Documente Academic
Documente Profesional
Documente Cultură
sky Lab
La scurit e u q i t a m r o f n i
Propos par
La scurit informatique
dition limite Kaspersky Lab
La scurit informatique
dition limite Kaspersky Lab
Par Georgina Gilmore et Peter Beardmore
La scurit informatique pour les Nuls - Kaspersky , dition limite Kaspersky Lab diteur : John Wiley & Sons, Ltd The Atrium Southern Gate Chichester West Sussex PO19 8SQ Angleterre Pour obtenir des informations sur la manire de crer un livre Pour les Nuls pour votre entreprise ou organisation, veuillez contacter CorporateDevelopment@wiley.com. Pour obtenir des informations sur les licences de la marque Pour les Nuls pour des produits ou services, veuillez contacter BrandedRights&Licenses@Wiley.com. Visitez notre site Internet ladresse www.customdummies.com Copyright 2014 par John Wiley & Sons Ltd, Chichester, West Sussex, Angleterre Tous droits rservs. Aucune partie de cette publication ne peut tre reproduite, sauvegarde dans un systme de rcupration des donnes ou transmise sous quelque forme que ce soit et par nimporte quel moyen (lectronique, mcanique, photocopie, enregistrement, scan ou autre) sans le consentement crit pralable de lditeur, lexception des cas prvus par le Copyright, Designs and Patents Act de 1988 ou dans le cadre dune licence mise par la Copyright Licensing Agency Ltd, 90, Tottenham, Court Road, Londres, W1T 4LP, Royaume-Uni. Les demandes dautorisation destines lditeur doivent tre adresses Permissions Department, John Wiley & Sons, Ltd, The Atrium, Southern Gate, Chichester, West Sussex, PO19 8SQ, Angleterre, ou envoyes par email ladresse permreq@wiley. com, ou par fax au (44) 1243 770620. Marques commerciales : Wiley, Pour les Nuls, le logo Dummies Man, Une rfrence pour nous tous !, The Dummies Way, Dummies Daily, The Dummies Fun and Easy Way, Dummies. com et les appellations commerciales affrentes sont des marques commerciales ou des marques dposes de John Wiley & Sons, Inc. et/ou de ses socits affilies aux tats-Unis et dans dautres pays, dont lutilisation est interdite en labsence dautorisation crite. Toutes les autres marques cites sont la proprit de leurs dtenteurs respectifs. John Wiley & Sons, Inc. nest pas associ aux produits ou vendeurs mentionns dans ce livre.
LIMITE DE RESPONSABILIT/EXONRATION DE GARANTIE : LDITEUR, LAUTEUR ET TOUTE PERSONNE IMPLIQUE DANS LA PRPARATION DE CET OUVRAGE SABSTIENNENT DE TOUTE DCLARATION OU GARANTIE CONCERNANT LEXACTITUDE OU LEXHAUSTIVIT DU CONTENU DE CET OUVRAGE, ET REJETTENT EN PARTICULIER TOUTE GARANTIE, Y COMPRIS ET SANS LIMITATION, TOUTE GARANTIE DAPTITUDE UN USAGE PARTICULIER. AUCUNE GARANTIE NE PEUT TRE CONSENTIE OU TENDUE AU TITRE DUN DOCUMENT COMMERCIAL OU PROMOTIONNEL. LES CONSEILS ET STRATGIES PRSENTS ICI PEUVENT NE PAS CONVENIR TOUTES LES SITUATIONS. CET OUVRAGE EST COMMERCIALIS, SACHANT QUE LDITEUR NE DISPENSE AUCUN SERVICE JURIDIQUE, COMPTABLE OU PROFESSIONNEL AUTRE. SI UNE ASSISTANCE PROFESSIONNELLE EST REQUISE, LES SERVICES DUN PROFESSIONNEL COMPTENT DEVRONT TRE SOLLICITS. NI LDITEUR, NI LAUTEUR NE POURRONT TRE TENUS POUR RESPONSABLES DES DOMMAGES DCOULANT DES PRSENTES. SI UN TABLISSEMENT OU SITE WEB EST RFRENC DANS UNE CITATION ET/OU COMME SOURCE POTENTIELLE DINFORMATIONS COMPLMENTAIRES DANS CET OUVRAGE, CELA NE SIGNIFIE AUCUNEMENT QUE LAUTEUR OU LDITEUR AVALISE LES INFORMATIONS SUSCEPTIBLES DTRE COMMUNIQUES PAR CET TABLISSEMENT OU CE SITE WEB OU SES RECOMMANDATIONS. PAR AILLEURS, LE LECTEUR DOIT AVOIR CONSCIENCE QUE LES SITES WEB CITS DANS CET OUVRAGE PEUVENT AVOIR VOLU OU DISPARU ENTRE LE MOMENT O CE LIVRE A T CRIT ET CELUI O IL EST LU.
Wiley publie galement ses livres dans divers formats lectroniques. Certains contenus imprims peuvent ne pas tre disponibles en livres lectroniques. ISBN 978-1-118-84819-7 (pbk) ; ISBN 978-1-118-84818-0 (ebk) Imprim et reli en Grande-Bretagne par Page Bros, Norwich
Introduction
ous avez entre les mains La scurit informatique pour les Nuls un guide qui vous aidera relever certains des dfis de la scurit informatique auxquels sont confrontes toutes les entreprises, quelle que soit leur taille, ds lors quelles sont connectes Internet. Grce des trucs et astuces pertinents, ce livre a pour objectif daider votre entreprise sassurer que ses informations sensibles demeurent scurises, pour viter des sanctions rglementaires/juridiques ou de voir sa rputation remise en cause. Bien que les avances technologiques de la dernire dcennie dans le domaine informatique aient aid les patrons dentreprise rduire leurs cots, accrotre leur efficacit et proposer un service client encore meilleur, ces mmes technologies permettent aujourdhui aux hackers dattaquer des entreprises. Plus que jamais, toutes les entreprises, mme celles qui ne pensent pas disposer dinformations confidentielles protger, doivent tre conscientes des risques et savoir comment les viter. Cestpour cette raison que nous avons rdig cet ouvrage.
propos de ce livre
Bien que court, ce livre regorge dinformations pour aider les entreprises en pleine croissance dfinir la meilleure stratgie de protection possible pour leurs informations confidentielles (y compris les informations sensibles sur leurs clients), ainsi qu scuriser leurs ordinateurs et appareils mobiles contre les virus et les attaques malveillantes, entre autres.
