Embed Size (px)
Citation preview
LA SECURITE DES DONNEES EST-ELLE UN ENJEU POUR LES PME TUNISIENNES ? ...................................................... 4 I. La sécurité des données, préoccupation de premier ordre pour les DSI en Tunisie .................................... 4
1. Les risques de sécurité externes ................................................................................................................. 4 2. Les risques de sécurité internes ................................................................................................................. 5
II. Sécurité des données et réglementation en Tunisie ...................................................................................... 5 III. Les démarches à mettre en œuvre pour sécuriser le SI de sa PME ............................................................... 5 IV. L’anticipation des incidents.............................................................................................................................. 6 V. Plan de continuité d’activité et Plan de reprise d’activité .............................................................................. 6 VI. Un cas particulier : l’informatique nomade .................................................................................................... 6 VII. Conclusion sur la sécurité des données ..................................................................................................... 7
LES 8 RISQUES INFORMATIQUES A TRAITER DANS LES PME ........................................................................................ 8 I. Les virus et malwares (programmes malveillants), les risques informatiques les plus courants ................. 8 II. Les emails frauduleux ....................................................................................................................................... 9 III. Le piratage ........................................................................................................................................................ 9 IV. L’espionnage industriel .................................................................................................................................... 9 V. La malversation .............................................................................................................................................. 10 VI. La perte d’informations confidentielles ....................................................................................................... 10 VII. L’erreur de manipulation ......................................................................................................................... 10 VIII. Le risque physique de perte ou vol.......................................................................................................... 10
QUEL EST LE COUT DES PERTES DE DONNEES POUR L’ENTREPRISE ?....................................................................... 11 I. Pertes de données : des dommages importants et généralisés au niveau mondial ................................. 11 II. Des pertes financières et ralentissement voire arrêt des activités............................................................. 11 III. Obligation légale de déclaration des incidents informatiques .................................................................... 12
QUEL EST LE RISQUE DU BYOD POUR LES ENTREPRISES ? ......................................................................................... 13 I. Le BYOD, une pratique nouvelle qui manque encore d’encadrement ....................................................... 13 II. BYOD et sécurité ............................................................................................................................................ 13
QUELLE EST LA SECURITE DU CLOUD POUR LES ENTREPRISES ? ............................................................................... 15 I. Le cloud computing : quels avantages et quels risques pour les dirigeants tunisiens ? ............................ 15 II. Protégez votre entreprise sans faire une croix sur les avancées technologiques ..................................... 15 III. Agir pour se prémunir des risques ................................................................................................................ 16 IV. Usages nomades : minimiser les risques de sécurité .................................................................................. 17 V. Sécurité du cloud : conclusion ...................................................................................................................... 17
SOLUTIONS POUR AMELIORER LA SECURITE INFORMATIQUE DES ENTREPRISES .................................................... 18 I. Protéger physiquement son infrastructure.................................................................................................. 18 II. Protéger l’accès à internet ............................................................................................................................ 18 III. Protéger le réseau informatique .................................................................................................................. 18 IV. Sauvegarder vos données informatiques ..................................................................................................... 18 V. Crypter les données ....................................................................................................................................... 19 VI. Filtrer les courriers électroniques ................................................................................................................. 19 VII. Sensibiliser les utilisateurs ....................................................................................................................... 19 VIII. Anticiper les incidents et minimiser leurs impacts ................................................................................. 19 IX. Sécurité informatique des entreprises : conclusion .................................................................................... 20
DIRIGEANT D’ENTREPRISE, QUELLE POLITIQUE DE SECURITE ADOPTER EN MATIERE D’INFORMATIQUE ? .......... 21 I. Sensibiliser les utilisateurs aux risques informatiques ................................................................................ 21 II. Sécuriser les postes de travail ....................................................................................................................... 21 III. Sécuriser le réseau de l’entreprise ............................................................................................................... 22 IV. Anticiper la perte ou la divulgation de données confidentielles ................................................................ 22
TABLE DES MATIERES
V. Politique de sécurité : conclusion ................................................................................................................. 22
SECURITE DES DONNEES D’ENTREPRISE : 10 REGLES DE BASE POUR VOS EMPLOYES ............................................ 24 I. Choisir des mots de passe complexes .......................................................................................................... 24 II. Vérifier la provenance des courriels ............................................................................................................. 24 III. Se méfier des messages contenant des liens ............................................................................................... 25 IV. Éviter d’ouvrir des pièces jointes suspectes ................................................................................................ 25 V. Ne pas participer à des chaînes de messages .............................................................................................. 25 VI. Contrôler la divulgation d’informations personnelles ................................................................................. 25 VII. Planifier les sauvegardes des données d’entreprise .............................................................................. 25 VIII. Veiller à la mise à jour des logiciels et systèmes d’exploitation ............................................................ 26 IX. Désactiver les composants JavaScript et ActiveX ........................................................................................ 26 X. Utiliser le compte administrateur à bon escient ......................................................................................... 26 XI. En conclusion ................................................................................................................................................. 26
LE ROLE DE L’INFRASTRUCTURE DANS LE SYSTEME DE SECURITE INFORMATIQUE DES ENTREPRISES .................. 27 I. Les bases d’un système de sécurité informatique performant .................................................................. 27 II. Un Système d’Information sous contrôle ..................................................................................................... 27 III. Sécuriser tous les terminaux ......................................................................................................................... 28
LE CRYPTAGE DES DONNEES AMELIORE LA SECURITE DE VOS INFORMATIONS ...................................................... 29 I. Les enjeux de la sécurité du poste de travail ............................................................................................... 29 II. Le cryptage des données du poste de travail............................................................................................... 30 III. La solution de cryptage d’Office 365 ............................................................................................................ 31
COMMENT COLLABORER DE FAÇON SECURISEE DANS LE CLOUD ? ......................................................................... 32 I. Virtualisation et sécurisation des données .................................................................................................. 32 II. Virtualisation du poste de travail : la solution pour collaborer de façon sécurisée ? ................................ 33
MOBILITE : COMMENT PROTEGER L’ACCES AUX DONNEES DE L’ENTREPRISE ? ...................................................... 34 I. Mobilité et sécurité en Tunisie : réglementation ........................................................................................ 34 II. 1ère étape : définir des règles d’utilisation… et s’y tenir ............................................................................ 34 III. 2ème étape : mettre en place la solution de gestion la plus idoine ........................................................... 35 IV. Savoir protéger l’accès aux données de l’entreprise : conclusion .............................................................. 35
IL EST TEMPS DE LANCER UN AUDIT DE SECURITE INFORMATIQUE ! ....................................................................... 36 I. L’audit de sécurité informatique pour diminuer les risques ....................................................................... 36 II. L’analyse de l’organisation générale de la sécurité ..................................................................................... 36 III. La détection des vulnérabilités du système ................................................................................................. 36 IV. Le cadre juridique concernant les audits de sécurité informatique ........................................................... 37
SAUVEGARDE DES DONNEES INFORMATIQUES : LES SOLUTIONS QUI FONCTIONNENT ......................................... 38 I. L’importance d’effectuer des sauvegardes est maintenant compris ......................................................... 38 II. Sept supports principaux de sauvegarde ..................................................................................................... 38
PROTECTION DES POSTES DE TRAVAIL CONTRE LES ATTAQUES EXTERIEURES ........................................................ 40 I. Protection des postes de travail contre les attaques et menaces .............................................................. 40 II. Pourquoi faire appel à un professionnel pour sécuriser ses postes de travail ? ........................................ 41
A propos ........................................................................................................................................................................ 42
Tous droits réservés © 2017-2018, reproduction partielle ou totale interdite sans l’avis préalable de l’auteur.
Edition 2017/2018
ADVANCIA IT SYSTEM – LE GUIDE DE LA SECURITE 4
La sécurité des données est une problématique à laquelle de plus en plus d’entreprises sont confrontées à travers le monde. En Tunisie, les NTIC (Nouvelles Technologies d’Information et de Communication) ont connu une évolution considérable depuis les années 90.. Le pays est d’ailleurs le premier d’Afrique du Nord à implanter Internet. Grâce à des infrastructures qui s’affirment comme parmi les plus développées au niveau continental (réseaux haut débit), la Tunisie est un vecteur d’opportunités pour les PME qui souhaitent optimiser leur Système d’Information. Néanmoins, cet essor ne doit pas faire oublier l’impact financier et organisationnel d’une éventuelle faille de sécurité. D’autant plus que la Tunisie a instauré un cadre réglementaire très avancé en termes de sécurité informatique et de protection des données, imposant aux entreprises de toutes tailles de déployer des moyens humains et techniques en conséquence. Découvrez quelles sont les solutions les plus efficaces et rentables pour sécuriser l’environnement informatique de votre PME tunisienne.
I. La sécurité des données, préoccupation de premier ordre pour les DSI en Tunisie
Le traitement, le stockage et le transfert de données sont à la fois incontournables de toute activité professionnelle et synonymes de risques. Il faut savoir que la mise en place d’une politique de sécurité au sein de l’entreprise est un investissement largement rentabilisé. Une faille informatique peut avoir d’importantes conséquences économiques :
• Perte ou diffusion d’informations sensibles mettant en péril la notoriété de l’entreprise et la confiance des clients
• Diminution de la productivité et immobilisation de la production en cas de défaillance des systèmes
• Remplacement de matériel en cas de compromission grave d’un poste de travail (malwares les plus puissants)
Les responsables informatiques ont donc la lourde tâche de proposer les infrastructures, applications et outils les plus développés, tout en supervisant strictement leur utilisation. On distingue deux grands types de risques : les menaces externes et les erreurs humaines.
