Je ne sais comment prendre cette annonce de la Commission Nationale de l’informatique et des Libertés qui aujourd’hui, nous informe à l’aide de 10 conseils, l’art et la manière de protéger son système d’information.Certes, c’est une idée louable, mais pourquoi aujourd’hui et surtout, pourquoi le contenu de celui-ci est si pauvre ? Car à vrai dire, je doute de l’efficacité de leur plan d’action lorsque l’on regarde de plus pret, ces dix conseils qui font appel au bon sens ou à l’évidence selon son point de vue.Étudions donc quelque peu, ces 10 conseils de la CNIL.

Le premier conseil : Adopter une politique de mot de passe rigoureuse : mot de passe individuel, difficile à deviner et secret.Évidemment, cela parait être une des choses les plus importantes qu’il soit, mais avons nous attendu que la CNIL nous le dise pour y réfléchir ? Disons qu’il s’agit ici d’un rappel plutôt que d’un réel conseil innovant.Cependant, il ne faut en aucun cas sous-estimer une politique de mot de passe stricte, certes déplaisante pour les utilisateurs, mais tellement efficace contre les attaques de type « Brute Force ».

Le second conseil : Concevoir une procédure de création et de suppression des comptes utilisateurs.On ne pense jamais assez à cela, en effet, il se pourrait que vos anciens employés, amère de leur départ, soit susceptible de venir visiter votre système d’information et d’y récupérer des informations importantes, voir même y venir pour porter préjudice à la société.

Le troisième conseil : Sécuriser les postes de travail : les postes des agents doivent être paramétrés afin qu’ils se verrouillent automatiquement au-delà d’une période d’inactivité (10 minutes maximum).Ceci est également important, mais logiquement déja mis en place par défaut sous Windows lors d’une configuration sur une domaine Active Directory, configuration que l’on voit pratiquement partout.

Le quatrième conseil : Identifier précisément qui peut avoir accès aux fichiers.Une bien belle idée, mais comment réalise t-on cela ? Audit de sécurité ? Analyse des trames du réseau sur l’accès à certaines données critiques ? Un conseil amenant donc un coût important ou l’usage d’un technicien  à temps plein.

Le cinquième conseil : Veiller à la confidentialité des données vis-à-vis des prestataires.Il parait évident que cela doit être l’une des priorités.Mais une fois de plus, les actions à mettre en place ne sont pas donné à tous le monde.

Le sixième conseil : Sécuriser le réseau local : Un système d’information doit être sécurisé vis-à-vis des attaques extérieures.Une phrase qui en dit long, mais qui ne signifie pas grand chose.Il parait plus qu’évident qu’un système d’information se doit d’être protéger des attaques extérieurs.Mais quelles techniques peuvent être employées ? Un technicien pourrait y répondre, je peux donc y répondre, mais une fois de plus, cela demande un coût important d’audit ou la nécessité d’avoir un responsable sécurité sur place.

Le septième conseil : Sécuriser l’accès physique aux locaux.Évidemment, on pense souvent aux attaques externes, mais on oublie les attaques plus proches de nous, de la mise en place d’un accès sécurisé à une salle serveur, de la vérification des opérations faites sur le système d’information par des prestataires de services venant agir sur l’environnement de celle-ci.

Le huitième conseil : Anticiper le risque de perte ou de divulgation des données.Notamment via la mise en place d’outil de filtrage des fuites de données vers l’extérieur, encore appelé « Data Leakage », que ce soit par e-mail ou par contre des périphériques mobiles, la « End Point Security », où la sécurité des périphériques tiers, tels que les clés USB et autres stockages amovibles.

Le neuvième conseil : Anticiper et formaliser une politique de sécurité du système d’information.Malheureusement, il est parfois trop tard pour réfléchir à cela, une fois que l’entreprise est établie.Celle-ci ne s’applique généralement que dans les grosses sociétés, les SSII sont difficilement la cible de ce genre d’opération.

Le dixième conseil : Sensibiliser les utilisateurs aux « risques informatiques » et à la loi « informatique et libertés ».Une bien belle idée qui se retrouve être quasiment impossible.L’éducation des utilisateurs devraient se faire bien avant le cadre professionnel.Cette sensibilisation devrait se faire directement pendant le cursus scolaire, cependant, nombreux sont les écoles et lycées à ne posséder que très peu de moyens en terme d’infrastructure réseau et surtout de cours à ce sujet.

Au final, la CNIL nous donne des conseils déja vus, mais soulignons tout de même l’effort effectué, même si il est vrai qu’il n’est pas aisé à tous d’appliquer l’ensemble de ces conseils sans aide de la part de l’État ou d’institution spécialisée.