprise peuvent être majeur si un individu accède aux serveurs de de l’entreprise, détruit ou empêche l’accès aux données comme c’est le cas avec les ransomware.

Il est donc important de s’assurer que l’infrastructure soit protégée, et que des processus de sauvegarde et de restauration des données soient mis en place.


Employés maillon faible de la sécurité

Des risques accrus

Employés maillon faible de la sécurité ? Sans aucun doute. Ils furent le maillon faible par le passé, et le risque se voit accru aujourd’hui avec l’arrivée des nouveaux appareils, des objets portables aux tablettes, qui permettent de travailler confortablement de n’importe quel endroit en utilisant des réseaux potentiellement vulnérables et des appareils grand public, tout autant exposés aux risques.

Employés maillon faible à sensibiliser

L’utilisation sans autorisation de systèmes et de solutions informatiques est monnaie courante. Plus de 4 entreprises sur 5 (84%) ont déjà constaté l’existence de ce phénomène avec une d’ampleur plus ou moins grande. Tandis que 43% le qualifient de problème répandu. Si on ajoute à l’équation l’usage de mots de passe faciles à deviner – par exemple une date de naissance – et l’arrivée de pirates toujours plus rusés, l’éducation des salariés devient une priorité absolue pour les DSI. Elle se révèle essentielle pour assurer la viabilité de la stratégie de sécurité adoptée dans l’entreprise.


Des mesures de sécurité adoptées souvent trop tard

Il suffit d’un problème de sécurité majeur pour pousser un DSI à investir dans des systèmes de défense qui assureront une protection efficace à l’avenir contre des événements similaires. Il est regrettable que des mesures de sécurité soient adoptées bien trop souvent une fois le mal fait.

Sécurité renforcée grâce à la solution Zero Client

Le client léger est une solution pour accroître la sécurité. La plupart des informations et des applications sont déportés en dehors des appareils. Configurée en fonction des besoins spécifiques de chaque entreprise, elle permet aux équipes informatiques de contrôler l’octroi des permissions d’accès. Elle empêche les utilisations abusives et autorise le stockage de l’ensemble des données dans un point central, et non sur un appareil spécifique.

La solution Zero Client va plus loin en supprimant les risques inhérents au système d’exploitation.


Le coût des pertes de données pour les entreprises

Le coût des pertes de données est devenu une problématique fréquente pour les entreprises. Le volume des données produit par les entreprises comme par les particuliers augmente chaque année de façon exponentielle. Elles constituent une véritable mine d’or pour les entreprises qui s’appuient dessus pour leurs activités. Mais ces flux de plus en plus importants de données nécessitent des infrastructures toujours plus conséquentes. Les entreprises parviennent-elles à suivre en termes d’investissements et de protection des données ? La perte de données est-elle une fatalité et peut-on s’en prémunir ? Autant de questions auxquelles nous allons essayer de répondre.

Des volumes de données en constante augmentation

Depuis quelques années, de nouveaux usages comme le cloud computing, le big data ou encore les nombreuses applications mobiles font que le volume des données échangées et stockées augmente constamment. Enregistrer, analyser, traiter et surtout protéger toutes ces données demande de lourds investissements en termes d’infrastructure technique et logistique.

Une étude place la France à la 21ème place sur 24 parmi les pays mettant en œuvre une stratégie de protection des données. Les entreprises françaises ne font visiblement pas partie des meilleurs élèves. Une grande majorité d’entre elles déclarent ne pas avoir une confiance totale dans leurs solutions de restauration des données et près de 40% ont déjà été victimes d’interruptions de services et de pertes de données.

Si le volume des données échangées augmente, la quantité des données perdues augmente également. Alors qu’il était relativement simple de protéger des données lorsqu’elles restaient confinées au sein de l’entreprise, la multiplication des réseaux et l’utilisation massive du cloud et des appareils mobiles compliquent considérablement la chose.

De multiples menaces

La cause de perte de données qui vient en premier à l’esprit est naturellement la malveillance. La presse a relaté, ne serait-ce que ces derniers mois, de nombreux vols de données par le piratage des systèmes d’informations, ou grâce à l’utilisation de ransomwares (programme qui se répand à la manière d’un virus et qui crypte les données qu’il rencontre ; l’agresseur demandant le paiement d’une rançon en échange d’un code permettant la récupération des données).

L’agresseur ne vient pas toujours de l’extérieur. La menace peut aussi provenir d’anciens employés mécontents qui profitent du fait que leurs accès n’aient pas encore été révoqués pour voler des données qui sont la propriété de l’entreprise.

La perte de données peut également être causée par un employé sans aucune mauvaise intention. Le non-respect d’une politique de sécurité pouvant être perçue comme trop contraignante par les employés, en utilisant par exemple des appareils ou des services non certifiés par l’entreprise, est à l’origine de failles de sécurité et de la propagation de nombreux virus. L’accès aux fichiers de l’entreprise via un mobile personnel ou depuis un réseau externe (domicile pour le télétravail ou établissement public de co-working) entraîne le transfert de données sensibles sur une connexion qui n’est pas suffisamment sécurisée.


Enfin, un problème matériel peut être à l’origine d’une perte de données. Malgré tous les systèmes redondants, la défaillance d’un élément de l’infrastructure réseau, d’un serveur ou d’un disque dur peut être à l’origine de la perte d’informations cruciales.

Des coûts importants

Lorsque l’on parle du coût financier des pertes de données, il est question de plus de 30 milliards d’euros, uniquement pour la France. Les interruptions de services dues à des pannes matérielles représentent à elles seules plus de 11 milliards d’euros.

En cas de perte de données, le temps que l’entreprise soit de nouveau totalement opérationnelle, elle fonctionne au ralenti. Les réseaux et les différents matériels ne fonctionnent pas de façon optimale et les salariés sont moins productifs. Si le volume de données détruit est très important, l’entreprise peut même se retrouver à l’arrêt, et perd de l’argent durant une période plus ou moins longue en fonction du processus de restauration.

Enfin, l’entreprise peut être l’objet de poursuites judiciaires de la part des propriétaires des données lorsqu’elle héberge des informations provenant d’autres sociétés ou de particuliers. D’éventuelles condamnations financières peuvent donc venir d’ajouter au coût global.

