La valeur d'un matériel informatique est souvent très inférieure à la valeur des données qu'il contient. La perte de données sensibles d'une entreprise, au bénéfice de ses concurrents ou de pirates, peut coûter très cher. Elle peut causer une perte de confiance envers l'entreprise et le licenciement des techniciens informatiques responsables de la sécurité des ordinateurs. Plusieurs méthodes de protection des données peuvent être implémentées.
Une organisation doit s'efforcer d'atteindre la meilleure protection, et la plus abordable financièrement, contre la perte de données ou la détérioration de logiciels et d'équipement. Les techniciens réseau et la direction doivent collaborer pour développer une stratégie de sécurité qui garantit que les données et l'équipement sont protégés contre toutes les menaces pour la sécurité. Lors du développement d'une stratégie de sécurité, la direction de l'organisation doit calculer le coût de la perte des données par rapport au coût de leur protection et déterminer les compromis acceptables. Une stratégie de sécurité comprend un rapport complet sur le niveau de sécurité requis et la façon de l'atteindre.
Vous pouvez être impliqué dans le développement d'une stratégie de sécurité pour un client ou une organisation. Vous devez alors poser les questions suivantes, afin de déterminer les facteurs de sécurité :
- L'ordinateur se trouve-t-il chez un particulier ou dans une entreprise ? - Les ordinateurs domestiques sont vulnérables aux intrusions (insécurité des réseaux sans fil). Les ordinateurs professionnels sont davantage menacés par des intrusions via le réseau, car les entreprises sont souvent visées par les pirates et parce que certains utilisateurs autorisés abusent de leurs privilèges d'accès.
- Y a-t-il un accès à Internet en permanence ? - Plus un ordinateur est connecté longtemps à Internet, plus il a de risques d'être attaqué. Un ordinateur ayant accès à Internet doit disposer d'un pare-feu et d'un antivirus.
- S'agit-il d'un ordinateur portable ? - La sécurité physique est un problème en ce qui concerne les ordinateurs portables. Il est possible de les sécuriser, par exemple avec un câble antivol, une identification biométrique ou des techniques de géolocalisation.
Lorsque vous élaborez une stratégie de sécurité, voici les points principaux à prendre en compte :
- Procédure de traitement des incidents de sécurité du réseau
- Procédure d'audit de la sécurité sur le réseau existant
- Cadre général de sécurité pour l'implémenter sur le réseau local.
- Comportements autorisés
- Comportements interdits
- Que consigner et où stocker les journaux : Observateur d'événements, fichiers journaux système ou fichiers journaux de sécurité
- Accès aux ressources via le réseau grâce aux autorisations des comptes
- Technologies d'authentification pour l'accès aux données : noms d'utilisateur, mots de passe, biométrie, cartes à puce
La stratégie de sécurité doit également fournir des informations détaillées sur les problèmes suivants, en cas d'urgence :
- Actions à entreprendre après une intrusion
- Personne à contacter en cas d'urgence
- Informations à partager avec les clients, les fournisseurs et les médias
- Sites secondaires à utiliser en cas d'urgence
- Mesures à prendre après une urgence, notamment l'ordre de priorité dans lequel les services doivent être rétablis (PCA, plan de continuité de l'activité et PRA, plan de reprise de l'activité)
Le cadre de la stratégie de sécurité ainsi que les conséquences du non-respect de celle-ci doivent être clairement décrits. Les stratégies de sécurité doivent être revues régulièrement et mises à jour si nécessaire. Vous devez conserver un historique de ces révisions de manière à pouvoir effectuer le suivi de toutes les modifications apportées aux stratégies. La sécurité est la responsabilité de chacun au sein de l'entreprise. Tous les employés, y compris ceux qui n'utilisent pas d'ordinateur, doivent être formés de manière à comprendre la stratégie de sécurité et avertis de toute mise à jour de cette stratégie.
La stratégie de sécurité doit également définir l'accès des employés aux données. Elle doit protéger les données sensibles tout en permettant aux employés de continuer à effectuer leur travail. Les données peuvent être classées publiques ou confidentielles, avec plusieurs niveaux possibles entre ces deux extrêmes. Les informations publiques peuvent être consultées par tout le monde et elles ne nécessitent aucune mesure de sécurité. Elles ne peuvent pas être détournées en vue de nuire à une entreprise ou à un individu. En revanche, les informations confidentielles requièrent une sécurité maximale, car leur divulgation peut être extrêmement dommageable pour une administration, une entreprise ou un individu.