1. Les risques de sécurité externes
Ils sont de différentes natures et sont toujours dus à une intrusion sur le réseau de l’entreprise, pouvant remettre en cause l’intégrité de ses données.
• Les virus : il faut savoir que plus d’une vingtaine de nouveaux virus ou malwares sont créés chaque jour. Le niveau de dangerosité des virus dépend de leur complexité. Les spywares ou
LA SECURITE DES DONNEES EST-ELLE UN ENJEU POUR LES PME TUNISIENNES ?
ADVANCIA IT SYSTEM – LE GUIDE DE LA SECURITE 5
“logiciels espions” collectent et récupèrent des données personnelles et sensibles. Les vers sont des virus qui ont la capacité de se répliquer pour infecter le système d’exploitation et en altérer le fonctionnement. Les chevaux de Troie, plus insidieux, prennent l’apparence d’un programme “normal” pour récupérer ou altérer des données.
• Le piratage : les motivations des hackers sont souvent financières. Le “ransomware” repose sur la prise en otage des données de l’entreprise, rendues à leur propriétaire moyennant une somme d’argent.
2. Les risques de sécurité internes
• On estime que 35% des incidents proviennent d’erreurs de manipulation des salariés. Un simple clic sur le lien d’un message de pishing ou le téléchargement d’un logiciel illicite peuvent ouvrir une brèche.
• Les pannes des serveurs ou du matériel hardware mettent en péril l’activité et peuvent entraîner une perte de données non sauvegardées.
II. Sécurité des données et réglementation en Tunisie
Au-delà des écueils financiers et organisationnels engendrés par un dysfonctionnement informatique ou un problème de sécurité, la responsabilité des dirigeants est stigmatisée par la réglementation tunisienne.
En Tunisie, la cyber-sécurité est gérée par l’ANSI (Agence Nationale de la Sécurité Informatique). Cette organisation créée en 2004 sous tutelle du Ministère des Technologies de la Communication et de l’Economie Numérique, a pour objectif de surveiller les Systèmes Informatique et réseaux publics et privés. Son rôle est multiple : veille technologique, contrôle des politiques de sécurité au sein des entreprises et des institutions.
En cas d’incident entraînant une perte de données confidentielles, les dirigeants et responsables en Tunisie sont soumis à une obligation de déclaration à l’ANSI, selon l’article 1a de la loi n° 2004-5 : “Tout exploitant d’un système informatique ou réseau, qu’il soit organisme public ou privé, doit informer immédiatement l’agence nationale de la sécurité informatique de toutes attaques, intrusions et autres perturbations susceptibles d’entraver le fonctionnement d’un autre système informatique ou réseau, afin de lui permettre de prendre les mesures nécessaires pour y faire face.”
A savoir : en Tunisie, les organismes publics et certains organismes privés ont l’obligation d’effectuer un audit périodique de leur infrastructure et réseaux. Cette obligation est soumise au contrôle de l’ANSI. Le décret n° 2004-1250 de la loi du 25
mai 2004 en fixe les conditions.
III. Les démarches à mettre en œuvre pour sécuriser le SI de sa PME
La mise en place d’une Politique de Sécurité du Système d’Information (PPSI) est la clé de voûte de toute entreprise qui ambitionne de déployer des solutions adaptées en matière de sécurité informatique. Celui-ci se concrétise à travers différentes actions :
ADVANCIA IT SYSTEM – LE GUIDE DE LA SECURITE 6
• Définir l’organisation structurelle du PPSI : en premier lieu, il est indispensable de désigner des acteurs de confiance qui déploieront et superviseront la sécurité du Système d’Information.
• Rédiger un cahier des charges contenant des objectifs clairs et chiffrés, après un état des lieux approfondi. Il s’agit de définir les situations les plus à risque pour prioriser les chantiers à mettre en œuvre. Toutes les entreprises n’ont pas besoin du même arsenal en matière de sécurité et la dimension budgétaire ne doit pas être éludée.
• Sécuriser le réseau et les équipements (hardware) à l’aide de tous les moyens matériels à disposition : antivirus, Firewall, audits de sécurité automatisés et réguliers, mises à jour régulières, sauvegardes automatiques, protocoles sécurisés (HTTPS et SFTP), systèmes de détection d’intrusion.
• Instituer des règles strictes en matière d’authentification, de gestion des accès et de cryptage des ressources.
• Sensibiliser les salariés en les informant de la nécessité d’adopter les bons gestes : téléchargement des mises à jour des logiciels de sécurité (antivirus), utilisation de mots de passe complexes et dédiés à chaque activité, méfiance en cas de mails dont la provenance est inconnue, pas de téléchargements inutiles ou suspects, verrouillage systématique du poste de travail en cas d’absence.
IV. L’anticipation des incidents
En matière de sécurité des données, la gestion des risques ne se limite pas à la prévention. Il s’agit également d’établir une marche à suivre impliquant tous les acteurs concernés, en cas d’incident (interruption d’activité, intrusion d’une menace externe, défaillance ou compromission des postes de travail, sinistre, dommages physiques).
V. Plan de continuité d’activité et Plan de reprise d’activité
Aucune entreprise n’est à l’abri d’une situation de crise et une faille dans la sécurité des données peut stopper une activité.
Le PCA (Plan de Continuité d’Activité) définit les actions à mettre en place pour garantir la meilleure disponibilité de l’infrastructure informatique. Il repose sur le déploiement de backups (systèmes de relève) qui peuvent prendre le relais en cas de panne ou dysfonctionnement. L’objectif est de garantir la poursuite des activités les plus stratégiques. Le PCA permet de limiter les conséquences matérielles et financières de l’incident.
Le PRA (Plan de Reprise d’Activité) a pour vocation d’améliorer la réactivité des équipes pour permettre un redémarrage rapide et dans les meilleures conditions possibles des activités après une interruption effective. Le PRA repose sur l’implication des salariés et l’utilisation de solutions matérielles (systèmes de sauvegarde, restauration de données, etc.). L’analyse de l’incident dit permettre de réévaluer la politique de sécurité en place qui devra être renforcée au besoin.
VI. Un cas particulier : l’informatique nomade
Selon une étude menée par le cabinet Forrester Research en 2015, le cloud a permis de réaliser, au niveau mondial, plus de 4,3 millions d’économies sur les coûts informatiques (logiciels, stockage
ADVANCIA IT SYSTEM – LE GUIDE DE LA SECURITE 7
maintenance et gestion des réseaux) en l’espace de 3 ans. L’infrastructure tunisienne, de par sa qualité et son développement, est une manne d’opportunités pour les petites entreprises désirant s’affranchir des coûts liés à la gestion interne de leur SI. Néanmoins, le cloud et tous les outils qui en découlent (Smartphones, tablettes) nécessitent des exigences accrues en termes de sécurité.
La dématérialisation des données et leur consultation/traitement à distance peuvent accroître la vulnérabilité des accès. C’est notamment le cas lorsque les utilisateurs se connectent par le biais de réseaux externes à l’entreprise, qui en disposent pas du même niveau de sécurité. Les réseaux en Wi-Fi public sont particulièrement propices aux failles de sécurité.
Le cryptage des dossiers professionnels hébergés en mode cloud permet de se prémunir des potentiels risques liés au vol ou à la corruption des informations,
grâce à une protection accrue des données. Cette précaution permet également aux professionnels de bloquer l’accès aux informations critiques en cas de vol ou
perte des terminaux.
Etant donné que l’accès au cloud (privé ou public) nécessite une authentification des utilisateurs, il faut veiller à ce que chaque mot de passe personnel soit unique et suffisamment complexe pour échapper aux techniques de “craquage” des hackers.
VII. Conclusion sur la sécurité des données
Pour conclure sur la sécurité des données en entreprise, on s’aperçoit que l’évolution rapide et constante des nouvelles technologies en Tunisie permet aux PME locales de disposer de tous les outils indispensables à la conduite de leurs activités et à leur croissance. En contrepartie, celles-ci doivent se plier aux règles de sécurité et de protection des données, afin d’éviter des écueils en cas de faille technique ou humaine. Cet investissement est largement compensé par les
ADVANCIA IT SYSTEM – LE GUIDE DE LA SECURITE 8
Toutes les entreprises, y compris les PME, doivent se prémunir des menaces susceptibles de ralentir leur activité ou porter intégrité à leurs ressources et à leurs données les plus précieuses. Saviez-vous que votre infrastructure informatique est la première porte d’entrée aux intrusions ou erreurs pouvant mettre en péril votre société ? Advancia IT System vous éclaire sur les 8 principaux risques informatiques et vous donne des solutions pour sécuriser votre parc informatique.
I. Les virus et malwares (programmes malveillants), les risques informatiques les plus courants
En perpétuelle évolution, les virus sont des logiciels programmés pour nuire. Ils peuvent s’attaquer physiquement aux postes de travail ou agir en silence, pour récupérer des informations sensibles. L’on distingue généralement les virus capables de se propager et d’infecter tout un système, comme les vers, des rootkits, qui se dissimulent pour obtenir un accès pérenne au système.
Les bonnes pratiques : installer un logiciel antivirus professionnel sur tous les postes de travail, y compris les terminaux mobiles personnels et professionnels (évitez les versions gratuites et open source). Installer les mises à jour régulièrement.
Figure 1 Source : Symantec – Internet Security Threat Report 2017
LES 8 RISQUES INFORMATIQUES A TRAITER DANS LES PME
ADVANCIA IT SYSTEM – LE GUIDE DE LA SECURITE 9
II. Les emails frauduleux
Plus insidieux que les virus, puisqu’ils sollicitent une action humaine de l’utilisateur, les menaces de social engineering sont des tentatives de piraterie qui s’apparentent à de la fraude. L’utilisateur reçoit un mail d’une source qu’il pense être de confiance et réalise une action qui compromet la sécurité du SI ou un ransomware prend le contrôle de ses données et les crypte.