Comment se prémunir des pertes de données ?

Les sauvegardes multiples et régulières des données de l’entreprise restent le meilleur moyen de les protéger. Les sauvegardes peuvent être stockées sur le site même de l’entreprise ou dans le cloud. En cas de perte de données, la restauration des sauvegardes est la meilleure garantie. Bien entendu, des exercices de restauration fréquents et réguliers sont indispensables, car des sauvegardes ne servent à rien si elles sont inutilisables.

Afin de limiter les conséquences d’une perte de données, leur classification et leur répartition entre données essentielles pour le fonctionnement de l’entreprise et données secondaires peut accélérer un retour à une situation normale. De cette façon, il sera plus rapide de restaurer les données permettant d’assurer la continuité de l’entreprise.

Enfin, le moyen le plus simple de protéger les données est d’en limiter et d’en contrôler finement l’accès.


Pour conclure

La démocratisation d’appareils comme les ordinateurs portables, les smartphones, les tablettes a grandement modifié la façon de travailler et est à l’origine d’une bonne part du volume des données générées. Mais elle est également à l’origine de nombreuses failles de sécurité et a grandement compliqué la tâche des personnes chargées de protéger ces données.

Il ne fait aucun doute que perte de données est synonyme de perte d’argent pour les entreprises. Les investissements dédiés à la sécurité des données, tant en termes de sauvegarde que de restriction d’accès, doivent être suffisants et en rapport avec le volume et la sensibilité des informations à protéger.


LE BYOD représente-il un risque pour l'entreprise ?

Pour de nombreuses TPE et PME qui souhaitent réduire leurs coûts, le BYOD apparait comme une alternative séduisante. Cet acronyme anglophone, signifie "Bring Your Own Device", autrement dit : "Apportez votre propre matériel". Mais en invitant les employés à travailler au sein de la société avec leurs équipements personnels, votre entreprise ne court-elle pas un risque ? Cet article fait le point sur les avantages et les limites du BYOD et sur les meilleurs pratiques à mettre en place en termes de sécurité et de protection des données personnelles.

Qu'est-ce que le BYOD et pourquoi y avoir recours ?

Le BYOD est une pratique qui tend à effacer les frontières entre le domaine privé et le domaine professionnel, sur le lieu de travail. Autoriser les employés à utiliser leur Smartphone ou leur tablette dans le cadre de leurs missions permet aux entreprises dont le budget est limité de s'affranchir de dépenses conséquentes… sans renoncer aux avancées technologiques que représentent ces outils nomades. Néanmoins, le BYOD doit être utilisé dans un cadre strictement réglementé.

D'une part, les entreprises, quelle que soit leur taille, sont dans l'obligation de fournir aux salariés le matériel


indispensable à la réalisation de leurs missions, y compris les outils informatiques. Les accessoires personnels (Smartphone, ordinateur portable, tablette) ne peuvent dont être apportés par les employés que pour compléter le matériel mis à leur disposition, et non le remplacer.

D'autre part, l'employeur reste responsable de la sécurité et de la protection des données au sein de l'entreprise, ce quel que soit la provenance du matériel et des ressources utilisés.

BYOD : une réduction de l'impact économique, mais à quels risques ?

Le matériel informatique personnel apporté par les salariés est particulièrement vulnérable aux intrusions et menaces. En effet, il ne possède pas le même niveau de sécurité que les équipements qui composent l'infrastructure existante. Les risques de compromission (virus, programmes malveillants, tentatives de hacking, pishing) sont plus élevés.

Quelques mesures permettent de renforcer la sécurité des équipements informatiques personnels :

• Généralisation des systèmes de chiffrement et de cryptage des informations professionnelles sensibles

• Création de mots de passe complexes pour toute connexion au réseau de l'entreprise. Les informations d'authentification doivent être différentes de celles utilisées à des fins personnelles. Un mot de passe complexe se compose d'un minimum de 8 caractères, combinant majuscules et minuscules, chiffres et caractère spéciaux.

• Mise en place d’un logiciel DLP (Data Loss Prevention). Ces logiciels permettent entre autres, d’éviter la copie et e piratage des données internes à l’entreprise depuis un de ses Endpoints (ordinateurs portables, smartphones, tablettes, PC, serveurs).

BYOD et protection de la vie privée

L'employeur doit garantir la protection et la confidentialité des informations relatives à la vie privée de ses salariés et l'utilisation du BYOD peut complexifier cette tâche. La mise en place d'une charte délimitant les droits et les devoirs de l'employeur, d'une part et des salariés, d'autre part, s'affirme indispensable. Le partitionnement des outils personnels s'affirme indispensable pour préserver l'univers privé, de manière à ce que celui-ci soit inaccessible à l'employeur.

Conclusion

Pour conclure, les avantages financiers procurés par le BYOD, qui évite l'acquisition de matériel informatique onéreux, peut séduire les entreprises de petite taille. Mais l'utilisation de tels équipements nécessitent l'institution d'un cadre rigoureux en matière de sécurité et de protection des données personnelles.


Cloud et sécurité des données : comment faciliter la vie de vos employés ?

De plus en plus d'entreprises, indépendamment de leur taille et de leur effectif, sont séduites par le cloud computing. Cette technologie permet d'externaliser l'infrastructure informatique en hébergeant les applications, programmes et données de l'entreprise au sein d'une seule et même interface accessible via Internet. Au-delà des économies substantielles qu'elle génère, cette solution est également plébiscitée pour son côté pratique. En effet, les salariés peuvent accéder en tous lieux et via n'importe quel terminal à leurs documents de travail et messagerie.

De nouvelles pratiques entrainent de nouveaux risques

En premier lieu, l’avénement du cloud computing a favorisé la démocratisation des modes de travail dits "Atawad" (contraction de l'expression anglophone : "Any Time, Any Where, Any Device").


En second lieu, la mise à jour des informations en temps réel simplifie davantage le partage de données et le co-working.

En revanche, les DSI doivent faire face à des problématiques de sécurité accrues, liées à l'utilisation du cloud computing. Qu'en est-il lorsque les données sensibles sont consultées via des réseaux tiers ou transitent par le biais de terminaux situés en dehors des murs physiques de l'entreprise ?

