Ces derniers mois, la sécurité de vos infrastructures TIC n’a pas manqué de vous préoccuper. Phishing, cryptolockers, réseaux WiFi non sécurisés, ... difficile d’échapper à sa prévalence dans la couverture médiatique. Mais saviez-vous que les utilisateurs en sont souvent le maillon faible ?
Il n'est sans doute plus nécessaire de vous rappeler qu’une infrastructure informatique peu sécurisée constitue un risque pour votre entreprise. Pas plus, probablement, que l’importance de veiller à ce que votre infrastructure informatique soit parfaitement en ordre d’un point de vue technique.
Mais... il n’est pire sourd que celui qui ne veut pas entendre
Malheureusement, une infrastructure correctement sécurisée sur le plan technique ne suffira pas à avoir l’esprit tranquille. Un élément primordial de toute la chaîne de sécurisation est malheureusement encore trop souvent ignoré : l’utilisateur même de votre informatique.
On sait depuis longtemps que la solidité d’une chaîne est conditionnée à celle de son maillon le plus faible. C’est aussi le cas de la chaîne de sécurisation de votre infrastructure informatique. Elle aura beau être parfaitement à jour et équipée des toutes dernières trouvailles de haute technologie, si l’utilisateur final de l’infrastructure prend des risques (parfois de manière consciente, mais beaucoup plus souvent encore de manière inconsciente), cela ne servira à rien et l’ensemble des investissements consentis dans la sécurisation de votre infrastructure physique pourront être anéantis par une action malencontreuse d’un utilisateur. Et il ne doit même pas s’agir de quelque chose d’énorme en apparence. Combien de travailleurs :
- ...conservent physiquement des mots de passe dans un carnet ou sur des post-it ?
- ...partagent un compte pour des logiciels achetés par l’entreprise ?
- ...continuent à avoir accès aux données de l’entreprise après un licenciement ou un départ ?
- ...utilisent des réseaux WiFi publics non sécurisés lorsqu’ils travaillent en déplacement ?
Autant d’éléments qui sont relativement faciles à éviter mais qui, dans de nombreuses organisations, restent encore monnaie courante.
L’utilisateur est le maillon faible d’un environnement informatique
Cela peut sembler s’apparenter à une généralisation grossière, mais il y a une bonne part de vérité dans cette affirmation. Le plus souvent, « entrer » dans un environnement informatique « par l’entremise » d’un utilisateur est bien plus facile que de véritablement pirater son infrastructure informatique. Comparez cela avec la difficulté que pose une maison parfaitement sécurisée (alarmes, serrures...). En tant que cambrioleur, vous y réfléchirez probablement à deux fois. Mais si le propriétaire peut vous remettre ses clés ou le code de son système d’alarme, ou si vous parvenez à convaincre quelqu’un ayant accès au bâtiment de vous laisser entrer, vous n’avez alors pas à contourner ou à casser toutes ces sécurités pour commettre sans problème votre méfait.
C’est encore mieux si le propriétaire est à ce point désinvolte avec toutes ces sécurités qu’il n’active pas les alarmes, ou laisse ses clés sur la porte extérieure. Il n’y a alors même plus besoin de convaincre qui que ce soit, et il vous suffira de faire comme chez vous quand l’envie se fera sentir.
Il n’en va pas autrement pour votre environnement informatique. Pare-feu, antivirus, blocage d’applications externes... sont autant d’exigences essentielles pour un environnement réseau sûr. Mais un seul mot de passe dévoilé, un seul PC non verrouillé dans une cafétéria ou un seul clic sur le mauvais lien et toutes ces protections sont faciles à contourner.
La formation et la sensibilisation, le verrou ultime de votre infrastructure informatique
L’ultime verrou ou, plutôt, le premier que vous devriez prévoir pour sécuriser votre infrastructure informatique est de veiller à former correctement les utilisateurs. Des utilisateurs conscients des risques qu’ils occasionnent en utilisant les PC et réseaux avec désinvolture et qui savent comment utiliser leurs périphériques et votre infrastructure avec les précautions de rigueur.
Des utilisateurs qui se rendent compte également de l’impact qu’a ou que peut avoir une utilisation « dangereuse » de votre environnement TIC. Conscients donc aussi de tout ce qui relève de la catégorie « comportement à risque ».
En l’occurrence, il ne s’agit pas tant ou pas seulement d’interdire toute une série de choses, mais véritablement d’expliquer pourquoi certains comportements (l’utilisation de logiciels non autorisés par votre organisation, par exemple) n'ont simplement pas leur place dans l’environnement d’une entreprise. Mais aussi d’expliquer par exemple pourquoi vous travaillez avec une authentification multifacteur (car c’est quand même « fastidieux », monsieur).
Un utilisateur motivé, qui sait de quoi il retourne et qui est capable d’évaluer correctement certains risques, renforcera immédiatement de manière exponentielle la sécurité de votre infrastructure informatique et évitera de surcroît que vos investissements en la matière ne deviennent une dépense inutile du fait d’une manœuvre inconsidérée d’un de vos collaborateurs.
La bonne nouvelle est qu’Aurelium peut vous aider à analyser et à mettre en place une infrastructure sûre ainsi qu’à former vos collaborateurs.