2
Des petites entreprises aux grandes organisations, tout tablissement est une cible potentielle pour les hackers qui utilisent des mthodes sophistiques pour accder des informations confidentielles et voler de largent partir des comptes bancaires des entreprises. Si les grandes multinationales peuvent se permettre demployer des quipes de spcialistes en scurit informatique, les petites et moyennes entreprises nont gnralement pas la chance debnficier dune expertise en interne dans ce domaine. La scurit informatique pour les Nuls vise aider les entreprises en les sensibilisant aux lments suivants : Pourquoi presque toutes les entreprises disposent dinformations sensibles protger. Lventail et la nature des risques en matire de scurit informatique. Des mesures simples et peu coteuses pour aider les entreprises protger leurs informations confidentielles. Des produits faciles utiliser qui peuvent grandement amliorer la scurit des informations.
Hypothses
Afin que vous obteniez des informations pertinentes, nous avons pos quelques hypothses : Lentreprise que vous possdez, grez ou pour laquelle vous travaillez utilise des ordinateurs portables, des ordinateurs de bureau et/ou des appareils mobiles. Vous devez vous assurer que votre entreprise respecte les rglementations en matire de scurit de linformation. Vous souhaitez vous assurer que les informations confidentielles de votre entreprise le restent.
3
Vous aimeriez apprendre empcher les attaques de hackers qui menacent les activits quotidiennes de votre entreprise. Vous pourriez envisager de sauvegarder certaines informations relatives votre entreprise dans lecloud . Vous aimeriez bnficier de conseils pour choisir le logiciel de scurit qui convient votre entreprise.
Structure du livre
La scurit informatique pour les Nuls est un ouvrage divis en six chapitres concis et riches en informations : Chapitre 1 : Pourquoi toutes les entreprises doiventelles protger leurs informations sensibles ? Nous vous expliquons les risques que vous courrez en ayant un faux sentiment de scurit. Chapitre 2 : Dfinir les besoins de votre entreprise. Bien que toutes les entreprises aient besoin de scurit, ce chapitre aborde les diverses exigences enla matire. Chapitre 3 : La vrit sur les menacesinformatiques. Comprendre pourquoi linformatique daujourdhui est plus complexe et les menaces pesant sur les entreprises plus dangereuses. Chapitre 4 : Prvoir une meilleure scurit de linformation. valuer les risques pour vous assurer que votre entreprise sait comment les viter. Nous vous donnons galement quelques lments prendre en compte pour la sauvegarde scurise dinformations dans le cloud . Chapitre 5 : Choisir le logiciel de scurit qui convient votre entreprise. Parmi tous les produits
4
disponibles sur le march, nous vous expliquons les facteurs qui peuvent vous aider faire le bon choix. Chapitre 6 : Dix questions pour vous aider dterminer comment protger votre entreprise. Utilisez ces questions comme une check-list lorsque vous tentez de dterminer ce dont votre entreprise a besoin en matire de protection.
SEIL ON
La cible attire votre attention sur un conseil avis. Licne du pense-bte souligne les points importants retenir. Attention aux dangers potentiels !
R
MISE
PEL AP
GARDE EN
Et maintenant ?
Ce livre se lit facilement et rapidement. Vous pouvez le parcourir votre convenance, en slectionnant certains chapitres, ou le lire du dbut la fin. Quelle que soit loption choisie, nous pouvons vous garantir que vous y trouverez de bons conseils sur la manire de protger les informations de vos clients, ainsi que les autres donnes devaleur sauvegardes et traites par votre entreprise.
Chapitre 1
S curiser les informations de votre entreprise viter les dangers dun faux sentiment de scurit Comprendre pourquoi les cybercriminels visent les
ans ce premier chapitre, nous examinons certaines desraisons pour lesquelles les entreprises sont exposes des risques en matire de scurit de linformation, et pourquoi il serait imprudent de les ngliger.
6
sen voir affect. Pire encore, que se passerait-il si ces informations tombaient entre de mauvaises mains, en loccurrence celles de cybercriminels ? Que se passerait-il si un criminel accdait vos ordinateurs et subtilisait les informations des comptes bancaires en ligne de votre entreprise ? Ae ! Malheureusement, les entreprises de toutes tailles sont la cible de cybercriminels qui utilisent un large ventail de mthodes pour perturber les oprations des entreprises, accder leurs informations confidentielles et leur voler delargent. Dans de nombreux cas, lentreprise victime nest pas au courant de la cyberattaque... jusqu ce quil soit troptard.
Cybercriminalit et cybercriminels
Les criminels ont toujours t dous pour trouver de nouveaux moyens dexploiter les faiblesses dautrui et de se faire de largent. Quil sagisse dun verrou fragile sur la fentre dun bureau ou dune alarme facile dsactiver, les criminels saisissent toutes les opportunits qui soffrent eux pour tirer parti de nos points faibles. Mais avec Internet, un nouveau type de criminel est apparu : le cybercriminel. La cybercriminalit couvre un large ventail dactivits criminelles ralises via des systmes informatiques et/ou Internet. Nombreux sont ceux qui prennent les menaces de cybercriminalit la lgre, et cest lune des raisons pour lesquelles il est encore plus facile pour les cybercriminels doprer. Les cybercriminels sont trs organiss et trs dous pour laborer de nouveaux moyens dattaquer les ordinateurs des entreprises, daccder leurs informations confidentielles et de voler leur argent. Il sagit bien souvent dune activit trs lucrative... alors que les cots du lancement dune attaque sont trs peu levs. Le retour sur investissement est plus important que pour bon nombre dautres activits dlictueuses. En consquence, les cyberattaques se multiplient.