Les bonnes pratiques : former et sensibiliser l’ensemble du personnel au social engineering en mettant en lumière les moyens de détection humains et techniques (vérification de l’objet du mail et de la source d’envoi, utilisation des options de filtrage anti-spams).
Figure 2 Malware : Processus d’infrection
III. Le piratage
Les pirates informatiques ou “hackers” parviennent à s’introduire dans un système intermédiaire par le biais d’une brèche de sécurité au niveau du réseau ou d’un ou plusieurs postes de travail. Ces risques informatiques sont moins élevés mais les conséquences beaucoup plus graves.
Les bonnes pratiques : déployer une stratégie de mots de passe complexes, un pare-feu nouvelle génération bien configuré et à jour. Faire appel à prestataire
externe pour réaliser un audit Pentest (test d’intrusion).
IV. L’espionnage industriel
L’espionnage industriel mis en œuvre par un concurrent ou par un pirate cherchant à revendre des informations sensibles peut aller de la corruption de données au vol de brevet, portant atteinte à la propriété intellectuelle de l’entreprise.
Les bonnes pratiques : supprimer les accès des anciens utilisateurs (ex-employés) et créer des comptes invités aux droits restreints à destination des intervenants extérieurs à l’entreprise (prestataire).
ADVANCIA IT SYSTEM – LE GUIDE DE LA SECURITE 10
V. La malversation
Saviez-vous que la majorité des fraudes informatiques se déroulent sur le lieu de travail et peuvent provenir de vos propres collaborateurs ? Selon le cabinet Ernst & Young, plus d’une entreprise sur cinq en a été victime au niveau mondial entre 2009 et 2011. Dans ce contexte, les systèmes de détection d’intrusion ne suffisent pas à vous protéger.
Les bonnes pratiques : restreindre les accès aux dossiers confidentiels et sensibles en fonction des profils d’utilisateurs. Réaliser un partitionnement des dossiers et ressources par services, avec authentification. Limiter les droits d’administrateurs aux seuls responsables (DSI).
VI. La perte d’informations confidentielles
Elle peut survenir suite à un dysfonctionnement du hardware (panne des serveurs) ou à une erreur de vos collaborateurs.
Les bonnes pratiques : mettre en place un système de sauvegarde performant (backup).
VII. L’erreur de manipulation
Même si l’erreur est humaine, une mauvaise manipulation peut avoir des conséquences graves sur votre activité.
Les bonnes pratiques : former les employés à l’utilisation des applications et logiciels. Mettre en place des points de restauration permettant de récupérer une ancienne version des fichiers.
VIII. Le risque physique de perte ou vol
La démultiplication des terminaux (Smartphones, tablettes, ordinateur portable) voyageant à l’extérieur des locaux engendre un risque accru de perte ou de vol.
Les bonnes pratiques : crypter les documents les plus confidentiels et restreindre les accès aux documents par un processus d’authentification. Sensibiliser les
utilisateurs aux risques de sécurité pour éviter la diffusion des mots de passes et identifiants (ne jamais les noter sur papier, par exemple).
ADVANCIA IT SYSTEM – LE GUIDE DE LA SECURITE 11
Il est reconnu que les pertes de données induisent au niveau mondial des coûts financiers conséquents et complexes à estimer. À la disparition même des informations s’ajoute un ralentissement global du fonctionnement de l’entreprise. De plus, les dirigeants ont la responsabilité de déclarer aux autorités chaque perturbation de leur système informatique.
I. Pertes de données : des dommages importants et généralisés au niveau mondial
L’index de « Global Data Protection » de Dell EMC évalue le niveau de protection des données dans des entreprises du monde entier. Il se base sur des informations recueillies au printemps 2016 auprès de 2 200 décideurs IT travaillant dans des organismes publics ou privés, dans 18 pays dont les États-Unis, la France, l’Allemagne, le Royaume-Uni (1) …
Globalement, au cours des douze derniers mois, plus de 50% de ces organisations ont subi une interruption imprévue de leurs systèmes et 29% d’entre elles ont perdu des données.
Le préjudice financier pour les organisations ayant subi des pertes d’informations est chiffré en moyenne à 914 000 $. Un autre enseignement à tirer de cette
enquête est que les coûts liés aux pertes de données sont d’autant plus importants que le nombre de fournisseurs chargés de protéger ces informations est grand.
II. Des pertes financières et ralentissement voire arrêt des activités
L’argent perdu résulte de la combinaison de plusieurs phénomènes.
Le premier concerne la valeur intrinsèque des données, variable selon la nature et le volume des informations.
En second lieu, lorsque la perte des données est avérée, le processus de récupération démarre et peut durer quelques heures ou plusieurs journées. Pendant ce temps, certaines activités de l’entreprise, voire la totalité d’entre elles, sont bloquées, générant des retards dans la production ou la délivrance de services. Le dépassement de dates limites peut même entraîner le paiement de pénalités.
QUEL EST LE COUT DES PERTES DE DONNEES POUR L’ENTREPRISE ?
ADVANCIA IT SYSTEM – LE GUIDE DE LA SECURITE 12
Enfin, après une attaque informatique, la productivité est diminuée. D’une part, la vitesse de réponse des réseaux peut avoir été affectée. D’autre part, si certains services parviennent encore à travailler, ils sont ralentis par l’absence de données indispensables.
III. Obligation légale de déclaration des incidents informatiques
Depuis 2004 (article 10 de la loi n° 2004-5), l’ensemble des organismes publics ou privés tunisiens qui exploitent un système informatique ou un réseau sont obligés de déclarer à l’ANSI les incidents informatiques qu’ils subissent.
Créée en 2004, l’Agence Nationale de la Sécurité Informatique (ANSI) dépend du Ministère des Technologies, de la Communication et de l’Économie Numérique (MINCOM). Sa mission consiste notamment à surveiller les systèmes et réseaux informatiques privés et publics. Toute perturbation gênant le fonctionnement habituel des systèmes d’information (attaque virale, intrusion, vol ou perte de données…) doit par conséquent être signalée. Les dirigeants d’entreprise peuvent notamment utiliser une adresse électronique spécifique : [email protected].
(1) : https://france.emc.com/infographics/global-data-protection-index-global.htm
ADVANCIA IT SYSTEM – LE GUIDE DE LA SECURITE 13
En Tunisie, le développement rapide des nouvelles technologies d’information et de communication a été l’un des piliers de la croissance des entreprises. Cependant, toutes les entreprises, notamment les TPE et PME qui doivent composer avec des budgets parfois serrés, ne peuvent se permettre d’investir dans des équipements indispensables, mais onéreux. Les Smartphones et tablettes, par exemple, sont de précieux outils mais restent encore inaccessibles pour beaucoup de petites sociétés tunisiennes. Dans ce contexte, il peut être tentant pour les dirigeants d’entreprise de favoriser certaines pratiques, comme le BYOD (Bring Your Own Device). Mais en autorisant leur personnel à utiliser leur propre matériel, les dirigeants de TPE et PME n’encourent-ils pas certains risques de sécurité ? Nous allons voir quels sont les atouts et les inconvénients du BYOD et comment l’utiliser sans compromettre la sécurité des données de l’entreprise.
I. Le BYOD, une pratique nouvelle qui manque encore d’encadrement
L’utilisation des Smartphone s’est largement démocratisée en Tunisie, puisque selon les chiffres publiés par l’INT (Instance Nationale des Télécommunications), plus de 36% des Tunisiens en possèdent un.
L’augmentation de ces terminaux nomades, très souvent utilisés par les salariés sur leur lieu de travail, peut être considérée comme une opportunité par les dirigeants d’entreprise. En se connectant au réseau professionnel par le biais de leur propre appareil, les salariés peuvent améliorer leur productivité en travaillant sur des dossiers chez eux ou en répondant à des mails professionnels lors du trajet bureau-domicile.
Ces gains de productivité sont d’autant plus intéressants qu’ils ne génèrent pas de coûts supplémentaires pour l’entreprise. Néanmoins, le recours au BYOD peut soulever de nombreuses questions d’ordre technique et éthique :
• Comment cloisonner les informations professionnelles des informations personnelles ? • Comment lutter contre la fuite de données sensibles en dehors des murs de l’entreprise ? • Comment instituer des règles strictes en matière d’utilisation et évangéliser les utilisateurs ?
II. BYOD et sécurité
Beaucoup jugent que le recours au BYOD et la sécurité sont incompatibles. En réalité, ces outils peuvent être facilement intégrés au plan de sécurisation des infrastructures informatiques existantes.
Les différents aspects qui posent problème sont les suivants :
QUEL EST LE RISQUE DU BYOD POUR LES ENTREPRISES ?
ADVANCIA IT SYSTEM – LE GUIDE DE LA SECURITE 14
• Connexion au réseau de l’entreprise avec des appareils non sécurisés : lorsque les terminaux utilisés ne sont pas protégés, il existe un risque qu’un virus puisse se propager et s’étendre à l’ensemble du réseau. Il est donc essentiel de vérifier l’installation d’un antivirus et d’un pare-feu au niveau de chaque appareil utilisé.
• Connexion des appareils à des réseaux externes à l’entreprise : si un salarié accède aux ressources de l’entreprise par le biais d’un réseau non sécurisé (réseau public ou réseau personnel, par exemple), les données professionnelles sont directement exposées. Le cryptage des données et l’utilisation d’un VPN (Réseau Privé Virtuel) peuvent limiter les risques.
