Un nouveau guide de l'ANSSI (Agence nationale de la sécurité des systèmes d'information) publié le 31/01/2017 présente une quarantaine de mesures concrètes pour améliorer la sécurité des systèmes informatiques et notamment pour se protéger des attaques par ransomwares, la plaie de ses dernières années ! Ces mesures sont-elles applicables aux TPE et PME ? Même si les auteurs précisent que les mesures proposées ne sont qu'un "socle minimum", il est évident que les petites organisations (< 30 stations) ne seront pas toutes en mesure de les appliquer dans leur ensemble. A la fois pour une question de coût mais aussi parce que cela compliquerait trop la vie des utilisateurs. Encore que pour ce dernier point, cela peut souvent se régler avec un peu de formation et quelques astuces ! Pour vous éclairer, voici la liste des mesures indispensables (avec leur numéro respectif dans le guide) que nous conseillons systématiquement et qui restent applicables aux TPE : 2 - Sensibiliser les utilisateurs aux bonnes pratiques élémentaires de sécurité 4 - Identifier les informations et serveurs les plus sensibles et maintenir un schéma du réseau 5 - Disposer d’un inventaire exhaustif des comptes privilégiés et le maintenir à jour 6 - Organiser les procédures d’arrivée, de départ et de changement de fonction des utilisateurs 7 - Autoriser la connexion au réseau de l’entité aux seuls équipements maîtrisés 8 - Identifier nommément chaque personne accédant au système et distinguer les rôles utilisateur/administrateur 9 - Attribuer les bons droits sur les ressources sensibles du système d’information 10 - Définir et vérifier des règles de choix et de dimensionnement des mots de passe 11 - Protéger les mots de passe stockés sur les systèmes 12 - Changer les éléments d’authentification par défaut sur les équipements et services 14 - Mettre en place un niveau de sécurité minimal sur l’ensemble du parc informatique 15 - Se protéger des menaces relatives à l’utilisation de supports amovibles 16 - Utiliser un outil de gestion centralisée afin d’homogénéiser les politiques de sécurité 18 - Chiffrer les données sensibles transmises par voie Internet 24 - Protéger sa messagerie professionnelle 29 - Limiter au strict besoin opérationnel les droits d’administration sur les postes de travail 31 - Chiffrer les données sensibles, en particulier sur le matériel potentiellement perdable 34 - Définir une politique de mise à jour des composants du système d’information 37 - Définir et appliquer une politique de sauvegarde des composants critiques 39 - Désigner un référent en sécurité des systèmes d’information et le faire connaître auprès du personnel Nous ajoutons deux autres mesures qui ne sont pas clairement évoquées dans ce guide et dont le coût est raisonnable : l'application de stratégies de groupe (pour ceux qui disposent d'un serveur Windows) spécifiques pour bloquer les ransomwares et l'installation d'un pare-feu disposant de fonctions de filtrage et de détection d'intrusion. Si certaines ne peuvent être déployées que par des prestataires informatiques formés à la sécurité (ils ne le sont pas tous), d'autres comme la sensibilisation des utilisateurs sont directement applicables par les dirigeants dans leur entreprise, pourvu qu'ils aient pris conscience de ces nouveaux risques qui touchent TOUTES les entreprises. Deux conseils supplémentaires : Ne jamais payer de rançon, cela encourage les pirates et il n'est pas sûr que les données soient vraiment restituées Ne pas utiliser de messagerie gratuite ou incluse dans des packs car elles ne disposent d'aucune protection, préférer les offres de type MS Exchange A noter à la page 60, la mise à disposition d'un tableau que chacun pourra utiliser pour faire un état des lieux de son système et suivre l'avancement des opérations. Cet excellent guide est disponible au téléchargement sur https://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/ Notre équipe est à votre disposition pour améliorer votre sécurité informatique, protégez-vous avant qu'il ne soit trop tard !