Vous pouvez bien videmment considrer la scurit informatique et la protection des donnes comme un mal ncessaire... condition que vous placiez laccent sur le terme ncessaire ! Lemal nest l que pour vous rappeler que des cybercriminels lancent des attaques contre des entreprises innocentes. Un dtaillant nenvisagerait pas de laisser sa caisse grande ouverte afin que nimporte quel voyou puisse se servir en billets. De la mme manire, toute entreprise qui utilise des ordinateurs, des appareils mobiles ou Internet doit sassurer que son systme informatique nest pas vulnrable face aux attaques. Il est tout simplement trop facile de devenir la victime involontaire dun cybercriminel qui profite des vulnrabilits de scurit dissimules de votre ordinateur portable, tablette ou Smartphone. Vous devez donc faire
MISE
GARDE EN
10
tout ce qui est en votre pouvoir pour empcher un cybercriminel de voler des informations sensibles ou les donnes de vos comptes bancaires en ligne.
11
12
La bonne nouvelle, cest que votre entreprise peut prendre toute une srie de mesures simples pour renforcer la scurit de ses informations sensibles. En outre, certains des logiciels de scurit les plus rcents ont t spcialement conus pour aider les petites entreprises qui manquent de temps protger leurs systmes et leurs informations. Grce ces produits de scurit, vous ne devez pas faire de compromis en matire de protection ou perdre du temps lancer des logiciels de scurit complexes et difficiles utiliser.
MISE
GARDE EN
Mme les grandes organisations nont parfois pas les moyens et les ressources ncessaires pour se remettre dune atteinte la scurit de leur systme. Les petites entreprises peuvent donc parfois se trouver dans limpossibilit de poursuivre leurs activits aprs avoir t victimes dun incident de scurit.
13
Les scanners peuvent presque immdiatement trouver la prochaine entreprise victime dun cybercriminel et lui montrer o il lui sera plus facile dattaquer. a peut sembler sortir tout droit dun film de science-fiction, mais cest la vrit. Chaque jour, ce type de mthodes et dautres moyens sophistiqus sont utiliss pour attaquer les petites entreprises. En une journe moyenne, Kaspersky Lab identifie environ 12 000 attaques de programmes malveillants, et ce nombre ne fait que crotre.
SEIL ON
Alors que bon nombre de petites entreprises ne prennent pas le temps de rflchir leur scurit, certains cybercriminels se concentrent dlibrment sur les proies faciles quelles
14
reprsentent. Empchez votre entreprise de faire partie des prochaines victimes.
Les cybercriminels peuvent utiliser les petites entreprises comme premire tape
Les cybercriminels savent que les petites entreprises sont souvent des fournisseurs pour de grandes socits, et il sagit dune autre raison pour laquelle ils attaquent les entreprises plus modestes. Une attaque contre ce type dentreprises peut permettre un cybercriminel de voler des informations qui pourraient savrer utiles pour une attaque ultrieure contre une grande organisation. Le cybercriminel peut dlibrment choisir une entreprise en raison de ses relations avec de grandes socits. En outre, un cybercriminel opportuniste peut simplement envisager une autre attaque en volant des informations relatives la clientle dune petite entreprise. Nul besoin de prciser que si une attaque ultrieure est lance contre une grande organisation et si le rle de la petite entreprise dans lattaque devient vident, lentreprise en question pourra tre confronte de srieuses difficults. Mme si la petite entreprise ne sest rendue coupable daucun dlit, son manque de scurit a permis linfiltration de ses systmes, ce qui a rendu possible une attaque contre lune de ses socits clientes. Si le rle de la petite entreprise dans lattaque est connu, elle peut faire lobjet de poursuites juridiques, devoir payer des ddommagements ou des amendes, perdre des clients et voir sa rputation ternie.
16
Chapitre 2
votre secteur
ans ce chapitre, nous examinerons comment certaines exigences de scurit peuvent savrer similaires pour des entreprises diffrentes... et galement comment elles peuvent varier.
18
dgts majeurs. Malheureusement, pour les entreprises de toutes tailles, cest rarement le cas. Mme une simple base de donnes avec les coordonnes de vos clients a de la valeur pour les cybercriminels souhaitant utiliser ces donnes pour un vol didentit, ou pour des concurrents qui tenteraient de vous voler des clients.
Si une entreprise nadopte pas les mesures quelle serait raisonnablement cense prendre tant donnes sa taille et sa nature, elle peut se retrouver en trs mauvaise posture.
19
20
21
Les petites entreprises, en revanche, ne disposent parfois pas dexperts scurit en interne. De plus, pour une entreprise en pleine croissance, le moindre sou mis de ct peut tre utilis de nombreuses autres fins (lpargne semble une ide intressante, mais nous navons pas lhabitude davoir de largent de ct). La scurit informatique vient donc sajouter cette liste de dpenses et doit justifier les frais occasionns.
La start-up
lge de 36 ans, Serge le jeune entrepreneur quitte une grande socit pour crer un nouveau cabinet davocat avec deux de ses collgues. Quelle utilisation lentreprise compte-t-elle faire du matriel informatique : Serge et ses collgues dpendent lourdement de leurs ordinateurs, tablettes et smartphones, qui leur permettent de travailler de presque nimporte quel endroit. Lquipe utilisera surtout des emails pour communiquer avec ses clients et utilisera des
22
ordinateurs pour la rdaction de lettres, de propositions et de notes. Le comportement de lentreprise face la scurit : En raison de la nature hautement confidentielle des informations clients qui seront traites, y compris des donnes financires, il est vital de protger toutes les informations sensibles. Toute fuite ou perte dinformations serait extrmement embarrassante et pourrait avoir dimportantes rpercussions sur la rputation de Serge et de lentreprise. Serge pourrait mme tre poursuivi en justice. Protger lentreprise est trs important et Serge comprend quun logiciel antivirus standard ne lui offrira pas la protection adquate. Serge explique : Nous devons acheter un nouveau logiciel informatique et linstaller. En mme temps, nous devons tre en mesure de commencer gnrer des revenus ds que possible. Le logiciel de scurit que nous choisirons doit donc prsenter un niveau lev de protection, tout en tant facile installer, grer et maintenir. De plus, le fournisseur du logiciel de scurit doit disposer dun service dassistance rpondant nos besoins, afin que nous puissions nous concentrer sur nos clients. Ensuite, aufil de la croissance de notre entreprise, notre solution descurit devra pouvoir sadapter de nouvelles exigences.