• Séparation des accès personnels et professionnels pour protéger les informations privées des employés. Il est possible de créer un environnement virtuel dédié aux ressources de l’entreprise, totalement indépendant des fichiers, informations et messages stockés sur un appareil personnel.
Pour conclure, l’utilisation du BYOD peut se révéler être un atout pour les sociétés tunisiennes qui veulent maîtriser leurs dépenses, à condition de déployer les
démarches nécessaires pour sécuriser ce type de terminaux et former les salariés aux bonnes pratiques.
ADVANCIA IT SYSTEM – LE GUIDE DE LA SECURITE 15
Le cloud computing prend de plus en plus d’importance à travers le monde avec le développement d’offres de cloud public ou et de cloud privé, ainsi que la prolifération d’applications en mode Saas. Les entreprises en tirent parti mais elles doivent faire attention à se protéger et faire appel aux experts du domaine si besoin. Petit panorama de la sécurité du cloud computing…
I. Le cloud computing : quels avantages et quels risques pour les dirigeants tunisiens ?
En Tunisie, l’Internet grand public existe depuis 1995. Les technologies de pointe permettant d’étoffer et de densifier les réseaux se sont développés progressivement, à l’instar d’autres pays tels que la France. Le cloud computing en fait partie et connaît un engouement croissant depuis 2010. Il faut admettre que les avantages de cette technologie sont nombreux, notamment en ce qui concerne la maîtrise des coûts informatiques et le gain de productivité. Néanmoins, l’on peut se demander si les TPE et PME tunisiennes souhaitant passer au cloud ne prennent pas un risque. Advancia IT System vous éclaire sur les grands enjeux du cloud computing et les meilleures méthodes pour en accroître la sécurité.
II. Protégez votre entreprise sans faire une croix sur les avancées technologiques
Bien conscient des bénéfices économiques et organisationnels procurés par le cloud computing, de nombreux dirigeants tunisiens sont encore frileux, redoutant la perte, le vol ou la corruption de leurs données.
L’externalisation de l’infrastructure informatique dans le cadre du cloud public peut donner l’impression d’une perte de contrôle.
QUELLE EST LA SECURITE DU CLOUD POUR LES ENTREPRISES ?
ADVANCIA IT SYSTEM – LE GUIDE DE LA SECURITE 16
Figure 3 Source : Symantec – Internet Security Threat Report 2017
En réalité, les Datacenter offrent un niveau supérieur de sécurité, en comparaison d’un SI intégré physiquement à l’entreprise. Et ce, à moindre coût ! Par exemple Amazon Web Services affirme offrir un bouclier contre toutes les attaques à l’exception de celles ciblant les applications, qui représentent 18% des cyberattaques.
Néanmoins, il est recommandé de vérifier les prestations proposées par l’hébergeur pour éviter les mauvaises surprises. Voici les points de vigilance à garder à l’esprit :
• La garantie de disponibilité (aussi appelée “uptime”) : elle s’exprime souvent en pourcentage et permet d’apprécier la continuité de service offerte par le prestataire
• La protection des données et les droits d’accès : l’entreprise doit rester propriétaire des ressources stockées, même si la responsabilité de la sécurité des données est transférée à l’hébergeur
• Le niveau d’aide et la réactivité du support • La localisation physique des serveurs
III. Agir pour se prémunir des risques
L’utilisation d’un cloud, qu’il soit public ou privé, ne dispense pas l’entreprise de mettre en place une politique de sécurité visant à renforcer la protection de ses informations sensibles. Voici ce que vous pouvez faire à votre niveau :
• Mettre en place une solution de chiffrement pour crypter les informations/données critiques • Définir et autoriser les accès des utilisateurs par le biais de mots de passe • Accroître la sécurité de tous les terminaux utilisés en installant un système de détection
d’intrusion, un antivirus et un pare-feu
ADVANCIA IT SYSTEM – LE GUIDE DE LA SECURITE 17
Figure 4 Estimations d’IDC des dépenses mondiales sur le marché de l’infrastructure informatique.
IV. Usages nomades : minimiser les risques de sécurité
L’un des avantages du cloud computing est de permettre à vos salariés d’accéder en tout temps et en tout lieux aux informations et aux applications dont ils ont besoin pour exercer leur activité.
En contrepartie, il est essentiel de sensibiliser les utilisateurs aux problématiques de perte, vol ou fuite des données. Une bonne gestion des mots de passe, par exemple, est indispensable pour limiter les accès par des tiers.
V. Sécurité du cloud : conclusion
Pour conclure, le cloud computing offre une multitude d’opportunités aux dirigeants tunisiens. Néanmoins, une attention particulière doit être portée à la sécurisation de cet environnement, notamment lorsque les utilisateurs sont amenés à se connecter à l’interface depuis l’extérieur. Des mesures de sécurité doivent être prises pour éviter la perte ou le vol de données notamment grâce à une politique claire vis-à-vis du BYOD (Bring Your Own Device)
ADVANCIA IT SYSTEM – LE GUIDE DE LA SECURITE 18
En tant que dirigeant d’entreprise, vous êtes directement sensibilisé aux problématiques de sécurité. Votre système d’information est susceptible d’être menacé par diverses attaques, portant atteinte à l’intégrité de vos données et celles de vos clients. Peut-être vous sentez vous dépassé par l’envergure et le nombre des actions à mettre en place ou préparez-vous activement un prochain audit de sécurité ? Advancia IT System donne huit conseils pour renforcer la sécurité informatique des entreprises à faible coût.
I. Protéger physiquement son infrastructure
La sécurité physique de votre matériel informatique (hardware) revêt un double enjeu. Il s’agit à la fois de pérenniser des équipements coûteux, pouvant être endommagés en cas de sinistre ou d’attaque locale ou menée à distance, et de protéger le contenu de vos PC, serveurs et autres matériels de stockage. La sécurité physique de votre système d’information passe par l’utilisation de détecteurs de fuite ou d’incendie. Le déplacement du matériel sensible (racks et serveurs) dans des salles dédiées et verrouillées pour en restreindre l’accès aux seules personnes habilitées est également recommandé.
II. Protéger l’accès à internet
La sécurité informatique des entreprises commence avec la protection vis-à-vis de l’extérieur. Votre connexion à Internet doit toujours être sécurisée, notamment si vous avez généralisé l’utilisation du Wifi pour faciliter la vie de vos collaborateurs. Le web est une porte d’entrée pour les hackers et logiciels malveillants (malware). Utilisez une clé WPA ou WPA2, qui sont des protocoles de sécurité fiables. Si vos salariés utilisent la connexion de votre entreprise pour surfer sur le web avec leur propre matériel (Smartphones), leurs appareils doivent disposer d’un niveau de sécurité suffisant. Le cas échéant, vous pouvez interdire l’utilisation d’appareils extérieurs et non reconnus, par principe de précaution.
III. Protéger le réseau informatique
De nombreuses menaces peuvent porter atteinte à l’intégrité de vos réseaux : virus, malwares, ransomwares, hackers, etc. Heureusement, différentes solutions de sécurité aident les entreprises à se protéger correctement. Un pare-feu doit être impérativement installé et fonctionner sur tous les postes de travail, y compris nomades, de même qu’un antivirus performant, adapté à l’environnement professionnel. Il faut veiller à installer fréquemment les mises à jour de ces logiciels pour que ces derniers restent efficaces.
IV. Sauvegarder vos données informatiques
SOLUTIONS POUR AMELIORER LA SECURITE INFORMATIQUE DES ENTREPRISES
ADVANCIA IT SYSTEM – LE GUIDE DE LA SECURITE 19
La sécurité informatique des entreprises prend aussi en compte la restauration des données en cas de sinistre ou d’attaque. Protéger vos données est une nécessité : elles sont à la fois votre base de travail et l’historique de votre entreprise. Mettez en place des sauvegardes automatiques et un système de restauration permettant de limiter les effets délétères liés à la perte ou au vol de données. Vos collaborateurs pourront sauvegarder les fichiers les plus essentiels sur des disques durs externes, qui seront conservés dans des espaces spécifiques. Les plans de reprise d’activité et les plan de continuité d’activité doivent être étudiés de près.
Si les serveurs sont physiquement installés dans vos locaux, un serveur backup, capable de prendre le relais en cas de dysfonctionnement devra être installé. Les entreprises qui ont recours au cloud computing doivent toujours vérifier le niveau
de sécurité et de redondance proposé par leur prestataire.
V. Crypter les données
Le chiffrage ou cryptage des données consiste à rendre celles-ci illisibles aux utilisateurs qui n’y ont pas accès. Le cryptage est indispensable en cas de vol, de corruption ou d’usurpation d’identité. Il doit être associé à des mots de passe complexes pour une sécurité accrue.
VI. Filtrer les courriers électroniques
L’utilisation d’un filtre anti spam permet de se prémunir du social engineering, pratique qui consiste à imiter un interlocuteur de confiance pour récupérer des informations et des ressources de l’entreprise. Pour renforcer l’anti spam intégré de votre logiciel de messagerie, vous pouvez utiliser des filtres dédiés comme Symantec Messaging Gateway ou Symantec Microsoft Exchange Online Protection.
VII. Sensibiliser les utilisateurs
Vous devez évangéliser l’ensemble de vos collaborateurs pour les sensibiliser aux problématiques de la sécurité informatique. Un utilisateur averti en vaut deux. En cas de dysfonctionnement, de mail suspect ou de compromission du poste de travail, chaque membre de vos équipes doit savoir comment agir et comment éviter les pratiques à risque (utilisation de mots de passe personnels, absence de verrouillage des postes de travail, diffusion involontaire des fichiers de l’entreprise).