Gain de productivité et cloud computing

Avec le cloud computing, les chefs d'entreprise offrent l'opportunité à leurs équipes d'agir rapidement et efficacement. Le cloud procure un gain de temps appréciable et permet aux employés d'accéder plus facilement aux données essentielles. Mais surtout, il permet de stocker et mutualiser les documents au sein d'une même interface.

Les tâches administratives sont simplifiées puisque chaque équipe peut accéder et modifier en temps réel un document important, sans avoir à créer différentes copies.

Grâce au cloud computing, toutes les ressources de l'entreprise sont accessibles via Internet.

L'utilisateur doit simplement se connecter en utilisant un identifiant et un mot de passe. Il peut donc traiter ses dossiers depuis n'importe quel terminal et n'importe quel lieu !

La technologie cloud permet donc d'améliorer le traitement des informations et de minimiser le risque d'oubli. Après ou même pendant un rendez-vous, vos collaborateurs pourront mettre à jour un fichier client ou répondre à un mail urgent.

Néanmoins, cette facilité d'accès aux informations nécessite, en contrepartie, le déploiement de méthodes permettant d'accroître la sécurité et la protection des données. Comme toute infrastructure informatique, le cloud est vulnérable aux intrusions et menaces. Les utilisations nomades via une multitude de terminaux (tablette, Smartphone, ordinateur portable) nécessitent encore plus de prudence.

Offrir le meilleur confort d'utilisation aux salariés, en toute sécurité

Il n'est, bien sûr, pas question de limiter ou éviter l'utilisation de terminaux nomades, comme les Smartphones personnels. Cependant, il est primordial d'accroître la sécurité par le biais de l'installation d'un pare-feu, de logiciels antivirus et de systèmes de détection d'intrusion.

Le cryptage des données sensibles limite de façon importante les risques en cas de faille de sécurité.

De même, l'entreprise doit respecter la confidentialité des données privées transitant sur ses terminaux. Le cloisonnement des dossiers professionnels évite toute fuite ou accès aux informations relatives à la vie personnelle.

Conclusion

En conclusion, le cloud computing présente de nombreux avantages pour les salariés. Cependant, cet environnement spécifique doit être sécurisé au maximum pour éviter les écueils.


8 solutions pour améliorer la sécurité informatique des entreprises

Pour une entreprise donner accès à ses données est une évidence, quelle que soit sa taille. Cependant toutes les entreprises ne sont pas égales en termes de moyens. Si l’importance de la sécurité informatique est indiscutable, les étapes de sa mise en œuvre sont parfois difficiles à définir. Voici 8 conseils pour préserver données et matériels que vous soyez une petite entreprise ou une plus grosse organisation.

1. Protéger physiquement son infrastructure

L’infrastructure informatique doit être hébergée dans des locaux sécurisés. Il est impératif de la protéger de toute intrusion, notamment par le biais d’alarmes. Pour limiter l’accès à ces zones sensibles, il faut installer un système d’authentification et consigner automatiquement les accès.


2. Protéger l’accès à internet

Lorsque les postes de travail ont accès à internet, la probabilité d’attaques informatiques augmente : virus, prise de contrôle à distance, vol de données... Plusieurs stratégies permettent de minimiser ces risques : serveurs proxy, pare-feux, limitation des tentatives d’accès aux comptes, verrouillage des sessions suite à une période d’inactivité...

3. Protéger le réseau informatique

Il ne faut autoriser que les flux réseau véritablement indispensables au fonctionnement des applications informatiques et les sécuriser au moyen de pare-feux, protocoles SSL... La protection du réseau interne concernant les accès via des appareils nomades requiert la mise en place de connexions VPN. Un cloisonnement réseau (par VLAN ou DMZ) assure une sécurisation additionnelle.

4. Sauvegarder les données informatiques, base de travail et historique de l’entreprise

La fréquence des sauvegardes doit être adaptée au volume d’informations à conserver. Il est conseillé de chiffrer les données sauvegardées et de stocker les supports dans un site extérieur et sécurisé. Des précautions identiques sont applicables aux données archivées, qu’il s’agisse d’archives courantes, intermédiaires ou définitives.

5. Crypter les données

Le cryptage, ou chiffrement, garantit l’inviolabilité, l’intégrité et l’authenticité des données pendant leur stockage et leur transmission. La cryptographie asymétrique, utilisant une clé publique pour le chiffrage et une clé privée pour le déchiffrage, offre plus d’avantages que la cryptographie symétrique, qui chiffre et déchiffre avec une même clé.

6. Filtrer les courriers électroniques

Les outils de contrôle de la messagerie électronique répondent à des exigences de prévention, de sécurité et de gestion de l’encombrement du réseau. Ils analysent les pièces jointes, détectent les virus et filtrent les courriers indésirables. Ils permettent également de limiter la taille des messages envoyés et/ou reçus.

7. Sensibiliser les utilisateurs

Des documents de référence doivent détailler les différentes actions possibles sur les systèmes d’informations. Il est important que le règlement intérieur de l’entreprise contienne une charte informatique et que chaque collaborateur signe un engagement de confidentialité relatif aux données à caractère personnel.

8. Anticiper les incidents et minimiser leurs impacts

Gérer la continuité d’activité consiste à protéger le matériel informatique contre d’éventuels sinistres (incendie, inondation...). Si un incident survient, la restauration de la dernière sauvegarde de données assure la reprise du travail. Il est donc crucial de stocker les sauvegardes dans un site distinct de celui hébergeant les serveurs de données.

Conclusion

Il n’y a pas de taille minimale pour s’intéresser à la sécurité et la protection de ses données. Il est très compliqué de redémarrer une activité lorsque les données ont été volées, détruites ou cryptolockées. Il n’est jamais trop tard pour mettre en place une gouvernance des données et une politique de sécurisation.


Quelle politique de sécurité informatique adopter dans les PME et TPE ?