23
Quelle utilisation lentreprise compte-t-elle faire du matriel informatique : En plus de louverture dun nouveau magasin, lentreprise se lance dans la vente au dtail de costumes via son site Internet. Au fil de son dveloppement, lentreprise doit acheter davantage de technologies, dont des terminaux de points de vente supplmentaires, de nouveaux PC, des routeurs rseaux Wi-Fi et un nouveau serveur. Bien quAhmed ne soit pas un fru dinformatique, iltrouve son nouveau smartphone utile pour consulter ses emails. Le comportement de lentreprise face la scurit : Lentreprise utilise un logiciel antivirus que le neveu dAhmed (qui sy connat en informatique) a achet dans un grand magasin dordinateurs. Ahmed sait toutefois que ce produit nest pas suffisant pour protger les informations de son entreprise, surtout si son activit se dveloppe aussi rapidement. Ahmed redoute que son concurrent local mette la main sur sa liste de clients rguliers et sur son modle de tarification. Dans la mesure o il se doit de respecter les exigences de la norme Payment Card Industry (PCI) en matire de scurit des donnes, Ahmed sait que son entreprise doit adopter un logiciel de protection et le maintenir jour pour grer ses vulnrabilits. Ahmed explique : Ma passion, cest tailler des costumes, pas linformatique. Mais il est temps dinvestir dans un logiciel de scurit informatique plus professionnel, ne ft-ce que pour ma tranquillit desprit. Nous avons besoin dune scurit informatique qui nous procure la protection
24
dont nous avons besoin, mais qui est facile installer et grer. Je recherche une solution autonome qui me permette de faire mon travail sans avoir men proccuper. Depuis que jai repris lentreprise de mon pre, nous avons enregistr une croissance impressionnante. Nous sommes sur le point douvrir notre cinquime magasin et nous nous lanons dans la vente en ligne. Nous avons donc besoin dune solution de scurit informatique qui volue nos cts.
25
Le logiciel de scurit actuellement utilis ne fait pourtant quirriter tout le personnel. Les PC prennent normment de temps dmarrer et lorsque le logiciel de scurit effectue un scan la recherche de programmes malveillants, lordinateur semble paralys. Le Dr Ivana explique : La confidentialit des patients est de la plus haute importance. Cest la raison pour laquelle nous navons jamais hsit installer un logiciel de scurit. Nanmoins, notre logiciel actuel a eu un effet notable et trs ngatif sur la performance de nos ordinateurs. Dans la mesure o notre licence arrive son terme, cest le moment idal pour changer de logiciel et en choisir un qui naffecte pas les performances de nos ordinateurs, afin que nous puissions traiter nos patients plus efficacement. Nous voulons un logiciel qui scurise nos informations hautement sensibles, sans nous empcher dapporter les meilleurs soins possible nos patients.
26
La plupart des membres de lquipe utilisent galement des tablettes. Dans la mesure o les tablettes appartiennent au personnel, elles ne font pas officiellement partie du matriel de lentreprise. Toutefois, Suzie est contente que son personnel utilise ces appareils, dans la mesure o elle estime que lentreprise parat ainsi plus innovante. Le comportement de lentreprise face la scurit : Lagence a malheureusement souffert dun incident majeur de scurit il y a peu. lissue dune runion avec un client, lun des directeurs de compte de Suzie a emport son ordinateur portable dans un bar, o il a t vol. Cet ordinateur contenait des fichiers trs sensibles, dont les plans confidentiels du lancement dun nouveau produit qui donnerait au client concern un rel avantage comptitif sur le march. Suzie a d en informer le client qui sest mis trs en colre. Lincident a pris de lampleur et a t plac entre les mains du dpartement juridique du client. Ilest galement probable que ce client rompe ses relations avec lagence. Lagence de Suzie est donc sur le point de perdre un important client... et risque des poursuites judiciaires. Suzie explique : Nous payons encore les consquences de cet incident de scurit. prsent, ma priorit est de massurer quil soit impossible que ce type de problme se reproduise. Nous devons mettre en place une solution de protection globale ds que possible. Mais nous devons aussi nous assurer quelle soit simple grer, afin que lun de nos designers, trs dou pour tout ce qui est technique, puisse le grer et lentretenir.
27
28
Raoul explique : Le secteur a beaucoup volu ces dernires annes. Il y a bien plus de rglementations prsent. En mme temps, la nature des menaces nous demande dadopter des solutions de scuritinformatique bien plus performantes.
Chapitre 3
C omprendre pourquoi une protection antivirus ne suffit pas Prendre connaissance des menaces en ligne Protger vos transactions bancaires en ligne
ans ce chapitre, nous vous expliquons comment la complexit croissante des solutions informatiques traditionnelles destines aux entreprises et la sophistication des virus informatiques, des programmes malveillants et des attaques cybercriminelles compliquent la vie de toutes les entreprises.
a se complique
Il y a quelques annes seulement, chaque appareil protger au sein dune organisation tait accessible par lepatron. Il tait simple dimaginer le trac dun cercle imaginaire autour du rseau informatique de lentreprise. Sivous mettiez en place un pare-feu pour protger tout le contenu de ce cercle, et si vous vous assuriez quun logiciel de scurit adapt fonctionnait sur tous les ordinateurs, vous tiez intouchables.
30
Mais a, ctait lpoque de la mobilit limite, lorsque vous ne pouviez pas accder aux informations de votre entreprise en dehors de votre bureau. Et cette poque, les entreprises ne dpendaient pas autant de linformatique.
31
BlackBerry, Symbian, Windows Mobile et Windows Phone qui nappartiennent pas ncessairement lentreprise. Heureusement, certains fournisseurs de solutions de protection informatique ont pris conscience de cette complexit croissante. Ils ont donc dcid de mettre au point des logiciels de scurit innovants permettant de simplifier sensiblement la protection des systmes informatiques, y compris des appareils mobiles et de sattaquer au BYOD.