VIII. Anticiper les incidents et minimiser leurs impacts
La meilleure manière d’éviter les incidents est de mettre en place une politique de sécurité informatique et de s’y tenir. Etant donné qu’il est impossible d’atteindre le risque 0, vous devez anticiper les failles de sécurité, tant sur le plan matériel qu’humain. La mise en place d’un Plan de Reprise d’Activité (PRA) permet notamment de minimiser les dégâts financiers ou opérationnels après une attaque.
ADVANCIA IT SYSTEM – LE GUIDE DE LA SECURITE 20
IX. Sécurité informatique des entreprises : conclusion
Sécuriser son système d’information est à la portée de tout dirigeant, tout du moins pour éviter les pièges les plus classiques. Beaucoup d’entreprises n’ont pourtant pas encore mis en œuvre des mesures de base comme la mise en place d’un logiciel antivirus ou la sauvegarde de ses données.
ADVANCIA IT SYSTEM – LE GUIDE DE LA SECURITE 21
La sécurité informatique fait partie des préoccupations de tous les dirigeants d’entreprises, quelles que soient leurs tailles. La presse n’a cessé ces derniers mois de relater les conséquences parfois désastreuses de cyberattaques subies par de grands groupes. Les pertes financières dues aux vols de données se chiffrent en millions d’euros. La question désormais n’est plus de savoir si votre société subira une attaque, mais quand elle la subira ! Hors, si des grandes entreprises capables de consacrer de gros budgets pour sa politique de sécurité de l’information sont vulnérables, que peuvent faire les dirigeants de PME qui n’ont pas la possibilité d’y consacrer beaucoup de ressources ? Nous allons vous montrer ici qu’il est possible de mettre en place une réelle politique de sécurité dans une PME, et qu’à défaut de pouvoir sécuriser totalement son système informatique, il est possible de minimiser les risques.
I. Sensibiliser les utilisateurs aux risques informatiques
La première chose à faire est de s’assurer que tous les employés, quels que soient leurs niveaux hiérarchiques, aient bien conscience des risques qu’ils peuvent faire courir à l’entreprise en ne respectant pas les mesures de sécurité préconisées, même si à première vue elles peuvent sembler contraignantes. Si les périphériques USB sont interdits par exemple, c’est uniquement parce qu’ils permettent des échanges entre le milieu contrôlé de l’entreprise et le milieu personnel ou familial, qui est certainement moins sécurisé.
Une charte informatique pourra formaliser les règles relatives au bon usage d’Internet, de la messagerie ou de la téléphonie. Des fiches pratiques pourront être
communiquées régulièrement.
II. Sécuriser les postes de travail
Seul un utilisateur accrédité doit pouvoir accéder à un poste de travail de l’entreprise et aux données qu’il contient. Si l’on pense immédiatement au mot de passe, il y a bien d’autres risques à prendre en compte.
Bien entendu, une politique rigoureuse de gestion des mots de passe est indispensable. Il doit être individuel (un même mot de passe ne doit servir à verrouiller qu’un seul et unique appareil), rester secret (évitez de le placer sur un post-it à côté de l’écran, mémorisez-le même si ça vous paraît difficile) et être difficile à deviner (n’utilisez aucune information relative à votre famille, vos enfants, vos animaux de compagnie…). Dans l’idéal, le mot de passe devra être composé d’au moins 8 caractères comprenant
DIRIGEANT D’ENTREPRISE, QUELLE POLITIQUE DE SECURITE ADOPTER EN MATIERE D’INFORMATIQUE ?
ADVANCIA IT SYSTEM – LE GUIDE DE LA SECURITE 22
des lettres minuscules et majuscules, des chiffres et des caractères spéciaux. Il devra également être renouvelé tous les 3 mois maximum, et être différent des 3 derniers utilisés.
Les comptes utilisés pour s’identifier doivent être nominatifs et non génériques, de façon à pouvoir facilement les désactiver si les personnes quittent la société. De plus, un compte générique ne permettra pas d’identifier de façon certaine une personne ayant réalisé une opération sur le poste.
Les postes de travail doivent être configurés pour se verrouiller automatiquement après une certaine durée d’inactivité (10 minutes maximum), et les utilisateurs doivent être incités à verrouiller leur poste dès lors qu’ils quittent leur bureau, même pour quelques minutes. Le parc informatique doit également être homogène et à jour, car les éditeurs fournissent régulièrement des mises à jour de sécurité.
L’accès physique aux locaux doit être contrôlé. Qu’il s’agisse d’une salle serveur ou d’un bureau de travail contenant un ou plusieurs ordinateurs, toute personne y
circulant doit être identifiée et habilitée. La meilleure façon de sécuriser un poste de travail et de vérifier qui peut y avoir accès.
III. Sécuriser le réseau de l’entreprise
Les accès depuis l’extérieur de l’entreprise doivent être limités au strict minimum, et sécurisés. L’utilisation d’un réseau privé virtuel, ou VPN, permet de créer un « tunnel » sécurisé entre un poste extérieur et le réseau de l’entreprise. Les données qui circulent sur le réseau doivent être chiffrées en utilisant des protocoles sécurisés tels que IPSec, SSL ou HTTPS.
Il en va de même avec les appareils mobiles des employés, qu’il s’agisse de matériel professionnel ou personnel. Tout matériel non sécurisé (il existe des solutions de VPN pour les appareils mobiles également) doit être proscrit.
Le Wifi, s’il ne peut pas être évité, doit être sécurisé via un mot de passe robuste et les données doivent être chiffrées.
IV. Anticiper la perte ou la divulgation de données confidentielles
Si malgré toutes les précautions prises, une cyberattaque venait à réussir et à endommager des données sensibles, il faudrait être en mesure de restaurer au plus vite les informations nécessaires au fonctionnement de l’entreprise.
Des sauvegardes doivent être effectuées automatiquement et régulièrement, soit sur plusieurs supports physiques (stockés séparément dans des locaux sécurisés), soit sur un hébergement spécialisé dans le Cloud. Une procédure de secours doit être mise au point, de façon à savoir comment réagir en cas de nécessité, et testée régulièrement, de façon à s’assurer que tout fonctionne et que le jour J, vous serez capable de restaurer vos données et minimiser les pertes.
V. Politique de sécurité : conclusion
ADVANCIA IT SYSTEM – LE GUIDE DE LA SECURITE 23
Quelle que soit la taille de la société, il est possible de prendre des mesures de sécurité qui permettent de préserver les actifs. Des mesures simples mais néanmoins rarement suivies, peuvent être mises en œuvre afin d’éviter intrusions depuis l’extérieur et perte des données.
ADVANCIA IT SYSTEM – LE GUIDE DE LA SECURITE 24
La protection du système informatique dépend majoritairement de l’attitude des collaborateurs et leur capacité à mettre en œuvre les bonnes pratiques pour protéger les données d’entreprise. En leur demandant de suivre ces 10 conseils, les probabilités d’atteinte à la sécurité diminuent fortement.
I. Choisir des mots de passe complexes
Pour éviter qu’un logiciel spécialisé ne trouve un mot de passe, celui-ci doit avoir été soigneusement
choisi. Il faut proscrire les dates de naissance, surnoms, prénoms des proches… Les données
d’entreprise sont précieuses, ne laissez pas aux cybervoyous vos portes grandes ouvertes. Cet article de
Symantec traite de la meilleure manière de choisir son mot de passe.
II. Vérifier la provenance des courriels
Les piratages de messageries étant fréquents, il convient de se méfier de tous les expéditeurs, inconnus et habituels. Si le titre du message est en langue étrangère alors que le correspondant écrit toujours dans sa langue maternelle, mieux vaut ne pas l’ouvrir.
Figure 5 Email Fraude au nom d’OVH
SECURITE DES DONNEES D’ENTREPRISE : 10 REGLES DE BASE POUR VOS EMPLOYES
ADVANCIA IT SYSTEM – LE GUIDE DE LA SECURITE 25
III. Se méfier des messages contenant des liens
De nombreuses attaques consistent à voler des informations lorsque l’utilisateur clique sur un lien internet. Tout courrier électronique contenant ce type de lien doit éveiller la méfiance. Le plus sûr consiste à saisir manuellement l’adresse dans le navigateur internet.
Figure 6 Fraude: Vague de phising au nom d’OVH
Source : https://docs.ovh.com/fr/customer/arnaques-fraude-phishing/
IV. Éviter d’ouvrir des pièces jointes suspectes
Les utilisateurs sont souvent piégés après l’ouverture de documents joints aux courriels. Pour préserver la sécurité des systèmes informatiques, seuls les fichiers dont les extensions sont .doc, .rtf et .pdf doivent être ouverts.
V. Ne pas participer à des chaînes de messages
Il ne faut pas faire suivre de courriels diffusant des informations d’ordre non professionnel et sujettes à caution (chaînes d’amitié, de chance, demandes de soutien, pétitions…). La multiplicité de ces messages ralentit les réseaux.
VI. Contrôler la divulgation d’informations personnelles
Il est fortement recommandé de ne jamais saisir de données sensibles (coordonnées postales, téléphoniques, bancaires…) sur des sites non sécurisés et particulièrement sur des forums.
VII. Planifier les sauvegardes des données d’entreprise
Pour réagir rapidement en cas de pertes de données, il est important de sauvegarder régulièrement l’ensemble des informations. Cela facilite la restauration des environnements lorsqu’un problème majeur survient.