Les medias font de plus en plus souvent état d'attaques informatiques contre de grandes sociétés. Personne ne semble à l'abri puisqu'une société informatique comme Yahoo ! ou un géant comme Sony en ont été les victimes et ont vu une étonnante quantité de données confidentielles leur échapper. Si ces cas sont fortement médiatisés, il semblerait que dans l'ombre le vol ou la destruction des données dans les PME/TPE soit également en forte augmentation. Finalement, cela peut sembler logique puisque des multinationales avec des budgets conséquents semblent incapables de se protéger efficacement. Quelles sont les solutions pour une PME avec un budget limité, voire nul, pour mettre en œuvre une politique de sécurité acceptable? Heureusement il n'y a pas de fatalité, en suivant quelques règles, il est possible de se prémunir d'une cyberattaque, ou tout au moins de compliquer au maximum la tâche de ces personnes malveillantes.

Etablir une politique de sécurité et une charte informatique

En matière de sécurité informatique, il n'y a pas de place pour l'improvisation. Il faut anticiper en délimitant le périmètre des données sensibles et en déterminant la façon de les protéger. La chaîne de responsabilités doit être claire et des procédures simples et efficaces doivent être mises en place afin que les équipes internes sachent exactement quoi faire en cas d'attaque avérée.

Contrôler les accès à Internet depuis l'entreprise et filtrer les sites accessibles

Tous les points d'accès à Internet de l'entreprise sont autant de points d'entrée possibles pour un cyberattaquant. Il est donc important d'en limiter le nombre et que tous soient parfaitement contrôlés. L'utilisation d'un réseau privé virtuel (ou VPN) avec un unique point d'accès permet de contrôler l'ensemble des échanges. De la même façon, l'adoption d'un processus de chiffrage systématique des données permettra de les rendre inutilisables pour qui ne devrait pas y avoir accès.

Sécuriser les accès Wifi

Il est très pratique de pouvoir travailler en Wifi. Cela représente généralement de grosses économies en termes d'installation, car il n'y a pas de câbles réseaux à faire passer dans l'ensemble des locaux. En contrepartie, le réseau de l'entreprise peut être accessible depuis l'extérieur, et de nombreux outils, gratuits pour la plupart, permettent de déchiffrer en quelques minutes un mot de passe Wifi pas assez robuste. Le contrôle de ces accès doit d'autant plus être renforcé qu'une faille dans le protocole de sécurité WPA2 utilisé massivement par les équipements Wifi, vient d'être découverte. La fourniture d'un correctif par les différents fabricants de matériels et fournisseurs d'accès peut prendre un certain temps.

Maintenir un parc informatique homogène et à jour

Un parc informatique homogène, tant en termes de matériel que de versions logicielles, est beaucoup plus facile à gérer et à sécuriser. Si plusieurs versions de systèmes d'exploitation ou même plusieurs systèmes d'exploitation cohabitent, les mises à jour de sécurité sont beaucoup plus difficiles à suivre. Il est également important que tous


les postes soient équipés d'un antivirus efficace et à jour, voire d'un pare-feu local.

Le problème est le même pour les entreprises disposant d'une flotte de mobiles. Il faut s'assurer que les dernières mises à jour soient appliquées de façon minimiser les risques en termes de sécurité.

Effectuer des sauvegardes régulières (et les vérifier tout aussi régulièrement)

En cas de défaillance matérielle ou de perte de données, il est impératif de disposer de sauvegardes récentes de façon à restaurer les données dans un délai le plus réduit possible. Le système de sauvegarde peut être installé en interne, ou bien externalisé, sur un cloud sécurisé par exemple. Les outils doivent être à jour et parfaitement maintenus.

Si la sauvegarde est importante, la possibilité de restaurer les données l'est encore plus. Des tests et des exercices de restauration de données doivent être réalisés régulièrement de façon à s'assurer que l'ensemble du processus fonctionnera en cas d'alerte réelle. Cela prend du temps, mais c'est une assurance supplémentaire. Toutes les sauvegardes ne vous serviront à rien si vous n'êtes pas en mesure de restaurer les données d'origine.

Limiter les applications Cloud personnelles

Il est de plus en plus courant que des employées utilisent des applications personnelles de stockage dans le cloud pour des données professionnelles. L'entreprise n'a aucun moyen de contrôle sur ces données. Les solutions personnelles ne sont jamais autant sécurisées que les offrent professionnelles, et des données confidentielles appartenant à l'entreprise peuvent ainsi se retrouver accessibles à tous. Une partie de la solution passe par la prévention grâce à l'information des employés.

Bien se préparer à une cyberattaque

Aujourd'hui, la question n'est plus de savoir si vous devrez un jour subir une attaque, mais quand vous la subirez ! Il est donc important de s'y préparer afin de savoir comment réagir le jour J. Pensez à former vos experts informatiques de façon continue, car de nouvelles failles de sécurité et de nouveaux types d'attaques voient le jour régulièrement. Assurez-vous que votre parc informatique est à jour.

Sensibiliser le personnel à la sécurité informatique

Même avec le meilleur matériel et les meilleurs logiciels, vous ne serez jamais totalement à l'abri, pour la simple raison que le maillon faible de la sécurité est et sera toujours l'être humain. En formant et en sensibilisant régulièrement les employés à la sécurité informatique, en les informant sur les procédures à suivre en cas de perte ou de vol de leur matériel professionnel ou personnel, vous diminuer d'autant les vulnérabilités de votre système.


Infrastructure et sécurité : l'un ne va pas sans l'autre

Infrastructure et sécurité vont de pair. Impactant la productivité et la compétitivité de l'entreprise, l'infrastructure doit être optimisée pour accroître la sécurité informatique. Réseaux, serveurs, postes de travail fixes ou mobiles... ils jouent tous un rôle au niveau de la sécurité.

La sécurisation des réseaux

Il est important de protéger les communications et les données transitant par et entre les réseaux, internes ou externes, contre toutes les attaques extérieures. Celles-ci visent à récupérer des informations et/ou à interrompre le fonctionnement normal des réseaux, affectant ainsi la productivité de l'entreprise.

La protection, la sauvegarde et la récupération des données

Afin de diminuer les conséquences d'une attaque virale ou d'un dysfonctionnement majeur du réseau, il est crucial d'implémenter des sauvegardes régulières des informations. Il faut mettre en place des procédures gérant le stockage sécurisé de ces données, idéalement dans un site extérieur aux locaux de l'entreprise, ainsi que leur restauration rapide.

