Politiques de sécurité

POLITIQUES DE SÉCURITÉ

Lors de la configuration d’un réseau, qu’il  s’agisse d’un réseau local (LAN), d’un réseau local virtuel  (VLAN), ou d’un réseau étendu (WAN), il est important de définir  dès le début les politiques de sécurité. Les politiques de sécurité sont des règles électroniques programmées et stockées dans un dispositif de sécurité destinées à contrôler des aspects comme  les droits d’accès. Ces politiques de sécurité sont, bien sûr, également  des règlements écrits ou oraux régissant le fonctionnement d’une société. De plus, les sociétés doivent  désigner le responsable  de l’application et de la gestion de ces politiques et déterminer le mode d’information des employés  à propos  des règles et des protections.

L’établissement d’une politique de sécurité

Une politique de sécurité repose essentiellement sur quatre piliers :

1. Décrire clairement votre modèle métier. 

Il serait absurde de concevoir  ou de déployer  une solution de sécurité qui ne serait pas fondée sur la nature de votre objectif métier.  Identifiez clairement votre objectif métier en y incluant le type de services et d’accès qui vous sont nécessaires pour les atteindre.

2. Identifier en détail les risques associés.

Si vous prévoyez d’héberger un segment  de services au public  (encore appelé zone démilitarisée ou DMZ) et d’offrir des activités  de commerce  électronique, vous devez comprendre toutes les manières dont les pirates chercheront à exploiter vos systèmes et vos services. Quels sont les risques si la page Web est saccagée, si un pirate s’introduit sur un serveur ou si une base de données de clients est attaquée ? De quelle manière  ces attaques sont-elles  menées ? Les pirates contournent-ils le pare-feu en se cachant dans le trafic Web autorisé ou cherchent-ils à exploiter des vulnérabilités dans des systèmes d’exploitation mal mis à jour ? Ces questions  doivent  être soigneusement examinées et comprises  avant de pouvoir passer à l’étape suivante. A mesure que vous ajoutez de nouveaux  systèmes ou de nouveaux  services à votre réseau, vous introduisez de nouveaux  risques. Les procédures  régulières d’administration du réseau doivent  comprendre une évaluation régulière et complète  des faiblesses du système.

3. Adopter une démarche systématique de limitation de ces risques.

Tout dans un réseau peut constituer une cible, qu’il s’agisse des routeurs,  des commutateurs, des hôtes, des applications, des réseaux et des systèmes d’exploitation. Pour être efficace, une politique de sécurité doit tenir compte de chacune de ces composantes. La mise en œuvre des solutions de sécurité repose sur les trois “P” : les Personnes, les Produits et les Procédures. Vous devez disposer de techniciens compétents pour mettre  en œuvre votre politique, vous devez utiliser  des outils  spécifiquement conçus pour supporter votre stratégie  e-business et vous devez associer à tout cela une administration système et une politique d’analyse  efficaces.

4. Garder à l’esprit que la sécurité est un processus.

Une politique de sécurité n’est pas une solution “gravée dans le marbre”. La sécurité exige des études, des analyses et des améliorations régulières pour offrir  le niveau de protection dont votre entreprise  a besoin. Vous pouvez également  envisager  l’acquisition d’un utilitaire d’évaluation des vulnérabilités ou encore signer un contrat  avec un partenaire  extérieur  de contrôle  de la sécurité afin de vérifier  votre politique, vos procédures  et votre mise en œuvre et, dans certains cas, vous décharger  de certaines tâches à forte composante de main-d’œuvre comme la surveillance. Lorsque vous élaborez votre politique de sécurité, gardez à l’esprit  la liste des dix conseils de sécurité les plus importants, mise au point  par l’équipe  Security  Consulting Services de Cisco.

10 conseils pour définir un politique de sécurité

1. Inciter ou obliger les employés à choisir des mots de passe qui ne soient pas évidents à trouver,

 2. Exiger des employés qu’ils changent leurs mots de passe tous les 90 jours,

3. Vérifier que l’abonnement à la protection antivirus est à jour,

4. Sensibiliser les employés aux risques relatifs à la sécurité des pièces jointes aux messages électroniques,

5. Mettre en œuvre une solution de sécurité du réseau complète et adéquate,

6. Evaluer régulièrement l’infrastructure de sécurité,

7. Supprimer immédiatement les droits d’accès au réseau d’un employé quittant la société,

8. Si des employés sont autorisés à travailler à distance, mettre en place un serveur sécurisé et géré de façon centralisée pour le trafic distant,

9. Mettre à jour régulièrement le logiciel du serveur Web,

10. Ne pas exécuter de services de réseau superflus.