ADVANCIA IT SYSTEM – LE GUIDE DE LA SECURITE 26
VIII. Veiller à la mise à jour des logiciels et systèmes d’exploitation
Les attaques informatiques profitent des failles logicielles. En installant périodiquement, sur les serveurs et les postes de travail, les versions les plus récentes des programmes, les risques d’intrusion diminuent.
IX. Désactiver les composants JavaScript et ActiveX
Il vaut mieux laisser fonctionner JavaScript et les contrôles ActiveX à la demande. Ces composants, dont la sécurité est peu fiable, facilitent la prise de contrôle à distance des postes.
X. Utiliser le compte administrateur à bon escient
Les droits d’un administrateur sont supérieurs à ceux d’un utilisateur. Naviguer ou envoyer des messages avec ce type de profil est à la fois inutile et dangereux. En effet, les risques d’attaque augmentent pour les comptes ayant plus de droits.
XI. En conclusion
Les employés forment la première et la plus vulnérable barrière de protection contre les attaques venues de l’extérieur. La sensibilisation et la formation aux bonnes pratiques sont indispensables pour la réussite d’une stratégie de sécurité.
ADVANCIA IT SYSTEM – LE GUIDE DE LA SECURITE 27
Tout chef d’entreprise cherchant à optimiser son infrastructure informatique (SI), qu’il cherche à la développer ou à minimiser les coûts engendrés par celles-ci, doit prendre en compte la sécurité. Le SI est à la fois l’outil de travail majeur de vos collaborateurs et une barrière permettant de réduire les risques de sécurité lorsqu’il est correctement paramétré, notamment en matière de protection des données.
Le rôle de l’infrastructure dans le système de sécurité informatique des entreprises est donc au cœur du dispositif. C’est dans ce contexte que certains dirigeants tunisiens doivent surseoir à une obligation d’audit périodique, supervisé par l’ANSI. Mais les entreprises qui ne sont pas concernées gagnent également à analyser le niveau de sécurité de leur infrastructure et réseaux pour mettre en place, si besoin, des solutions adaptées.
I. Les bases d’un système de sécurité informatique performant
Aucune entreprise ne saurait se passer des outils informatiques : connexion Internet, logiciels de traitement de texte, site web et messagerie électronique. La dématérialisation des documents est inhérente à toute activité.
De nouvelles solutions permettant d’accroître la mobilité de vos collaborateurs et de partager des documents ont également fait leur apparition et induisent un gain de productivité appréciable.
En tant que centre névralgique de l’entreprise, le Système d’Information se doit d’être infaillible, tant en termes de performances que de protection des informations sensibles.
La sécurité doit être à la fois pensée de manière globale, au niveau de l’infrastructure, et locale, au niveau de chaque poste de travail – y compris
nomade.
II. Un Système d’Information sous contrôle
Plusieurs solutions techniques permettent de sécuriser chaque composant de l’infrastructure.
Les outils de surveillance réseau ou monitoring détectent en temps réel toute anomalie au niveau d’un serveur ou du réseau. Leur système d’alerte permet de réagir rapidement, avant l’apparition des premiers dégâts.
LE ROLE DE L’INFRASTRUCTURE DANS LE SYSTEME DE SECURITE INFORMATIQUE DES ENTREPRISES
ADVANCIA IT SYSTEM – LE GUIDE DE LA SECURITE 28
On distingue trois types d’outils de détection d’intrusion :
• Les NIDS (Network Intrusion Detection System) qui offrent une surveillance au niveau du réseau • Les HDIS (Host-Based Intrusion Detection System) qui supervisent la sécurité des hôtes • Les hybrides, qui agissent à ces deux niveaux.
Les HIDS sont particulièrement efficaces pour déterminer si un hôte est contaminé et les NIDS permettent de surveiller l’ensemble d’un réseau contrairement à un HIDS qui est restreint à un hôte.
III. Sécuriser tous les terminaux
Le recours le plus en plus fréquent à la mobilité et au cloud computing nécessite un ajustement de la stratégie du système de sécurité informatique.
L’infrastructure informatique n’est plus unifiée, mais le plus souvent éclatée et dispatchée entre différents terminaux. Dans ce contexte, les pare-feu, logiciels anti-virus et outils de filtrage Internet ne sont pas des options. Ils doivent au contraire être installés sur tous les postes de travail et les terminaux mobiles personnels utilisés à des fins professionnelles (BYOD).
En 2013, 60% des entreprises appliquaient une politique BYOD. Plus de 50% des entreprises exigeront que leurs employés apportent leurs propres appareils d’ici 2017 (Gartner).
Rappelons que l’implication et la sensibilisation de votre personnel est incontournable. Les bonnes pratiques consistent à utiliser des mots de passe complexes, régulièrement mis à jour, à savoir déjouer les menaces du social engineering (pishing) et à ne pas reporter les mises à jour des applications et logiciels dédiés à la sécurité.
ADVANCIA IT SYSTEM – LE GUIDE DE LA SECURITE 29
L’un des points faibles de la sécurisation des données, à part l’utilisateur, reste le poste de travail. C’est bien souvent le point d’entrée pour une intrusion, et avec la généralisation du travail nomade et des appareils mobiles, il est généralement plus exposé aux risques de perte et de vol. Une solution simple à mettre en place pour améliorer la sécurité et la protection des données du poste de travail est le cryptage des données.
Figure 7 Perte des données sensibles: Etude Ponemon Institut
I. Les enjeux de la sécurité du poste de travail
Le poste de travail reste l’outil principal de bon nombre de salariés. Sa sécurisation doit donc être une priorité pour l’entreprise. Dans une étude publié par Ponemon Institut:
• 47% des données entreprises sont stockées dans des terminaux mobiles, • 43% des employés ont perdu un appareil contenant des données de l’entreprise, • 32% des employés n’ont pas signalé la perte ou le vol des données en temps opportun.
L’objectif est de vérifier qu’à tout moment l’intégrité, la confidentialité et la disponibilité des données présentes sur le poste de travail sont assurées.
LE CRYPTAGE DES DONNEES AMELIORE LA SECURITE DE VOS INFORMATIONS
ADVANCIA IT SYSTEM – LE GUIDE DE LA SECURITE 30
Les données ne doivent pas pouvoir être altérées (des sauvegardes, y compris dans le cloud peuvent y contribuer). Elles doivent être toujours disponibles. Quelle que soit la solution adoptée, elle ne doit pas empêcher l’utilisateur de travailler normalement ni diminuer sa productivité.
Enfin, leur accès doit être contrôlé de façon à ce que l’on soit sûr que seule une personne autorisée puisse les consulter.
II. Le cryptage des données du poste de travail
Les solutions de cryptage des données présentes sur le poste de travail sont très efficaces. Installée au cœur du système, la solution de cryptage va se charger du chiffrement de l’ensemble du contenu du poste de travail.
L’accès pourra être sécurisé par un mot de passe, une carte sécurisée ou même une empreinte digitale. Le chiffrement/déchiffrement est réalisé à la volée. Si l’identification de l’utilisateur n’est pas réalisée correctement, les données restent chiffrées et sont inaccessibles, inutilisables. Généralement, la machine cryptée ne démarre même pas. Si le disque dur est extrait du poste de travail, les données restent inutilisables. Sans la clé de déchiffrement, impossible de les lire.
Il est donc primordial de choisir une clé de chiffrement suffisamment robuste pour que la protection des données soit suffisante. L’entreprise peut avoir recours à la solution Symantec PGP, qui est une solution globale pour le crytage de
• Disque complet de la machine utilisateur • Dossiers et fichiers spécifiques • Message électronique • Applications et données sur le Cloud
Figure 8 Cryptage des données – Symantec PGP
ADVANCIA IT SYSTEM – LE GUIDE DE LA SECURITE 31
III. La solution de cryptage d’Office 365
Office 365 est la déclinaison cloud de la suite bureautique bien connue de Microsoft. Si les outils habituels comme Word, Excel ou Powerpoint sont bien entendu présents, d’autres outils comme OneDrive (stockage cloud), Teams (travail collaboratif), Skype (téléphonie IP, visioconférence), Yammer (réseau social d’entreprise) ou encore Exchange Online (messagerie hébergée d’entreprise) ont fait leur apparition.
Office 365 embarque plusieurs solutions de cryptage qui chiffrent les données stockées comme celles qui transitent. Rights Management (accès sécurisé), S/MIME (chiffrement des données MIME) et Office 365 Message Encryption
(protection des emails confidentiels) se chargent du chiffrement des données qui transitent, tandis que BitLocker s’occupe du chiffrement au niveau du disque.
ADVANCIA IT SYSTEM – LE GUIDE DE LA SECURITE 32
Désormais, les salariés n’ont plus nécessairement l’obligation de travailler dans les locaux de l’entreprise. La généralisation du travail nomade bouscule les lignes et oblige les mentalités à évoluer, mais également les solutions matérielles et logicielles de l’entreprise à s’adapter. Les utilisateurs hyper connectés ont maintenant besoin d’accéder à leurs outils de travail et à leurs données professionnelles où qu’ils soient, en télétravail ou chez un client, comme s’ils se trouvaient dans les locaux de leur employeur. L’émergence du Cloud a permis la naissance d’outils de travail collaboratif garantissant la sécurisation des données et des processus, tout en permettant un partage des informations et des services. Dans ce contexte comment collaborer de façon sécurisée dans le cloud ?
I. Virtualisation et sécurisation des données
La première étape de la mise en place de ces outils collaboratifs et de virtualiser les données de l’entreprise.
Ainsi, elles ne sont plus présentes sur une machine physique (disque partagé, serveur…) dans les locaux de l’entreprise, mais stockées dans un cloud privé.