C
SEIL ON
Pour plus dinformations sur les problmes et solutions en matire de scurit mobile, Scurit mobile et BYOD pour les Nuls est disponible dans toutes les bonnes librairies. Bon, en fait, il nest pas disponible en librairie, mais vous pouvez en obtenir une copie gratuite ladresse www.kaspersky.com/fr/businesssecurity/download.
Antivirus ou anti-malware ?
Certaines entreprises pensent tort que les virus et les programmes malveillants ( malware en anglais) sont une seule et mme chose. Ils pensent donc quil nexiste aucune diffrence entre un antivirus et un anti-malware. Ce nest pourtant pas le cas et cette erreur peut savrer trs coteuse. La plupart des gens sont familiers avec les types de virus qui peuvent se propager dordinateur en ordinateur. Les logiciels malveillants reprsentent toutefois un ventail bien plus large de programmes hostiles. Ils comprennent les virus, les vers, les chevaux de Troie, les ransomware, les enregistreurs de frappe clavier, les logiciels-espions et bien dautres menaces. Un produit logiciel qui prsente une protection anti-malware protge donc vos ordinateurs et vos informations contre bien plus que les virus.
32
33
lutilisation sans cesse accrue de procds dentreprise bass sur Internet et de transactions financires en ligne, nous sommes tous bien plus dpendants dInternet et du commerce lectronique aujourdhui. Cette volution a attir lattention des criminels. Lre du cyber-vandalisme relativement innocent est rvolue et une menace bien plus relle rde sur Internet. Les cybercriminels ont rapidement compris quil tait plus judicieux de concevoir des programmes malveillants et des escroqueries sur Internet, qui causent bien plus de tort que les anciens virus. Ces nouvelles attaques ont pour objectif de voler des informations, de largent et tout ce qui pourrait avoir de la valeur pour un cybercriminel. Dtrompez-vous, ce ne sont pas des amateurs. Des cybercriminels avec des comptences techniques considrables conoivent sans cesse de nouvelles mthodes pour attaquer les entreprises. Dans la plupart des cas, leur motivation est dordre financier : ils volent directement de largent sur le compte bancaire dune entreprise, volent des donnes sensibles pour les revendre sur le march noir ou extorquent de largent aux entreprises laide dautres mthodes. En outre, en rcoltant des informations personnelles partir des ordinateurs portables, des serveurs et des appareils mobiles des entreprises, les cybercriminels peuvent usurper des identits et voler de largent des personnes lies lentreprise. Notre dpendance vis--vis des ordinateurs facilite la tche de hackers qui perturbent les systmes dune entreprise, des fins de protestations sociales ou politiques (ce que lon appelle l hacktivisme ).
MISE
GARDE EN
34
35
Spam
Dans sa version la moins nuisible, un spam nest quune version lectronique dun courrier indsirable. Les spams peuvent toutefois savrer extrmement dangereux sils sont utiliss dans le cadre dune campagne dhameonnage ou sils comportent des liens vers des sites Internet infects qui tlchargent des virus, des vers ou des chevaux de Troie sur lordinateur de la victime.
Hameonnage
Lhameonnage (ou phishing en anglais) est une forme sophistique dattaque malveillante. Il consiste crer la rplique dun site Internet rel, comme un service bancaire en ligne ou un rseau social et lorsque la victime se rend sur le faux site en question, ce dernier utilise des techniques dingnierie sociale afin dobtenir des informations de la part de la victime. Lhameonnage est souvent utilis pour des usurpations didentit et pour voler de largent de comptes bancaires ou les informations des cartes de crdit.
Ransomware
Les chevaux de Troie ransomware sont utiliss pour extorquer de largent aux victimes. Gnralement, le cheval
36
de Troie chiffre des donnes sur le disque dur de lordinateur de la victime pour lempcher dy accder, ou bloque compltement laccs lordinateur. Le cybercriminel exige ensuite dtre pay pour rparer les dgts. Les chevaux de Troie ransomware peuvent tre diffuss par le biais demails dhameonnage ou lors de la visite dun site Internet contenant un programme malveillant. Dans la mesure o les sites Internet infects peuvent tre des sites lgitimes ayant t infiltrs par des cybercriminels, les risques de contracter un ransomware ne se limitent aucunement aux sites suspicieux.
37
C
SEIL ON
38
39
Harponnage
Le harponnage (ou spear phishing en anglais) est un autre type dattaque sophistique. Le cybercriminel tente de collecter vos informations personnelles, en espionnant une connexion Wi-Fi publique par exemple. Il utilise ensuite ces informations personnelles pour renforcer la crdibilit dun email dhameonnage ciblant une entreprise. Par exemple, si le cybercriminel parvient accder aux donnes publies en ligne par un employ sur un site de rseau social et sil apprend quil tait rcemment en vacances, il peut utiliser ces informations dans le cadre dune tentative dhameonnage. Lorsque lemploy en question reoit un email dune personne prtendant tre un collgue, et que cet email comporte des dtails sur ses vacances, lemail en question a plus de chances de paratre rel. Et si lemploy est invit confirmer ses codes daccs au rseau de lentreprise, le cybercriminel peut alors semparer des mots de passe dont il a besoin.
Menaces mobiles
Les individus et les entreprises peuvent penser tort que leur smartphone ou leur iPhone ne sont que des tlphones. Ce nest pas le cas : il sagit dordinateurs puissants qui peuvent stocker beaucoup dinformations confidentielles et la perte ou le vol dun appareil mobile peut donc entraner de graves failles de scurit. Si un smartphone perdu ou vol nest pas protg laide dun code PIN (ou, encore mieux, dun code plus long), celui qui y accde peut tout simplement se connecter tous les comptes en ligne utiliss sur lappareil.
