Les systèmes informatiques des entreprises sont en général sécurisés par des processus d’authentification et de contrôle. Ils permettent d’assurer les droits d’accès aux données et aux ressources du système.
Ceci est appelé une politique du réseau informatique. Penchons-nous davantage sur ce concept afin de comprendre les caractéristiques d’une politique de réseau informatique.
La politique du réseau informatique :
Une politique de sécurité réseau informatique est un document générique qui définit des règles à suivre pour les accès au réseau informatique et qui encadre les accès autorisés ou non. Cette politique est intégrée dans la démarche d’une entreprise qui souhaite protéger son personnel et ses biens d’un accident ou d’un risque qui pourrait porter préjudice à son activité.
La mise en place d’une politique de sécurité est indispensable à la bonne sécurisation des réseaux et systèmes d’information d’une entreprise. Elle renseigne les consignes liées à l’accès d’un réseau et édicte les règles de sécurité à suivre. Elle doit mentionner les objectifs attendus concernant la sécurité et les décisions à prendre pour gérer une situation de crise ou bien de façon à appréhender et éviter les risques.
Pour gérer au mieux un risque et s’en prémunir, il est nécessaire d’avoir conscience de toutes les façons dont ce risque peut se réaliser. Pour cette raison, une analyse de risques conduite rigoureusement par des experts est de mise.
Les objectifs de la politique du réseau informatique
La politique du réseau informatique est un plan d’actions définit qui permet de maintenir un niveau de sécurité qui reflète la vision stratégique de l’entreprise en question. Cependant elle ne doit pas empêcher le personnel de pouvoir développer l’usage qui lui est nécessaire et doit lui permettre d’utiliser le système informatique en toute confiance. Voici les différents principes à respecter pour une sécurité optimale :
- L’audit des éléments physiques, techniques et logiques constituant le système d’information de l’entreprise. La confidentialité et la disponibilité de l’information représente un enjeux important pour la compétitivité de l’entreprise. L’accès à ces ressources doit être sûr et contrôlé par des experts. L’audit est un examen d’une situation liée à la sécurité de l’information qui vise à vérifier la conformité des objectifs, des règles ou des normes.
- La sensibilisation des responsables de l’entreprise et du personnel aux incidents de sécurité et aux risques associés. Il faut établir clairement toutes les stratégies et procédures en amont. Beaucoup d’incidents de sécurité sont créés malencontreusement par du personnel qui n’a pas compris les procédures de modification ou a mal configuré des dispositifs de sécurité.
- La formation du personnel utilisant les biens informatiques. Il faut former le personnel sur les bons comportements à adopter face aux menaces. De simples règles de comportement et bonnes pratiques permettent de déjouer des attaques. Les employés directement concernés par la sécurité informatique doivent être formés pour utiliser correctement et en toute sécurité les outils.
- La structuration et la protection des locaux abritant les systèmes informatiques et les équipements de télécommunications. Les locaux qui hébergent les serveurs informatiques ou les éléments du réseau doivent être limités aux personnes habilités. Certains outils peuvent être de bonne augure tels que : la vérification des habilitations, gardiennage, digicode, badges nominatifs, etc.
- La définition du cadre juridique et réglementaire de l’entreprise face aux actes de malveillance. Une réglementation doit être mise en place concernant les pratiques par le biais d’une charte informatique par exemple.
- La classification des informations de l’entreprise selon différents niveaux de confidentialité et de criticité. Toutes les informations n’ont pas le même degré de confidentialité. Certaines données sont plus sensibles que d’autres. Elles devront être répertoriées selon leur classe, de façon à autoriser l’accès uniquement aux personnes concernées et autorisées.
Il faut savoir que 80% des actes malveillants proviennent de l’intérieur des entreprises. Peu importe la taille et l’activité de votre entreprise, si vous possédez des données sensibles, ne négligez pas la sécurité de votre réseau informatique.
Le fameux dicton ‘’ Il vaut mieux prévenir que guérir ‘’ est aussi applicable au monde de la sécurité informatique !