Plutôt que d’assurer la sécurité des données vous-même, avec toutes les conséquences que cela peut avoir, vous confiez cette tâche à une équipe de spécialistes expérimentés. Ils seront plus en mesure de garantir la sécurité des données dans leur propre système cloud.
COMMENT COLLABORER DE FAÇON SECURISEE DANS LE CLOUD ?
ADVANCIA IT SYSTEM – LE GUIDE DE LA SECURITE 33
En cas de cyberattaque contre l’entreprise, les données sur le cloud privé resteront en sécurité et ne pourront pas être compromises. Les risques seraient bien plus grands en les conservant sur place car vous n’auriez pas les moyens ni le savoir-faire pour vous défendre.
D’autre part, avec un système cloud, la restauration des données à partir d’une sauvegarde peut être effectuée beaucoup plus rapidement. Les systèmes étant généralement redondants, il suffit dans les cas les plus simples de rediriger les utilisateurs vers le système cloud de secours sur lequel se trouve une copie des informations.
Ces systèmes cloud sont par définition accessibles de n’importe où et donc particulièrement bien adaptés au travail collaboratif et nomade. Les accès sont sécurisés et filtrés, tous les utilisateurs n’ayant naturellement pas la possibilité de consulter ou manipuler toutes les données.
La virtualisation des données (donc des serveurs et du stockage) est donc bien la première étape pour collaborer de façon sécurisée. Mais allons encore plus loin.
II. Virtualisation du poste de travail : la solution pour collaborer de façon sécurisée ?
Un palier supplémentaire peut être franchi avec la virtualisation du poste de travail.
Plutôt que de maintenir un parc informatique conséquent et que chaque utilisateur doive installer les logiciels dont il a besoin, il est possible de fournir à chacun un poste de travail virtuel.
Ce poste virtuel, équipé de tous les logiciels nécessaires à un travail collaboratif efficace (bureautique, dessins, communication…), est accessible depuis n’importe quel terminal (ou presque). Ainsi, l’utilisateur, qu’il utilise son ordinateur portable, sa tablette ou son smartphone, retrouvera son espace de travail, son bureau et ses droits, où qu’il soit.
Des solutions basées sur le cloud offrent des espaces de travail efficaces, rapides, stables, et surtout simples à utiliser.
De la même façon que pour les données, les postes de travail virtuels sont sécurisés. Même en cas de panne matérielle ou de vol de l’appareil permettant de se connecter, le poste de travail virtuel ne disparait puisqu’il est stocké dans le cloud. Il suffit à l’utilisateur de changer de terminal, de le reconfigurer, et ainsi d’accéder de nouveau en quelques minutes à son environnement de travail.
ADVANCIA IT SYSTEM – LE GUIDE DE LA SECURITE 34
En tant que dirigeant d’entreprise, protéger l’accès aux données est une priorité. Vous savez qu’il est difficile d’échapper aux nouveaux comportements induits par l’essor des NTIC (Les nouvelles technologies de l’information et de la communication). Pourtant il est de votre responsabilité de protéger l’accès aux données de votre entreprise. En Tunisie, l’on recense près de 3 millions d’utilisateurs de Smartphone (chiffres publiés par le cabinet de conseil Deloitte). Parallèlement, la flexibilité des outils nomades encourage les entreprises à les intégrer dans leur stratégie, que ce soit en démocratisant l’usage des terminaux personnels (BYOD) ou en fournissant eux-mêmes des appareils à leurs collaborateurs. Dans tous les cas, si la mobilité ne saurait être entravée, il est primordial d’encadrer les pratiques qui en découlent : il en va de la sécurité de vos données les plus critiques !
I. Mobilité et sécurité en Tunisie : réglementation
Les entreprises tunisiennes sont soumises à des obligations en matière de conformité et de gestion des risques informatiques. L’ANSI (Agence Nationale de la Sécurité Informatique) préconise un audit annuel afin de contrôler le niveau de sécurité déployé par les chefs d’entreprise tunisien. Dans ce contexte, la mobilité et l’utilisation récurrente de terminaux nomades nécessite un encadrement strict.
II. 1ère étape : définir des règles d’utilisation… et s’y tenir
Le DSI ou toute personne en charge de la sécurité des infrastructures informatique doit, en partenariat avec les équipes dirigeantes, établir une charte d’usage.
Celle-ci concerne la nature et le niveau de sécurité des appareils pouvant se connecter au réseau interne de l’entreprise, au sein des locaux et à l’extérieur de ces derniers. Si les employés sont autorisés à utiliser leur propre Smartphone ou tablette (pratique du BYOD), leur appareil devra être sécurisé selon les standards de l’entreprise.
L’utilisation de terminaux destinés à un double usage personnel et professionnel (dual persona) devrait faire l’objet d’un cloisonnement permettant d’isoler les deux types de ressources.
A noter qu’il existe des usages intermédiaires pouvant être fixés par les administrateurs réseau, comme le CYOD (Choose Your Own Device) qui permet de
restreindre le type d’appareils autorisés à ceux qui répondent à la politique de sécurité de l’entreprise.
MOBILITE : COMMENT PROTEGER L’ACCES AUX DONNEES DE L’ENTREPRISE ?
ADVANCIA IT SYSTEM – LE GUIDE DE LA SECURITE 35
III. 2ème étape : mettre en place la solution de gestion la plus idoine
L’utilisation massive des appareils mobiles a mis en lumière l’existence de nouveaux risques, dont les DSI doivent se prémunir pour protéger l’intégrité des données de l’entreprise.
Chaque terminal se connectant au réseau devrait pouvoir être identifié et géré à distance pour limiter les écueils liés à la perte d’un terminal ou la violation – volontaire ou involontaire – de la politique de sécurité définie en amont.
Les principales failles de sécurité peuvent être évitées grâce au déploiement des solutions suivantes :
• Installation d’un logiciel de MDM (Mobile Device Management) permettant de gérer l’ensemble de la flotte mobile.
• Sauvegarde des données : par précaution, il est recommandé de stocker le moins de fichiers sensibles possible sur les terminaux mobiles et d’installer des sauvegardes automatiques permettant de restaurer les données en cas de perte.
• Chiffrement des données : celui-ci permet de crypter les fichiers ou leurs conteneurs (dossiers).
IV. Savoir protéger l’accès aux données de l’entreprise : conclusion
Il est illusoire d’interdire ou de vouloir freiner la mobilité en entreprise, puisque celle-ci correspond à une évolution naturelle des usages et des technologies.
En revanche, les dirigeants d’entreprise doivent instaurer une politique de sécurité claire à l’égard des utilisateurs afin de limiter les risques engendrés par la perte ou la compromission des données.
ADVANCIA IT SYSTEM – LE GUIDE DE LA SECURITE 36
Afin de sécuriser son infrastructure informatique, tout dirigeant d’entreprise doit connaître précisément son fonctionnement. Grâce à un audit de sécurité informatique, il disposera d’une analyse de l’existant et de recommandations pour pallier aux potentielles failles. Selon la nature de ses activités, sa société peut être légalement obligée de réaliser périodiquement de type d’audit.
I. L’audit de sécurité informatique pour diminuer les risques
La finalité de cet audit est de comprendre quel est le niveau de sécurité d’un système d’information et de le comparer aux attentes définies par la politique interne de l’entreprise ainsi que par la législation tunisienne. Pour cela, une équipe d’experts, externes à l’entreprise, va analyser la sécurité du système informatique, sur le plan organisationnel et technique, avant de procéder à des tests d’intrusion et de vulnérabilité. Enfin, elle préconisera des actions pour améliorer la sécurité informatique globale.
II. L’analyse de l’organisation générale de la sécurité
Durant cette phase de la mission, les auditeurs appliquent des méthodes reconnues d’analyse des risques telles que MARION (Méthode d’Analyse de Risques Informatiques Optimisée par Niveau), EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité), MEHARI (Méthode Harmonisée d’Analyse des Risques) ou MELISA (Méthode d’évaluation de la vulnérabilité résiduelle des systèmes d’information).
Ils évaluent la sécurité par des entretiens et des réunions avec certains collaborateurs ainsi qu’en étudiant des documents internes.
III. La détection des vulnérabilités du système
La partie technique de l’audit débute par un bilan précis de l’architecture du système et de l’organisation du/des réseaux (adressage I.P., passerelles externes, protocoles, applications, serveurs, surveillance du trafic…).
Cette phase permet de décrire les vulnérabilités du système. Enfin, une série des tests intrusifs sont réalisés pour compléter cette analyse.
Les simulations concernent des attaques (par un utilisateur intérieur puis extérieur et par vol d’équipement) dont le but est de tenter de récupérer des informations critiques. Elles servent
IL EST TEMPS DE LANCER UN AUDIT DE SECURITE INFORMATIQUE !
ADVANCIA IT SYSTEM – LE GUIDE DE LA SECURITE 37
également à tester les contrôles physiques avec l’organisation d’intrusions programmées dans les locaux.
IV. Le cadre juridique concernant les audits de sécurité informatique
Depuis 2004 (décret n° 2004-1250 du 25/05/04), un audit périodique de la sécurité informatique est obligatoire pour :
• L’ensemble des organismes publics,
• Les opérateurs de réseaux publics,
• Les fournisseurs de services internet (FSI),
• Les entreprises dont les réseaux internes sont interconnectés grâce à des réseaux externes,
• Les sociétés traitant de manière automatisée les données personnelles de leurs clients.
Seuls les professionnels certifiés par l’Agence Nationale de la Sécurité Informatique (ANSI) sont habilités à effectuer ce type de mission. La liste de tous ces intervenants
(cabinets d’audit et auditeurs) est disponible sur le site de l’ANSI (www.ansi.tn).
