Cyber Diagnostic Devis Contact

Connaissance du système d'information

Pour une meilleure connaissance de votre système d'information.


1- Cartographie de votre système d'information

La cartographie de votre système d’information va permettre de représenter le système d’information (SI) de votre organisation ainsi que ses connexions avec l’extérieur. Cette représentation peut être plus ou moins détaillée et inclure, par exemple, les biens matériels, logiciels, les réseaux de connexion, mais aussi les informations, activités et processus qui reposent sur ces biens.

La cartographie doit permettre :
- de réaliser l’inventaire patrimonial du système d’information, à savoir la liste des composants du SI et leur description détaillée
- de présenter le système d’information sous forme de vues, à savoir des représentations partielles du SI, de ses liens et de son fonctionnement. Elles visent à rendre lisibles et compréhensibles différents aspects du système d’information.

Une bonne cartographie est composée de trois visions allant progressivement de la vision métier aux visions applicatives pour enfin vous restituer une vision de l'architecture de votre système d'information.

En réalisant cette cartographie de votre système d’information :
- vous bénéficiez d’une vision commune de votre système que vous pouvez partager en interne
- vous identifiez les systèmes les plus critiques et les plus exposés, anticipez les chemins d’attaque possibles sur ces systèmes et mettez en place des mesures adéquates pour assurer leur protection
- vous réagissez de manière plus efficace en cas d’incident ou d’attaque numérique en ayant une meilleure vision des conséquences des actions défensives réalisées.

2- Déterminez quelles sont les données "sensibles pour votre entreprise".  

Ce sont les informations à caractère personnel ou confidentiel pour l'entreprise qui dans le cadre du Réglement Général sur la Protection des Données (RGPD), peuvent faire l'objet d'une obligation de notification si elles ont été volées, divulguées ou perdues.
Les données personnelles sont l’ensemble des informations collectées sur une personne physique qui permettent d’identifier ou de la rendre identifiable comme par exemples : 

Identifiez sur quels composants elles se localisent. Isolez et répertoriez les données jugées trop stratégiques et veillez à mettre en place une bonne méthode de sauvegarde. Mettez en place une solution de chiffrement si nécessaire.

3- Mettez en place une bonne gestion des authorisations d'accès.

Inventaire 

Disposer d'un inventaire des comptes utilisateurs et veiller à limiter le nombre de compte Administrateur à leur stricte minimum.
Gérez ces comptes en maintenant à jour les droits en fonction des départs/arrivés/changement de poste. Vous pouvez également déployer des solutions dédiées à la sécurisation et au monitoring de ces comptes à l'image de la solution UserLock proposée en test gratuit pendant 6 mois pour tous nos clients (entreprise / organisation avec un minimum de 50 employés connectés au système d'information).

Compte administrateur

La mauvaise utilisation des privilèges administrateur est un risque majeur pour les entreprises. La mauvaise gestion de ces comptes privilèges peut entraîner la mauvaise manipulation des données ou l'installation d'un matériel ou d'un logiciel non approuvé. Les incidents de sécurité résultant d'une mauvaise utilisation des privilèges sont difficiles à découvrir rapidement car un accès privilégié à des ressources de la part d’utilisateurs malveillants - internes ou externes - permet à l'attaquant de s’infiltrer dans le réseau de l’organisation sans être détecté. Ces comptes sont souvent les cibles privilégiées des attaquants. Utilisez des solutions de gestion des comptes utilisateurs (privileged access management ou PAM).


Pour aller plus loin: Protégez les mots de passe stockés dans le Système d'Information (dans un coffre fort avec un mot de passe robuste ou une authentification forte) et changez les éléments d'authentification par défaut sur les équipements et services car ils sont connus.