Protéger une machine
Les machines utilisées pour réaliser les processus métiers et pour traiter les informations de l'organisme sont appelés actifs secondaires ou encore actifs de support ( voir : classification des actifs ; analyse des risques). Afin de pouvoir protéger les processus métiers, respectivement les informations, il faut protéger les actifs de supports qui sont utilisés pour les traiter.
En effet, la compromission au niveau d'un ordinateur ou d'un serveur peut évidemment entraîner la perte de confidentialité, de disponibilité et de l'intégrité des processus ou informations qui y sont traités.
Il faut donc mettre en place, au niveau des actifs secondaires, des mesures de traitement des risques afin de prévenir des impacts néfastes.
Les ordinateurs
La plupart des organisations dédient au moins un ordinateur de bureau à la gestion de l'organisme. Cet ordinateur doit être protégé contre les menaces les plus répandues. Il est fortement conseillé de mettre en place les mesures de sécurité de base.
Suivant la criticité des données traitées, respectivement des processus métiers supportés, il faudra bien entendu élargir le niveau des mesures de protections.
Politique de sécurité pour PME :
-
Aspects opérationnels et communications - protection contre les logiciels malicieux et Sauvegarde des données
-
contrôle d'accès
Les ordinateurs portables
Certaines organismes utilisent aussi des ordinateurs portables comme actifs de support pour les processus métier ou pour traiter certains types de données. Ces ordinateurs portables sont souvent sortis de l'enceinte sécurisée d'un bureau et emmenés en des moyens de transports privés ou publics ou encore utilisés dans des lieux privés ou publics. Souvent ils sont connectés à des réseaux étrangers à l'organisme.
Politique de sécurité pour PME :
-
Aspects opérationnels et communications - protection contre les logiciels malicieux et Sauvegarde des données
-
contrôle d'accès - Gestion des droits d'accès. et Gestion des mots de passe et Procédures de connexion et Connextions de l'extérieur et Utilisation de réseaux externes.
-
aspects humains - La formation et l'information
-
Développement et maintenance des systèmes - Utilisation du chiffrement
Les serveurs de fichiers
Certains organismes utilisent des serveurs de fichiers pour faciliter la coopération entre les différents agents respectivement pour augmenter le niveau de résilience des données stockées. Tout comme les autres machines de l'organisme, les serveurs de fichiers sont des actifs de support pour les processus métier. Mais ils représentent souvent le point de défaillance unique d' une organisation à petite ou moyenne taille.
Les besoins en terme de confidentialité, de disponibilité et d'intégrité des serveurs de fichiers sont de ce fait plus grands que pour les autres actifs de support de l'organisme. Il est donc essentiel d'appliquer des mesures de sécurité basiques sur ce type de machines.
Politique de sécurité pour PME :
-
Aspects opérationnels et communications - protection contre les logiciels malicieux et Sauvegarde des données
-
contrôle d'accès - Politique de contrôle d'accès et Gestion des droits d'accès. et Gestion des mots de passe et Procédures de connexion et Connexions de l'extérieur et Séparation de réseaux
-
aspects humains - La formation et l'information
-
Sécurité physique et environnementale - Périmètre de sécurité physique ; Règles dans le périmètre ; Maintenance et Mise en rebut et réutilisation des équipements ; Sécurité électrique des équipements
Les serveurs mail
Les services d'un serveur mail sont connectés en permanence à l'Internet. La probabilité d'être exposé à une menace est grande et l'exploitation de nouvelles vulnérabilités souvent aisée. Sécuriser le serveur mail requiert une certaine attention, parfois même un effort de veille de la part de l'organisme. En effet, l'e-mail est souvent le premier moyen de communication au sein d'une entreprise (intégrité) et contient bien souvent des fichiers au contenu sensible (confidentialité).
Les organismes de petite taille disposent rarement de serveurs mail. Leur gestion, notamment leur protection, est trop complexe pour leur utilisation au sein de petites structures.
Politique de sécurité pour PME :
-
Aspects opérationnels et communications - protection contre les logiciels malicieux et Sauvegarde des données et courrier électronique
-
Contrôle d'accès - Politique de contrôle d'accès ; Gestion des droits d'accès et Gestion des mots de passe ; Procédures de connexion ; Séparation de réseaux ; Utilisation de réseaux externes
-
Aspects humains - La formation et l'information
-
Développement et maintenance des systèmes - Utilisation du chiffrement
Le serveur web
Les serveurs web ne contiennent pas toujours des données confidentielles, de ce fait il sont moins touchés par les problèmes de confidentialité. En revanche ils sont supposés fonctionner en permanence (disponibilité) et doivent être résistants aux attaques potentielles de défiguration. ou d'infection. Il est pour cela recommandé de suivre les recommandations pour la sécurisation des serveurs web.