ADVANCIA IT SYSTEM – LE GUIDE DE LA SECURITE 38
Les pertes de données sont malheureusement courantes dans les entreprises. Les conséquences peuvent être plus ou moins importantes, mais la gêne occasionnée nuit toujours au bon fonctionnement de l’entreprise. Cela peut aller de la baisse de productivité d’un employé à la paralysie totale de l’activité. La meilleure parade pour limiter cet impact reste la sauvegarde des données informatiques. Nous allons donc faire ici le tour des solutions de sauvegardes des données informatiques qui fonctionnent et qui sont accessibles facilement.
I. L’importance d’effectuer des sauvegardes est maintenant compris
Le chemin a été long, mais désormais, la plupart des utilisateurs professionnels comme particuliers ont pris conscience de l’importance de sauvegarder ses données. Personne n’est à l’abri d’un vol, d’une panne ou de la contamination par un virus. La démocratisation des terminaux mobiles (smartphones, tablettes, ultra-portables…) permet désormais une utilisation nomade des données. Si le côté pratique paraît évident, il ne faut pas négliger l’augmentation du risque de perdre ses données. Le matériel est toujours plus sollicité et susceptible de tomber en panne, les nombreux supports disponibles rendent les vols ou les pertes plus faciles.
Tout le monde a donc bien compris l’utilité de faire des sauvegardes, encore faut-il bien choisir le support.
II. Sept supports principaux de sauvegarde
Si l’on oublie la disquette, que beaucoup de jeunes utilisateurs n’ont jamais connue, nous pouvons référencer sept supports fiables qui permettent d’effectuer des sauvegardes de données. Il convient de choisir le support qui conviendra le mieux à ce que vous souhaitez faire, tant en termes de capacité de stockage que de facilité d’utilisation.
La première famille de supports est représentée par les disques optiques. Si le CD est en passe d’être abandonné (stockage limité à 650 Mo et coût d’environ un DT par Go), les DVD (4,7 Go pour un coût de 0,5 DT par Go) et DVD Blu-ray (25 Go pour un coût de 0,5 DT par Go) qui ont une durée de vie deux à trois fois supérieure sont encore utilisés, bien qu’en très nette perte de vitesse. D’autre part, ces supports, même stockés dans de bonnes conditions, vieillissent mal, et nécessitent d’être dupliqués tous les trois ans sur un support neuf pour ne pas perdre de données.
La clé USB est un support très pratique, car simple d’utilisation et facile à transporter. Son coût d’environ 1,50 DT par Go est inférieur à celui d’un disque optique. Mais ce support n’est pas vraiment adapté pour l’archivage de données. Lorsqu’il s’agit de partager des photos ou des fichiers, chiffrés ou non, la clé
SAUVEGARDE DES DONNEES INFORMATIQUES : LES SOLUTIONS QUI FONCTIONNENT
ADVANCIA IT SYSTEM – LE GUIDE DE LA SECURITE 39
USB est pratique. Mais elle reste également assez fragile à cause de l’utilisation de composants parfois bas de gamme et peut s’égarer facilement.
Les disques durs externes, qu’ils soient classiques ou SSD, sont très utilisés et constituent une solution acceptable. Ils sont reconnus par la plupart des utilitaires systèmes, permettant notamment d’automatiser les sauvegardes des données présentes sur un ordinateur. D’une durée de vie d’environ 5 ans, ce support reste fragile et il faut en prendre soin (éviter les chocs, le débranchement brutal…). Si un disque dur classique présente un coût très faible de 0,2 DT par Go, les disques durs SSD sont bien plus chers, avec 1 DT par Go. En revanche, ils sont bien plus performants… mais moins résistants aussi.
Enfin, la dernière solution de sauvegarde de données, clairement orientée vers l’avenir, est le stockage en ligne, dans le cloud. Le principe est de stocker les
données dans le cloud, dans des fermes de serveurs redondants. Une fois sauvegardées, les données sont accessibles de n’importe où de façon sécurisée. Il existe des services gratuits, limités à une dizaine de Go dans le meilleur des cas, et
des solutions payantes.
Microsoft propose notamment une solution de sauvegarde dans le cloud particulièrement efficace nommée Azure Backup. Concrètement, les outils Azure installés sur les ordinateurs à sécuriser sauvegardent les données sur le cloud Microsoft en toute transparence et en toute simplicité. Vous accédez ainsi de n’importe où à vos données et disposez d’une copie sécurisée en cas de perte sur votre ordinateur. Les sauvegardes peuvent être automatiques et à l’échelle de l’entreprise, avec des temps de restauration tout à fait compétitifs comparés aux solutions classiques.
Figure 9 Microsoft Azure Backup
ADVANCIA IT SYSTEM – LE GUIDE DE LA SECURITE 40
La sécurité et la protection des postes de travail informatique ne doivent jamais être prises à la légère. Premiers points de contact entre votre entreprise et le monde extérieur, vos terminaux (postes de travail, PC mais aussi Smartphones et tablettes) doivent être impérativement sécurisés. En Tunisie, les administrations et certains organismes privés sont soumis à une obligation d’audit informatique, réalisé par un expert auditeur certifié par l’ANSI, une entité indépendante rattachée au Ministère des Technologies de la Communication et de l’Economie Numérique. Dans ce cadre, il apparaît vital de faire appel à des experts qualifiés, capables de détecter les failles de sécurité pouvant mettre en péril votre entreprise et ses ressources.
I. Protection des postes de travail contre les attaques et menaces
Parce qu’il contient l’ensemble des documents confidentiels de l’entreprise et qu’il est connecté vers l’extérieur via Internet, le poste de travail représente en lui-même un risque potentiel.
Il est visé par différentes sortes d’attaques émanant de pirates informatiques souhaitant nuire à l’entreprise (concurrents, anciens salariés).
Les attaques ou menaces peuvent être directes ou réalisées par le biais de logiciels malveillants. En voici quelques exemples :
• Malvertising : ces publicités déguisées recèlent des logiciels qui piratent ou spolient des données confidentielles.
• Malwares : ils peuvent prendre la forme de virus, chevaux de Troie ou vers. Certains peuvent infecter l’ensemble du système.
• Firmwares : ils peuvent altérer le fonctionnement d’un ou plusieurs postes de travail.
• Ransomware : ce type de programme informatique prend littéralement en otage les données de l’entreprise. Il crypte les documents et bloque l’accès à tous les fichiers tant que les utilisateurs n’ont pas payé une rançon.
PROTECTION DES POSTES DE TRAVAIL CONTRE LES ATTAQUES EXTERIEURES
ADVANCIA IT SYSTEM – LE GUIDE DE LA SECURITE 41
Figure 10 Classement des menaces informatiques par catégorie
Il faut savoir que les conséquences financières d’une cyber-attaque peuvent être très lourdes, allant du remplacement du matériel informatique à une interruption grave des activités et de la production de l’entreprise. D’autre part, en cas de fuite de données à caractère personnel, la responsabilité du dirigeant peut être engagée.
L’installation d’un pare-feu et d’un antivirus de dernière génération, comme Endpoint Protection, permet une adaptation en temps réel aux nouvelles menaces. L’hébergement des données en mode cloud, par le biais d’une interface sécurisée peut accroître le niveau de sécurité en évitant le stockage des documents sur disque dur.
II. Pourquoi faire appel à un professionnel pour sécuriser ses postes de travail ?
Grâce à son regard extérieur et à son expertise, un spécialiste de la sécurité peut détecter l’ensemble des points critiques de votre infrastructure. L’utilisation de pentest (test d’intrusion) permet de mettre en exergue la vulnérabilité de l’infrastructure informatique de votre entreprise.
Un formateur pourra sensibiliser vos équipes aux risques de sécurité, notamment liés au social engineering, c’est-à-dire l’ensemble des pratiques visant à tromper l’usager (pishing ou “hameçonnage”).
Aux outils conventionnels s’ajoutent des mesures de bons sens, comme l’utilisation de mots de passe complexes, le verrouillage automatique des postes de travail
lorsque ces derniers ne sont pas utilisés et la limitation des droits administrateur.
Leader sur le marché IT en Tunisie et spécialisée dans la fourniture des services Cloud et services managés. Advancia IT SYSTEM accompagne ses clients dans l’amélioration de leur processus informatiques et la gestion des services IT critiques. Nous permettons à nos clients nationaux et internationaux de se concentrer sur leur cœur de métier en répondant à des enjeux de disponibilité et de performance de leurs applications, de mobilité, de gain de productivité et de sécurité.
Nos équipes techniques spécialisées et certifiées sur les solutions IT leaders du marché (Microsoft, Symantec, Veritas, VMWare, HPE, Fortinet, etc.) assurent des missions qui s’étendent du conseil en architecture technique jusqu’à l’exploitation globale du système d’information. Nos offres de services s’articulent autour de plusieurs domaines comme :
D A T A C E N T E R & V I R T U A L I S A T I O N
C L O U D C O M P U T I N G
C O L L A B O R A T I O N & M O B I L I T É
P R O T E C T I O N D E S D O N N É E S
C Y B E R S É C U R I T É
C O N T I N U I T E D ’ A C T I V I T E
M A N A G E M E N T D E S I N F R A S T R U C T U R E S I T
Centre BABEL, Entrée Olivier, Rue du Lac Turkana Les Berges du Lac 1053 Tunis – Tunisie
Tel: (+216) 71 166 830 | Fax : (+216) 71 860 706 | [email protected]
https://www.advancia-itsystem.com | Blog.advancia-itsystem.com
Apropos