41
Certaines solutions de scurit comprennent des fonctionnalits de scurit qui oprent distance et peuvent notamment vous permettre de vous connecter votre tlphone et deffacer toutes les donnes. Si vous choisissez une solution de scurit qui permet le chiffrement des donnes, vous bnficiez dune protection supplmentaire. Mme si un criminel trouve le tlphone avant que vous nayez ralis sa perte (et que vous nayez pu effacer ses donnes), le chiffrement des informations vous permet de lempcher de lire les donnes. De plus, dans la mesure o les smartphones et les tablettes daujourdhui sont en fait de rels ordinateurs, ils sont vulnrables un nombre croissant de programmes malveillants et dattaques frquentes sur les ordinateurs de bureau et portables, dont les virus, les vers, les chevaux de Troie, les spams et les tentatives dhameonnage. Il est donc essentiel dutiliser un logiciel de scurit pour protger vos appareils mobiles (pour en savoir plus, procurez-vous une copie gratuite de louvrage Scurit mobile et BYOD pour les Nuls ladresse www.kaspersky.com/fr/businesssecurity/download).
C
SEIL ON
42
Chapitre 4
votre entreprise
Sensibiliser votre personnel aux problmes de scurit Comprendre comment le cloud computing peut affecter
votre scurit
orsquil sagit de scurit informatique, la plupart des gens pensent que cest trop compliqu et se contentent de croiser les doigts en esprant que tout se passe bien. Nous leur souhaitons bonne chance. Cependant, lorsque leurs clients et partenaires commerciaux poursuivent leur entreprise en justice en raison dune perte de donnes, ils nont gure darguments en leur faveur soumettre lavocat qui assure leur dfense. Dans ce chapitre, nous examinerons quelques mesures simples de scurit que vous pouvez prendre sans dpenser le moindre sou en logiciel ou en matriel. Nous tenterons galement de dterminer de quelle manire le cloud computing peut affecter la stratgie de scurit dune entreprise.
44
45
peut dbusquer les entreprises qui tentent dignorer le problme en affirmant que disposer dun systme de scurit inadquat ne revt pas une grande importance.) Quelles sont les chances que mon entreprise soit victime dune fuite dinformations confidentielles ? (Souvenez-vous quune fuite dinformations peut rsulter de la simple perte dun ordinateur portable ou dun smartphone. Vous tes peut-tre trs prudent, mais quen est-il de vos employs ?) Vos rponses vous seront trs utiles pour choisir la meilleure faon de renforcer la protection de vos donnes.
46
simplement piger un individu qui compromettra son insu la scurit de lentreprise en cliquant par exemple sur un lien dans un email de harponnage. laborez et diffusez votre politique de scurit. Celle-ci doit clairement dfinir le comportement adopter par vos employs pour maintenir la scuritet liminer les risques inutiles. Organisez rgulirement des sessions de sensibilisation pour votre personnel. Ces sessions doivent avoir pour objectif de les sensibiliser : la ncessit dutiliser des mots de passe diffrents pour chaque application et compte. aux dangers des Wi-Fi publics et la manire de les contourner. aux moyens de reprer les tentatives de harponnage. aux consquences de la perte dun appareil mobile en termes de scurit. Faites appliquer la politique de scurit de votre entreprise, en vous assurant par exemple que chaque employ utilise des mots de passe difficiles dcoder pour protger laccs aux donnes de lentreprise, ses comptes bancaires, etc. (voir lencadr Quest-ce qui rend un mot de passe difficile dchiffrer ? pour plus de conseils ce sujet). Rvisez votre politique de scurit lorsque de nouveaux risques apparaissent ou lorsque vous adoptez de nouvelles procdures. Organisez des sessions de rappel, afin que vos employs gardent lesprit les enjeux de la scurit de linformation. Assurez-vous que les nouveaux effectifs participent des sessions de sensibilisation dans le cadre de leur formation.
47
C
SEIL ON
48
49
votre personnel connaisse les simples mesures de scurit prendre. En ralit, le seul changement avec le cloud computing, cest que vos informations sont stockes ailleurs par un fournisseur tiers.
50
Les ordinateurs utiliss par le fournisseur pour stocker mes informations et les systmes de communication utiliss pour rendre mes informations disponibles lorsque jen ai besoin sont-ils suffisamment robustes ? Le fournisseur me garantit-il un accs continu mes informations (puis-je accder mes informations importantes quand jen ai besoin etne pas tre drang par les pannes de son systme) ? Le fournisseur dispose-t-il dune technologie adapte garantissant une rcupration de mes donnes en cas de panne majeure ou dattaque deses systmes informatiques, sans que la scurit et laccessibilit de mes informations en soient affectes ? Quel est le niveau de scurit offert par le fournisseur en matire de protection de mes donnes contre les pertes et les accs non autoriss ? (Sachant que je dois tout de mme disposer dun logiciel de scurit sur tous les ordinateurs et appareils mobiles que jutilise pour accder ces donnes). O seront stockes mes donnes ? Un stockage ltranger risque-t-il dentraner des complications juridiques ou des problmes de mise en conformit pour mon entreprise ?
SEIL ON
Vous nenvisageriez jamais de confier votre enfant une personne dont vous nauriez pas vrifi les antcdents et laquelle vous ne feriez pas entirement confiance. De la mme manire, si votre entreprise est votre bb , vous devez
51
prendre le temps dvaluer les fournisseurs potentiels de services de cloud computing, afin de vous assurer que les informations sensibles et confidentielles de votre entreprise seront bien protges. Il existe plusieurs arguments convaincants en faveur du transfert de vos informations, et de certaines applications logicielles, dans le nuage. Il vous faut toutefois rester trs vigilant. Mme si le cloud computing peut simplifier certains aspects de votre gestion informatique, le stockage dans le nuage peut savrer complexe lorsquil sagit de choisir et de grer votre fournisseur de services.
MISE
GARDE EN
Le cloud computing ne vous libre pas de lobligation de protger vos donnes sensibles. Vous tes responsable de la protection de vos informations confidentielles, et si vous choisissez un fournisseur qui ne dispose pas dun systme de scurit adquat, vous devrez galement en faire les frais.