Des processus clairement établis et suivis

L'informatique d'entreprise doit répondre aux exigences de robustesse, fiabilité et sécurité, tout en étant gérée afin d'optimiser ses coûts. Pour atteindre un tel niveau, il faut maîtriser les composantes techniques mais sans sous-estimer l'importance du facteur humain. Les compétences, rôles et responsabilités des différents intervenants doivent être clairement définis dans des procédures connues et appliquées par l'ensemble du personnel.

La gestion et la protection des identités et des accès

Il est important gérer efficacement les profils des utilisateurs (inactivation, création...) et de former aux procédures internes les nouveaux arrivants. Tous les employés doivent également connaître les règles de création de mots de passe sécurisés. Il faut étudier les moyens les plus sûrs pour donner accès à des données internes depuis l'extérieur notamment pour les clients, fournisseurs et principalement pour les collaborateurs nomades.

L'optimisation des procédures d'installation

Les applications, systèmes d'exploitation et correctifs déployés de manière systématique et rationnalisée assurent la cohésion de l'ensemble des serveurs, des postes de travail et des équipements mobiles.


La reconnaissance des empreintes digitales

La biométrie se met au service de la sécurisation des ordinateurs. De nombreux modèles offrent la possibilité d'implémenter la reconnaissance obligatoire d'une empreinte digitale avant de pouvoir utiliser le poste.

Formaliser une politique de sécurité pour le « BYOD »

Certains outils personnels peuvent servir, à titre subsidiaire, pour des activités professionnelles (Bring Your Own Device ou BYOD). L'entreprise doit en être expressément avertie, donner son accord et signer une charte avec les utilisateurs concernés afin de préciser les responsabilités de chacun et les précautions à prendre.

Le cryptage des disques durs HDD

Des moyens de chiffrement existent pour crypter l'ensemble des informations contenues sur les disques durs, les clés USB... Le chiffrement peut concerner la totalité du disque dur ou les fichiers, individuellement ou par groupe. Ainsi, en cas de vol de l'ordinateur ou du disque dur, il sera impossible à toute personne ne possédant pas la clé du cryptage de lire, ouvrir ou récupérer les fichiers.

Infrastructure et sécurité : conclusion

Une politique de sécurité informatique passe en tout premier lieu par une sécurisation des infrastructures de l’entreprise. C’est la première étape mais c’est surtout une étape que l’entreprise peut parfaitement maitriser soit seule soit en se faisant aider par une société de services informatiques ou des partenaires experts en la matière.


Comment le cryptage des données améliore la sécurité et la protection des données?

Les données numériques produites par une entreprise représentent l’une de ses plus grandes richesses. Elles sont nécessaires à son fonctionnement et à son développement. Certaines peuvent être partagées, d’autres sont confidentielles. Il est donc impératif de les protéger, car leur divulgation à un concurrent pourrait avoir un effet dévastateur. Alors que les salariés peuvent être amenés à partager leur poste de travail et que les déplacements et le télétravail sont de plus en plus courants, des données confidentielles peuvent être amenées à quitter l’enceinte physique de l’entreprise. Il faut les protéger, et le cryptage des données est l’une des solutions les plus efficaces.

Des données vulnérables

Si plusieurs personnes partagent le même poste de travail et même si chacun utilise un compte spécifique pour s’identifier, toutes les données stockées sur l’appareil sont accessibles. Vous pouvez donc avoir accès aux


informations et aux fichiers de vos collègues. L’honnêteté et le savoir-vivre sont alors les seules barrières qui vous empêchent d’être indiscret.

Mais cela ne suffit naturellement pas. Chaque utilisateur ne doit pouvoir avoir accès qu’à ses propres données. C’est encore plus vrai si le poste est partagé avec un sous-traitant ou toute autre personne extérieure à la société.

La mobilité est au cœur des entreprises modernes. Les salariés disposent d’un ordinateur portable et d’un smartphone. Ils peuvent ainsi profiter en permanence de leurs outils de travail et de leurs données professionnelles, qu’ils soient en clientèle, en télétravail ou dans un espace de travail partagé. Les données confidentielles contenues dans leur ordinateur portable ou leur mobile sont alors vulnérables.

Un ordinateur portable ou un mobile peut être volé, perdu ou simplement égaré. Les accès Wifi publics ne sont généralement pas protégés et les données qui transitent par ce moyen peuvent être interceptées. Pour toutes ces raisons, elles doivent être sécurisées.

Utiliser le cryptage des données pour renforcer la sécurité

S’il est pratiquement impossible d’empêcher des informations de quitter les locaux de la société, il faut faire en sorte qu’elles ne soient pas exploitables par n’importe qui.

Le cryptage consiste à transformer les données de façon à ce qu’elles soient illisibles si l’on ne possède pas la clé de décryptage. Même si une personne mal intentionnée réussi à récupérer un ordinateur, un disque ou à intercepter des données sur un réseau, il ne pourra pas les utiliser si elles sont cryptées.

On peut faire la différence entre la cryptographie symétrique, où la même clé est utilisée pour le cryptage et le décryptage, et la cryptographie asymétrique, qui nécessite une clé dite « publique » pour le cryptage et une clé dite « privée » pour le décryptage.

Il est important d’utiliser des algorithmes de cryptage efficaces et à l’état de l’art. Les algorithmes AES et triple DES sont utilisés pour le cryptage symétrique et RSA ou ECC pour le cryptage asymétrique. Dans tous les cas, il est impératif d’utiliser des clés d’une longueur d’au moins 128 bits, 256 bits étant encore mieux. Les clés doivent être fortes, c’est-à-dire ne pas pouvoir être facilement devinées afin de pouvoir résister à des attaques de type force brute (où un ordinateur essaie de trouver la clé en faisant des essais multiples à partir d’un dictionnaire). Le meilleur moyen est de les générer à l’aide d’un logiciel comme openSSL.

Pour conclure

Les données, qu’elles soient confidentielles ou non, sont de plus en plus mobiles. Comme il est inutile d’essayer de les bloquer, la solution la plus sure est sans aucun doute de les crypter, et de les rendre ainsi inutilisables et sans intérêt pour quiconque ne possède pas la clé de décryptage. L’utilisation d’un système à l’état de l’art et de clés fortes est le meilleur moyen de protéger ses données.


