L’informatique, un casse-tête insoluble ?

Par

Francois-Xavier Signori, Co-fondateur et COO - Switching IT pain to gain @ Bravas

26 septembre 2023

L’informatique, un mot connu de tous, utilisé par presque tous, qui couvre de multiples sujets, multiples problèmes mais dans lequel se trouve de grandes opportunités de développement et de business. Et pourtant, il suffit d’aborder le sujet à n’importe quelle rencontre entrepreneuriale pour se rendre compte que le vécu des dirigeants d’entreprises autour de l’informatique est plutôt associé à l’impression d’être ralenti ou de devoir gérer des problèmes qu’on n’aurait pas eu autrement. Et les solutions proposées par les spécialistes donnent toujours l’impression d’être démesurées et hors de prix

Un constat consternant !? Heureusement des solutions existent

Le monde du travail s’est réinventé, commence à pleinement utiliser les outils numériques et ce qui était réservé qu’à quelques grandes entreprises ou start-up se démocratise pleinement :
– les employés utilisent en moyenne 24 applications et 2,3 appareils par personne
– le télétravail, que l’on y adhère ou non, fait maintenant partie intégrante d’une majorité d’entreprises
– les mouvements RH ont doublé en 20 ans avec un taux de rotation de 15% en 2021 en France toutes activités confondues

Et alors que nos entreprises ont un besoin essentiel de personnes qualifiées en informatique, les candidats compétents se font rares, et de manière durable (3,5 millions de postes non pourvus attendus en 2025(). Les formations professionnelles nécessaires ne sont pas forcément accessibles à toutes les conventions collectives, et de manière générale le niveau technique des personnes déjà formées n’est plus en adéquation avec les évolutions fortes de ces dernières années. Cela a pour conséquence que les gérants de PME passent environ 17 heures par mois sur ces activités.

Cela amplifie les problèmes de gestion de parcs informatiques pour les PME et donc les risques. D’autant que 90% des intrusions sont liées à des erreurs humaines et que souvent, un seul appareil peut donner accès à l’ensemble des informations de l’entreprise.

Face à la recrudescence et à la professionnalisation des attaques, les grandes entreprises se sont massivement équipées de systèmes de sécurité, ce qui a eu pour cause le report de ces attaques sur les PMEs moins bien préparées et avec moins de moyens pour de défense souvent en partie à cause du prix et des seuils de commandes pratiqués par l’industrie du logiciel.

Des solutions accessibles à toutes entreprises et tous les budgets

S’il existe un grand nombre de solutions coûteuses et peut être intéressantes, il est toujours bon de rappeler que les bases de la sécurité dans le monde numérique sont accessibles à toutes entreprises et tous budgets.
Les risques sont partout, il sera difficile de tous les couvrir, alors commençons par les plus simples à résoudre

Étape numéro 0 : prendre conscience des risques

Les problèmes n’arrivent pas qu’aux voisins et vous ne serez pas forcément attaqué par le dernier ransomware à la mode. Mais que se passerait-il si votre commercial partait et conversait ses accès à votre base client pendant plusieurs mois après son départ ? Ou si un de vos ordinateurs était volé et que le mot de passe de votre site de vente était écrit sur une note collée sur l’ordinateur ?

Étape numéro 1 : formez votre personnel avec des micro-formations

90% des brèches sont dues à des erreurs humaines. La clé du succès réside dans la répétition. La micro-formation est une méthode d’apprentissage qui consiste à proposer des modules de formation de courte durée (en général de 3 à 5 minutes) axés sur un sujet spécifique. Ces modules peuvent être sous forme de vidéos, de quiz, de tutoriels, etc.
Contrairement aux formations traditionnelles, les micro-formations sont beaucoup plus courtes, plus ciblées et plus accessibles. Elles permettent aux employés d’apprendre de manière rapide et efficace, en se concentrant sur un sujet précis plutôt que sur un large éventail de compétences.
En 3 à 5 min elle permet de retenir souvent plus qu’en 1 heure de formation.

Étape numéro 2 : homogénéisez et mettez à jour votre flotte informatique

Beaucoup de faiblesses des logiciels ou systèmes d’exploitation sont corrigées au fil de l’eau et intégrées dans les mises à jour. Par exemple, lorsque Microsoft ou Apple corrigent des failles majeures (Zero Day), ils demandent à tous leurs utilisateurs de mettre à jour sans plus attendre tous leurs appareils.

Si les mises à jour peuvent effectivement être réalisées à la main en passant du temps à courir après tous vos usagers, il reste plus pertinent de reposer sur les fonctions de mise à jour automatique et de gestion centralisée pour en assurer le contrôle. Pour ce faire, équipez-vous d’un Gestionnaire de Flotte ou Mobile device manager (MDM). Certains sont spécialement conçus pour les PME.

Étape numéro 3 : sécurisez l’accès à vos applications et logiciels

Plusieurs axes doivent être adressés pour résoudre ce point :

– le 1er est de s’assurer que les méthodes de connexions soient fortes qui correspondent à au moyen 2 éléments de ce que je sais (un mot de passe robuste), ce que j’ai (une carte à puce) ou ce que je suis (mon empreinte digitale). Il est donc possible d’utiliser la double authentification ou une seule authentification basée sur des facteurs forts qui sont déjà une combinaison de deux éléments.
Attention les mots de passe, aussi compliqué soient-ils, sont la cause de 80% des piratages. Ils sont complexes, nécessaires partout de façon unique, parfois ils demandent encore à être changés tous les 3 mois, ce qui résulte à des usages moins sécuritaires comme les noter sur des papiers ou sur une note non sécurisée. Il est donc intéressant de mettre en place des nouvelles méthodologies comme PassKey.

– le 2e est de contrôler à partir de quel appareil un employé peut accéder aux informations de l’entreprise. Aujourd’hui la grande majorité de l’information ou des logiciels sont en ligne, donc comment garantir qu’un accès par mot de passe provient du bon usager et sur une machine saine ? Pourquoi ne pas simplement empêcher des authentifications, même par mots de passe, si initialement nous ne sommes pas sur des terminaux reconnus par l’entreprise ?

Quid du VPN : l’utilisation d’un VPN ne garantit en rien la confidentialité des données, de vos données, qui y transitent ! Tout dépend de qui opère le VPN ! Donc si vous en souhaitez un, équipez-vous d’une solution robuste et hébergée dans un environnement légalement et techniquement de confiance.

Et maintenant ? La sécurité est un effort constant

La sécurité est un effort constant et non pas un état qui ne nécessite pas de maintenance. Une fois dans une posture plus sereine pour vous, consolidez l’effort, continuez la formation, étendez vos politiques de sécurité à toujours plus d’outils, ainsi qu’à vos partenaires et sous-traitant, entraînez-vous à la gestion de crise, auditez régulièrement la bonne mise en œuvre de vos stratégies…
Informatique credit Depositphotos_Gorodenkoff