52
Chapitre 5
convient besoin
Vous assurer de disposer de lassistance dont vous avez Envisager lvolution de vos besoins en matire de
ous avez donc valu les risques auxquels votre entreprise est confronte en matire de scurit et form votre personnel quant limportance de la scurit de linformation (bien videmment, si vous rassemblez tout votre personnel, il peut sagir dune brve formation). Il est prsent temps de choisir le logiciel de protection le mieux adapt votre entreprise.
54
C
SEIL ON
Aidez-moi !
Demandez aux fournisseurs potentiels de prciser le niveau dassistance assur en cas de problme avec lutilisation du logiciel, dattaque ou datteinte la scurit de votre entreprise. Pouvoir dcrocher le tlphone et parler quelquun qui vous aide rsoudre vos problmes est non seulement pratique et rassurant, mais cela peut galement vous faire gagner du temps et vous aider remettre vos ordinateurs et procdures en route aussi rapidement que possible. Par ailleurs, si un fournisseur sattend ce que vous fouilliez dans sa base de connaissances en ligne pour trouver la solution votre problme, vous pouvez y perdre de longues heures que vous auriez pu consacrer des activits importantes pour votre entreprise. Nest-il pas surprenant de constater que ce type dincidents survient toujours au moment o vous tes le plus occup, o vous devez respecter une date butoir pour la rdaction dune proposition visant dcrocher laccord de votre vie ? Essayez de choisir un fournisseur qui offre une assistance locale... dans votre langue... et dans votre fuseau horaire. Choisir un fournisseur de solutions de scurit dot dun bon service clientle est un lment crucial du processus de slection. Si le march comprend dexcellents logiciels de scurit dots de technologies anti-malware et de scurit Internet de tous types, demandez-vous ce quil se passera lorsque votre entreprise aura besoin dune solution plus labore que celle que vous avez achete : Le fournisseur que vous avez choisi sera-t-il en mesure de vous proposer dautres solutions vers lesquelles vous pourrez migrer ?
55
Ce produit vous permet-il dajouter des fonctionnalits pour protger les nouveaux lments que vous pourriez ajouter votre systme informatique (des serveurs virtuels par exemple), sans devoir pour autant changer de logiciel de protection ou recourir un expert pour grer les problmes dintgration ? Ces questions ne vous semblent peut-tre pas cruciales aujourdhui, mais mesure que votre entreprise se dveloppera, elles vous permettront dviter les interruptions et les cots associs un changement de fournisseur.
56
MISE
GARDE EN
Certains fournisseurs de logiciels de protection sattendent ce que leurs clients utilisent plusieurs consoles dadministration pour contrler les diverses technologies de protection de leur produit. Parfois, la raison en est que le fournisseur a acquis diffrentes technologies lors de lachat dautres entreprises de scurit. Quelle quen soit la raison, devoir utiliser plusieurs consoles peut prendre beaucoup de temps et savrer perturbant pour lutilisateur.
En revanche, certains logiciels de protection vous permettent de voir, contrler et dfinir des politiques pour toutes les technologies de scurit de votre protection, par le biais dune seule console dadministration. Vous devez donc vous familiariser avec une seule interface, facile utiliser, qui vous donne une vision claire de toutes les technologies de protection utilises sur votre rseau informatique. Si vous tes personnellement responsable de la gestion du logiciel de scurit de votre entreprise, vous pouvez ainsi consacrer plus de temps des aspects bien plus importants concernant le fonctionnement de votre entreprise. Mme si vous disposez dun expert informatique externe ou interne pour grer votre logiciel de protection, disposer dune console unique et facile utiliser peut vous aider matriser les cots et accrotre votre efficacit.
Gnration de rapports
Les logiciels qui vous permettent de gnrer un large ventail de rapports sur le statut de scurit et les vulnrabilits de lensemble de votre systme informatique, y compris les appareils mobiles, peuvent vous aider mieux visualiser les problmes.
57
Choisir un logiciel mal adapt nest sans doute pas catastrophique, mais cela pourrait vous coter du temps et de largent, que ce soit aujourdhui ou lavenir.
58
59
souvent pas dadapter facilement ou rapidement les mmes configurations et options tous les ordinateurs portables, de bureau et appareils mobiles utiliss par lentreprise.
MISE
GARDE EN
Si vous comptez dvelopper votre activit de manire significative, il se peut que vous ayez rapidement besoin dune infrastructure informatique complexe. Choisir un logiciel de protection pour particulier, qui ne peut pas voluer en mme temps que votre entreprise, pourrait donc savrer coteux et problmatique lorsque vous devrez adopter une nouvelle solution pour accompagner le dveloppement de votre activit.
60
C
SEIL ON
61
De nombreuses entreprises ne ralisent pas que pour la plupart des produits logiciels, il existe une relation inverse entre les fonctionnalits disponibles et la facilit dutilisation. Les produits offrant des fonctionnalits qui ne seront utiles quaux grandes entreprises peuvent savrer bien plus difficiles configurer et grer par rapport aux produits conus pour les petites entreprises. Les petites entreprises qui dcident daller au plus simple en choisissant le produit logiciel le plus complet peuvent se compliquer la vie jusquau jour o lentreprise se dveloppe et a rellement besoin dun logiciel de protection de ce type! Vous devez galement savoir qu mesure que votre entreprise se dveloppe, votre fournisseur peut vous aider rpondre vos nouveaux besoins en matire de scurit, sans vous obliger vous dbarrasser de votre ancien produit et tout recommencer.
MISE
GARDE EN
Les logiciels de protection destins aux grandes entreprises peuvent comprendre des technologies de pointe capables de protger des environnements complexes. Toutefois, si votre rseau informatique est relativement simple, et si ne vous ne comptez pas le dvelopper outre mesure, il se peut que vous payiez pour des fonctionnalits que vous nutiliserez jamais. En outre, un logiciel de protection trop complexe peut savrer bien plus difficile grer chaque tape de sa dure de vie. De la premire configuration la gestion quotidienne, une solution destine aux grandes entreprises peut exiger des comptences et du temps que les petites entreprises nont sans doute pas leur disposition. En bref, les solutions pour grandes entreprises supposent souvent des ressources et une expertise informatiques disponibles tout moment.