Le client léger mobile est l’avenir de la virtualisation

Dans la grande majorité des infrastructures, l’utilisation du VDI (Virtual Desktop Infrastructure) est synonyme de client fixe. Cette association qui parait aujourd’hui logique n’a en réalité pas de fondement technologique. Utiliser un client léger mobile est tout à fait envisageable, et présente de nombreux avantages.

Les inconvénients du client fixe

Bien sûr, les responsables informatiques de nos entreprises vous vanteront la sécurisation des données. Puisque les produits ne sortent pas de l’entreprise et qu’ils ont peu (client léger) ou pas du tout (Zéro Client) de données résidentes.

Mais cela sous-entend des sacrifices sur la productivité des utilisateurs ou l’achat de matériel supplémentaires redondant.

En réunion, par exemple, vous êtes face à un dilemme. Devez-vous faire une réunion au format « papier – crayon» ou installer des clients légers supplémentaires pour chacune de vos salles de réunion. Quel que soit


votre choix, vous créez malgré tout un frein à l’interactivité et aux échanges entre les différents participants. Vous perdez en productivité.

De la même façon, si vous recevez vos clients ou fournisseurs dans un showroom. Vous devrez équiper vos salles de réception de produits qui seront, au final, très peu utilisés.

Le client léger mobile est possible

Les entreprises sont particulièrement vigilantes sur la sécurité de leurs données et sont soucieuses de fuites potentielles. Cependant, l’usage d’un produit mobile en sécurité, dans un environnement de virtualisation, reste possible. Il est même souhaitable selon l’utilisation.

Client léger mobile - L'avenir du VDI

La solution qui consiste à transformer un client lourd (ordinateur portable classique) en poste client VDI expose les données via les failles de sécurités des logiciels installés, ou la perte (ou vol) du produit.

De nouvelles solutions disponibles

De nouvelles solutions sont désormais sur le marché. Elles s’appuient sur une base d’ordinateurs portables dédiés aux technologies de virtualisation. Soit en « Client léger » avec SSD de faible capacité et système d’exploitation. Soit en technologie « Zéro Client » , qui augmente encore le degré de sécurité en supprimant le SSD et le système d’exploitation .

Ces nouvelles solutions permettent enfin de gagner en mobilité tout en conservant, ou même renforçant, la sécurité des données dans votre infrastructure de virtualisation.


Comment collaborer de façon sécurisée dans les TPE PME ?

Le travail collaboratif (également appelé co-working) et le partage des données ont considérablement simplifié les modes opératoires dans les TPE et PME. A la clé : un gain de temps non négligeable et une productivité accrue. Les solutions de collaboration et de mobilité se sont développées, offrant toujours plus de flexibilité aux salariés amenés à travailler ensemble, même lorsqu'ils ne sont pas physiquement réunis. Néanmoins, il est légitime de s'interroger sur les risques de sécurité liés à la démocratisation du travail collaboratif et à l'accès à distance des données sensibles. Dans cet article, vous allez découvrir comment sécuriser l'ensemble des outils collaboratifs de votre entreprise, quelles que soient les technologies utilisées.

Les enjeux du travail collaboratif

Dans les TPE et PME, l'accès partagé aux documents est d'autant plus crucial que les données doivent circuler librement. Vos collaborateurs ne sont pas toujours présents physiquement au bureau. Lorsqu'ils sont en réunion ou en rendez-vous à l'extérieur, ils doivent pouvoir partager en temps réel avec le reste de l'équipe des informations importantes : emploi du temps, données clients, documents.


Le co-working alloue également un gain de temps précieux. L'époque où il fallait créer de nombreuses versions d'un même document est bien révolue. Grâce aux outils de workflow, un même document peut être modifié en temps réel par plusieurs utilisateurs.

Aussi pratiques soient-elles, ces solutions doivent être parfaitement contrôlées. L'on comprend aisément qu'il devienne indispensable pour les DSI et tous les acteurs de la sécurité en entreprise de définir et vérifier les différents accès aux ressources de l'entreprise en mettant en place une politique de gouvernance des données.

Sécuriser les différentes solutions collaboratives

Le choix d'une solution collaborative pour une TPE ou PME repose sur plusieurs critères. Au-delà de son aspect fonctionnel, permettant de simplifier la vie de vos collaborateurs et de les rendre plus opérationnels, elle ne doit altérer les performances de l'entreprise et encore moins sa sécurité.

Il ne faut pas non plus perdre de vue le cadre normé qui découle de la confidentialité et de la protection des données personnelles, dont les dirigeants d'entreprise sont responsables.

Il existe plusieurs cas de figure en fonction de l'infrastructure choisie :

• Infrastructure On Premise (sur site) : les équipes dédiées disposent d'une maîtrise complète de la sécurité de leur infrastructure et doivent assurer la disponibilité des ressources. La sécurité des outils collaboratifs passe par l'installation de systèmes de détection d'intrusion, un pare-feu et un logiciel antivirus sur tous les postes de travail, y compris les terminaux personnels utilisés dans le cadre professionnel (pratique du BYOD).

• Cloud computing en mode SaaS (Software as a Service) ou IaaS (Infrastructure as a Service) : la sécurisation des postes de travail et la mise en place de sauvegardes permet de limiter la fuite et la perte de données. La définition des droits d'accès, des profils d'utilisateurs et des clés d'authentification doit être la règle.

Enfin, les entreprises ne devraient jamais utiliser de solutions de partage de fichier grand public, dans la mesure où celles-ci n'offrent pas un niveau de sécurité suffisant et ne permettent pas d'identifier rapidement les risques d'intrusion.

Collaborer de façon sécurisée : conclusion

La question ne se pose plus aujourd’hui : que l’on soit une entreprise de 2 personnes ou un groupe de 20.000 employés la collaboration est devenue la norme. L’agilité est même devenue un facteur différenciant. Cependant, si des solutions de collaboration existent bel et bien aujourd’hui il est important de vérifier quels sont les niveaux de sécurité proposés afin d’adopter la solution la plus adaptée aux besoins et aux moyens de votre entreprise.


