L’Agence nationale de la sécurité des systèmes d’information, l’ANSSI vient de publier son nouveau guide des bonnes pratiques pour renforcer la sécurité de ses données. Il s’adresse en premier lieu aux professionnels mais est tout à fait adaptée au grand public.

L’Anssi remet à jour son guide de bonne pratique. Ce guide publié par l’Agence se présente sous la forme de 42 recommandations, chacune déclinée en deux niveaux qui permettent d’ajuster le niveau de sécurité entre standard et renforcée pour tous les aspects du système d’information.

Un guide essentiellement destiné aux PME, qui ne disposent que peu de temps et des ressources nécessaires à la sécurisation correcte de leur système.

« C’est vrai que la protection des PME est généralement moins dans nos prérogatives. Mais cela reste très important et cela peut devenir tout à fait préoccupant quand ces attaques deviennent systématiques et viennent affecter tout un secteur d’activité »  soulignait Guillaume Poupard lors du  9ème FIC le Salon international de la Cyber sécurité de Lille.

Pour faire face, l’Anssi lance un dispositif « Acyma » et publie son guide, deux initiatives clairement orientées vers les entreprises de tailles moyennes.

ð Le document est disponible au  format pdf :

https://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf

Le guide propose, au travers de 42 mesures, une feuille de route afin d’apporter un minium de sécurité autour des données jugées de valeur.

Il s’agit de conseils dits «d’hygiène informatique essentielle» pour assurer la sécurité d’un système d’information et les moyens de les mettre en œuvre.

Il est important de noter qu’il  s’agit d’un « socle minimum à respecter pour protéger ses informations ».

L’approche se présente en dix phases :

-         Sensibiliser et former

-         Connaitre le système d’information

-         Authentifier et contrôler les accès

-         Sécuriser les postes

-         Sécuriser le réseau

-         Sécuriser l’administration

-         Gérer le nomadisme

-         Maintenir à jour le système d’information

-         Superviser, auditer, réagir

Et enfin : « Pour aller plus loin »

Il est intéressant de constater que le chiffrement est recommandé par l’ANSSI.

 Il fait partie des solutions à mettre en œuvre au niveau d’un poste de travail afin de garantir la sécurité des données transmises par voie Internet.

Cette technique ne semble pourtant pas avoir trop les faveurs de nos politiques. Ainsi, selon le Ministre de l’Intérieur, B. Cazeneuve, le chiffrement serait une « menace pour la démocratie voir une arme puissante pour le terrorisme ».

Didactique, l’introduction du guide propose une méthodologie pour ceux qui souhaiteraient s’appuyer sur ce document pour renforcer la sécurité de leur système.

Commencer par un état des lieux :

Le Guide conseille de commencer par un état des lieux de l’entreprise pour chacune des règles, puis de viser ensuite un niveau standard dans les 42 catégories répertoriées par l’agence avant éventuellement de recommencer la procédure pour atteindre le niveau avancé.

Les amateurs de cyber sécurité ne devraient pas être surpris par les règles proposées par l’Anssi, qui ne fait que rappeler, mais à juste titre, les règles simples et essentielles de la sécurité informatique : identifier et sécuriser les données critiques, segmenter le réseau afin de limiter les risques, mettre en place une politique de mots de passe et de gestion des accès….

Autant de précautions trop souvent oubliées par les entreprises qui mettent en place leur SI.