62
Scurit pour prosommateurs ? Il sagit de lun de ces termes imagins par des professionnels du marketing en costume triqu, mais de quoi sagit-il exactement ? (Au fait si vous grez une agence marketing... ce costume vous va vraiment trs bien !) Les solutions de scurit pour prosommateurs comblent le foss entre les produits faciles utiliser conus pour des particuliers et les produits destins aux entreprises qui offrent des fonctionnalits supplmentaires, mais qui peuvent savrer plus complexes configurer et grer. Les produits pour prosommateurs visent donc combiner les capacits largies requises par les entreprises, la facilit dutilisation ncessaire pour les entreprises qui ne disposent pas dexperts informatiques en interne. Lorsque les fournisseurs de solutions de protection parviennent trouver le juste quilibre, ces produits reprsentent une option idale pour de nombreuses entreprises. Il existe une grande diffrence entre un logiciel de protection conu spcialement pour satisfaire les besoins des petites entreprises et un produit destin aux grandes entreprises qui a tout simplement t revu pour convenir aux entreprises plus modestes. Si un fournisseur se contente de modifier lgrement un produit destin aux grandes entreprises pour en faire un produit de prosommation, vous pouvez vous retrouver avec un systme de protection trop complexe et trop laborieux faire fonctionner. Quelle que soit la taille de votre entreprise, assurez-vous de choisir un fournisseur qui a pris le temps de rflchir aux dfis uniques auxquels sont confrontes les organisations telles que la vtre, et qui a dvelopp une solution logicielle optimise pour votre type dentreprise.
MISE
GARDE EN
63
64
R
PEL AP
Si vous ne parvenez pas faire votre choix, gardez lesprit quil existe un nombre presque illimit dentreprises diffrentes et quelles prsentent toutes des exigences diverses en termes de scurit. Il faut donc faire le bon choix. Mme si vous devez prendre le temps de peser le pour et le contre des diverses options, ce faisant vous aurez plus de chances de choisir la solution de protection qui rpondra le mieux vos besoins.
Chapitre 6
Dix questions pour vous aider dterminer comment protger votre entreprise
Dans ce chapitre
Dfinir les besoins de votre entreprise Prendre connaissance de vos obligations lgales Dfinir votre politique de scurit
oici dix questions simples qui vous aideront dterminer les lments essentiels prendre en compte pour protger votre entreprise contre la cybercriminalit, les programmes malveillants et les autres risques potentiels en matire de scurit informatique : Avez-vous valu les risques de scurit potentiels pour votre entreprise et identifi les informations et les ordinateurs protger ? Outre la protection de vos ordinateurs, devez-vous galement protger des appareils mobiles et votre programme BYOD ? tes-vous au courant des obligations lgales et rglementaires qui sappliquent votre entreprise en matire de protection des informations confidentielles ?
66
Avez-vous dfini des politiques de scurit de base que votre entreprise peut utiliser pour protger ses informations, ses ordinateurs et ses autres appareils ? Avez-vous mis en place un programme de formation simple pour sensibiliser vos employs aux problmes de scurit et les encourager viter toute atteinte la scurit ? Avez-vous valu les diffrents logiciels de protection disponibles sur le march, sur la base de leur facilit dutilisation, de leurs niveaux de protection et de leur capacit dvolution ? Le fournisseur du logiciel de protection que vous avez choisi propose-t-il une assistance dans votre langue et dans votre fuseau horaire ? Avez-vous besoin de fonctionnalits supplmentaires offrant une protection renforce pour les oprations bancaires et les transactions financires en ligne ? Si vous avez dcid davoir recours au cloud computing, avez-vous vrifi que votre fournisseur de services de cloud computing proposait une scurit suffisante et avez-vous examin les clauses du contrat ? Avez-vous choisi un logiciel de protection capable de protger tous les ordinateurs et appareils mobiles utiliss par votre entreprise pour accder des informations stockes dans le nuage ? Les consquences des atteintes la scurit de linformation et des attaques cybercriminelles peuvent tre dvastatrices. Vous devez donc vous assurer que vos systmes informatiques sont protgs par un logiciel de protection adapt. Tournez la page pour obtenir des informations supplmentaires...
Essential tips on defending entreprise contre les programmes your business against malveillants et la cybercriminalit malware cybercrime Des start-ups auxand multinationales, les entreprises
From to multinationals, all et des start-ups appareils mobiles, ce qui implique quelles businesses are increasingly reliant on sont aussi plus vulnrables face aux attaques malveillantes. Ce livre faciledevices lire fournit des that computers and mobile and astuces theyre pour vous aider protger les donnes means increasingly vulnerable to devotre entreprise, y compris les informations malicious attacks. This easy-to-read book sensibles relatives vos clients. Il vous explique brings you tips on protger how to vos protect your galement comment ordinateurs etappareils mobiles contre les virus et autres business information including sensitive programmes malveillants, afin que vous passiez information about your customers and moins de temps vous occuper de la scurit, how to secure your votre computers and mobile etdavantage diriger entreprise. devices against viruses and other malware, Comprendre les risques savoir ce qui est so you spend less time on security and enjeu pour votre entreprise more time running your business.
C onnatre les menaces comment les criminels ciblent les entreprises Understand the risks know Prvoir votre protection en vitant les whats at stake for your business pigesfrquents en matire de scurit D fendre vos donnes laide dun logiciel criminals target businesses dehow scurit facile utiliser
sont de plus en plus dpendantes des ordinateurs
An overview of cyberattaques typical cybercrime Des moyens simples de attack methods renforcer la protection Simple ways to boost your Comment choisir le information logiciel de scurit security qui convient votre How to choose security software thats right for your business
Avec les Nuls, tout devient facile !
entreprise de vos informations
pour des vidos, des exemples for videos, step-by-step examples, pas--pas, des articles explicatifs ou how-to articles, or to shop! pour faire desachats !
ISBN: 978-1-118-84819-7 Non destin la revente ISBN: 978-1-118-84041-2 Not for resale