Protéger l'accès aux données de l'extérieur en situation de mobilité

Le travail nomade est plus que jamais d'actualité et protéger l’accès aux données en situation de mobilité est une priorité des directeurs informatiques. La multiplication des terminaux mobiles, qu'il s'agisse d'ordinateurs portables, de tablettes ou de smartphones, permet aux employés de travailler en-dehors de l'entreprise. En situation de mobilité, tout collaborateur doit être en mesure de créer, modifier et partager des documents de travail en temps réel, quels que soient leurs formats. Se pose alors la question de la sécurité des données ainsi produites et partagées. Même situées sur un appareil mobile hors de l'entreprise, elles doivent pouvoir rester confidentielles et leur accès strictement contrôlé.

La révolution du BYOD

Auparavant, il était relativement simple de contrôler la sécurité des données et des appareils les hébergeant. L'entreprise fournissait l'intégralité du matériel professionnel permettant à un employé de travailler. Tous les


ordinateurs étaient clonés à partir d'un même modèle sécurisé et le travail était plutôt sédentaire.

Le phénomène du BYOD (« Bring Your Own Device », « Apportez votre propre équipement personnel de Communication » en français) a complètement changé la donne.

On ne compte désormais plus le nombre de salariés qui utilisent leur matériel personnel à titre professionnel.

Hors, l'entreprise n'a aucun contrôle sur ces appareils. Ils ne sont pas toujours sécurisés, sont équipés de versions logicielles différentes, et forment au final un parc matériel particulièrement hétérogène.

Pourtant, si des données confidentielles appartenant à l'entreprise doivent transiter ou être utilisées sur un appareil mobile ne faisant pas partie de la flotte officielle de l'entreprise, il est impératif qu'elles soient sécurisées.

Gérer la sécurité des données sur les outils mobiles

Il est de la responsabilité de l'employeur d'assurer la sécurité des données de l'entreprise, même si elles sont stockées sur du matériel sur lequel il n'a aucun contrôle. Les autorisations d'accès aux données professionnelles à partir d'un appareil extérieur doivent être parfaitement contrôlées.

Il est également indispensable de se prémunir contre un certain nombre de risques comme les tentatives d'intrusion, les virus et autres chevaux de Troie qui pourraient mettre en péril la disponibilité, l'intégrité et la confidentialité des données de l'entreprise, la mettant ainsi potentiellement en danger.

Protéger l'accès aux données : les solutions

Afin de protéger les données, il est important dans un premier temps d'identifier les risques potentiels. Leur importance et leur gravité dépendent du contexte dans lequel évolue l'entreprise. Les équipements, les données et les applications pouvant présenter des risques doivent être répertoriées. Les procédures à mettre en œuvre doivent être formalisées dans une véritable politique de sécurité.

L'accès autorisé depuis du matériel personnel doit être cloisonné, et un système d'authentification forte doit être mis en place. Idéalement, les données stockées sur les appareils doivent être chiffrées, tout comme celles qui transiteront sur les différents réseaux mobiles ou Wifi. L'utilisation systématique du protocole HTTPS et de VPN permettra à défaut d'empêcher l'interception des données, d'en empêcher l'exploitation.

Il est aussi possible d’utiliser des logiciels DLP (« Data Loss Prevention »). Ces logiciels permettent, entre autres, d’éviter la copie et le piratages de données internes à l’entreprise depuis un de ses Endpoints (Serveur, PC, portable, tablette, smartphone).

De même, une procédure doit être mise en place en cas de défaillance, de perte ou de vol du matériel personnel afin qu'il puisse être bloqué et que les données soient inexploitables.

Mais toutes les mesures de sécurité ne valent rien sans une formation des utilisateurs. Ils doivent être sensibilisés à la sécurité informatique et conscients de leurs responsabilités. Les équipements personnels doivent être soumis à autorisation avant de pouvoir être utilisés dans le cadre professionnel. L'entreprise, si elle ne peut contrôler l'intégralité de la flotte informatique, doit au moins contrôler les accès autorisés aux données et s'assurer qu'elles soient chiffrées.


Mobile Zero Client : la sécurité avant tout

Mobile Zero Client – Sécurité maximum

La technologie Zero Client vérifie l’autorisation d’accès du poste client dès la mise sous tension, au niveau matériel, par interrogation d’un système distant. Le système d’exploitation est téléchargé après authentification, aucun code d’accès n’est stocké sur le PC, ni système d’exploitation. Le poste client ne nécessite aucun espace de stockage permanent (mémoire Flash, disque dur…) pour fonctionner.

Fonctionnement de Mobile Zero Client

• Mise sous tension L’utilisateur met l’appareil sous tension et ce dernier se connecte à un réseau LAN ou Wi-Fi préconfiguré.

• Autorisation de démarrer L’appareil demande l’autorisation de démarrer au système distant (Boot Control Service)

• Téléchargement du noyau principal Lorsque l’autorisation de démarrer est accordée, le noyau principal sécurisé et crypté, est téléchargé puis décompressé dans la mémoire RAM.

• Prêt immédiatement Le noyau principal est exécuté avec Linux et le client VDI. Il établit la connexion au serveur VDI de l’entreprise. Le fonctionnement est alors identique à une solution client léger classique.

Des qualités exclusives

Toutes les mises à jour sont gérées de manière centralisée et sont préparées en amont en fonction des besoins clients.

Protège contre l’usurpation des données grâce à l’absence de stockage local sur le client. Les pirates ne peuvent pas essayer de récupérer les données stockées, ni injecter des logiciels malveillants qui se chargeront au démarrage. L’authentification avec contrôle par système distant permet de désactiver facilement les unités volées ou perdues.

Des postes clients mobiles

La technologie Zero Client devient Mobile Zero Client en s’installant sur des PC Portables spécialement modifiés pour cet usage (BIOS dédié, absence de stockage…).

Les réunions ou les déplacements à l’extérieur de l’entreprise sont facilités et toujours avec le même degré de sécurité. En cas de perte ou de vol du poste client, il est très facile de le désactiver grâce à Mobile Zero Client.


A noter que la maitrise du BIOS des PC Portables est un élément déterminant dans la mise en œuvre du Mobile Zero Client.


Le Client léger et le Zero Client

Le client léger pour la sécurité et les mises à jour

Sécurité et mises à jour : préoccupation des DSI

La sécurité est l’une des préoccupations majeures des DSI. Les données de l’entreprise doivent être protégées du mieux possible. La protection par mot de passe, la biométrie, le cryptage des données, sont des moyens de protection relativement efficaces mais qui présentent plusieurs failles. L’utilisateur est une des failles importantes. Les mises à jour obligatoires pour maintenir un bon niveau de protection en est une autre.

Le client léger est une des solutions envisagées par les DSI pour y remédier.

Une solution pour les DSI

Pour répondre aux problématiques de sécurité et de mises à jour, le client léger est une solution utilisée par les DSI. Les données et logiciels ne sont pas stockés directement sur le poste client mais centralisés au niveau du réseau de l’entreprise. Les mises à jour logicielles s’en trouvent facilitées car il n’est plus nécessaire de les réaliser sur chaque poste utilisateur.

C’est aussi un gage de sécurité pour les données car elles ne sont pas ou peu stockées sur le poste. Un soin tout particulier doit évidemment être accordé à la sécurisation du réseau et des serveurs de l’entreprise.

Encore des failles de sécurité

Le client léger classique présente encore des failles de sécurité au niveau du poste utilisateur. Un système d’exploitation, même minimaliste, est installé sur le poste est utilisé pour accéder au réseau, authentifier l’utilisateur, gérer certaines spécificités du poste.

Technologie Zero Client : sécurité renforcée

C’est pour renforcer la sécurité que la technologie Zero Client a été mise au point. Elle comble les principales lacunes du client léger classique.

• L’authentification du poste se fait au niveau matériel, en interrogeant un système distant dédié.

• Le système d’exploitation (client léger) est téléchargé si et seulement si le matériel est authentifié et autorisé.


A propos de Toshiba

Fondé en 1875 à Tokyo, Toshiba regroupe aujourd'hui plus de 550 entreprises qui emploient dans le monde 188 000 personnes, avec un chiffre d’affaire annuel de plus de 5,7 billions de yens (soit 50 milliards de dollars) au 31 mars 2016.

Toshiba c’est aussi et surtout, 140 ans d'Innovation. Nous sommes fiers de nous démarquer totalement en tant que fournisseur informatique. Nos atouts ? Une culture bien ancrée de l'innovation, 140 ans d'expérience dans la création de solutions novatrices et plus de 30 ans de conception, de fabrication et de développement de PC portables.

De la conception à la production

C'est dans le Toshiba Innovation Center de Hangzhou que tous nos PC Portables professionnels sont conçus, développés, fabriqués et expédiés.

https://www.youtube.com/embed/xU8nmT67uz0?autoplay=1&rel=0

Des installations partout dans le monde

Nous avons des centres Toshiba de développement, recherche et production partout dans le monde - Cambridge en Grand-Bretagne, Tokyo au Japon, et Hangzhou en Chine.

https://www.youtube.com/embed/YP1aygJkdIk?autoplay=1&rel=0

La sécurité est une brique indispensable lorsque vous travaillez avec des informations sensibles. Vous avez besoin d'un parc informatique qui vous protège, vous et vos clients, partout où vous travaillez. Les PC Portables professionnels Toshiba sont conçus selon des normes qui protègent même les données les plus précieuses.

Nous sommes le seul fabricant qui crée son propre BIOS ; afin que vous puissiez maintenir un accès et un contrôle ultra-sécurisé. La connexion sécurisée multipoints comprend les mots de passe, les empreintes digitales et les lecteurs de cartes à puces. Enfin, la solution Toshiba Mobile Zero Client, qui prend en charge les principaux fournisseurs de VDI, tels Citrix et VMware, permet de démarrer rapidement et facilement, sans avoir besoin de modifier votre infrastructure.

De la conception à la production, en interne

C'est dans le Toshiba Innovation Center de Hangzhou que tous nos PC Portables professionnels sont conçus, développés, fabriqués et expédiés. La fiabilité est dans nos gênes : votre PC Portable Toshiba ne vous laissera pas tomber - c'est garanti. Chaque modèle subit un test de durée de vie hautement accéléré (H.A.L.T.), réalisé par l'institut de test indépendant TÜV Rheinland. Ce test simule trois ans d'utilisation. Nos ingénieurs ont développé nos PC Portables en utilisant moins de pièces internes, afin de réduire considérablement les probabilités de panne.


Tests de fiabilité H.A.L.T.

https://www.youtube.com/embed/eWMdg2W2FPI?autoplay=1&rel=0

Cette durabilité ne se fait pas au détriment de la légèreté, de la finesse et de l'élégance que vous êtes en droit d'attendre d'un modèle Toshiba. En fait, nous sommes tellement confiants dans la fiabilité de nos PC Portables professionnels que nous offrons une garantie unique. C'est la Fiabilité Garantie. Dans le cas improbable où votre PC Portable tombait en panne pendant la garantie, nous le réparerons et vous le rembourserons.

La qualité Toshiba

https://www.youtube.com/embed/YP1aygJkdIk?autoplay=1&rel=0

La résolution des problématiques métier fait partie de nos gènes.

Nous proposons des produits et des solutions informatiques de pointe à nos clients du monde entier depuis 1985.

https://www.youtube.com/embed/-e1nY0AxvpI?autoplay=1&rel=0


CONTACTS

SIEGE TOSHIBA FRANCE

Division PC B2B 7 rue Ampère – 92800 Puteaux

Division TFSI ligne standard 01.47.28.28.28

WEB

Site web TOSHIBA www.Toshiba.fr/b2b

Blog Toshiba www.Votre-IT-Facile.fr

SOCIAL MEDIA

LinkedIn www.linkedin.com/company/toshiba-france

Twitter www.twitter.com/toshibafrance

YouTube www.youtube.com/toshibafrance

http://www.linkedin.com/company/toshiba-france

http://www.twitter.com/toshibafrance

http://www.youtube.com/toshibafrance

Documents

Sommaire - Votre IT Facile · de croissance et de chiffre d'affaires. Selon une étude menée par le cabinet de conseil PWC en 2016, ... telles que le chiffrement des données stockées