{"id":153620,"date":"2008-06-01T12:00:00","date_gmt":"2008-06-01T12:00:00","guid":{"rendered":"https:\/\/dievolkswirtschaft.ch\/2008\/06\/rieder-2\/"},"modified":"2023-08-24T01:11:36","modified_gmt":"2023-08-23T23:11:36","slug":"rieder-2","status":"publish","type":"post","link":"https:\/\/dievolkswirtschaft.ch\/fr\/2008\/06\/rieder-2\/","title":{"rendered":"Le programme en dix points pour la s\u00e9curit\u00e9 de l’information dans les PME"},"content":{"rendered":"

\"\"
\n
\nLes virus et les vers peuvent paralyser des syst\u00e8mes informatiques entiers; des personnes non autoris\u00e9es consultent des informations importantes et secr\u00e8tes concernant les affaires et les produits d’une entreprise, tandis que des donn\u00e9es irrempla\u00e7ables appartenant \u00e0 l’entreprise sont irr\u00e9m\u00e9diablement perdues par manque de sauvegarde: ce sont l\u00e0 des menaces qui co\u00fbtent du temps et de l’argent \u00e0 l’entreprise; cette derni\u00e8re peut m\u00eame risquer son existence. Aujourd’hui, les grandes entreprises ont compris l’importance strat\u00e9gique de leurs informations et investissent pour les prot\u00e9ger. Quant aux PME, piliers de l’\u00e9conomie suisse, toutes n’ont pas encore pris conscience de la n\u00e9cessit\u00e9 d’agir dans ce domaine. <\/p>\n

Des normes minimales simples \u00e0 mettre en place<\/h2>\n


\nL’association InfoSurance – une institution cr\u00e9\u00e9e en commun par l’\u00c9tat et l’\u00e9conomie – entend apporter sa contribution \u00e0 la s\u00e9curit\u00e9 informatique en collaboration avec des groupements et d’autres institutions et entreprises proches des PME. Un groupe de sp\u00e9cialistes gravitant autour d’InfoSurance a d\u00e9velopp\u00e9 une base en mati\u00e8re de protection informatique: le programme en dix\u00a0points destin\u00e9 aux PME (voir encadr\u00e9 1 1. Attribution des responsabilit\u00e9s 2. Sauvegarde des donn\u00e9es3. Protection contre les virus 4. S\u00fbret\u00e9 des connexions \u00e0 Internet 5. Mise \u00e0 jour des logiciels; correctifs 6. Mots de passe 7. Protection des appareils portables 8. Directives pour les utilisateurs 9. Protection physique de l’infrastructure informatique 10. Classement). Les r\u00e8gles qu’il contient, applicables dans toutes les entreprises, doivent \u00eatre consid\u00e9r\u00e9es comme des normes minimales. La direction de l’entreprise doit les v\u00e9rifier \u00e0 intervalles r\u00e9guliers dans le cadre de son devoir de diligence.\u00a0Les PME peuvent mettre ce programme en place en toute simplicit\u00e9 et ind\u00e9pendance. Lors de sa conception, on a tout sp\u00e9cialement tenu compte de leurs besoins et sp\u00e9cificit\u00e9s. Il est \u00e9vident que, pour prot\u00e9ger son syst\u00e8me informatique, une PME n’a pas autant de ressources financi\u00e8res et humaines qu’une grande banque, par exemple. Contrairement \u00e0 ce que l’on pense g\u00e9n\u00e9ralement, \u00e9tablir des normes \u00e9l\u00e9mentaires de s\u00e9curit\u00e9 n’engendre pas forc\u00e9ment des frais \u00e9lev\u00e9s. L’organisation et surtout la ferme volont\u00e9 de l’ensemble du personnel d’appliquer ces mesures sont tout aussi importantes que les dispositifs techniques. <\/p>\n

La s\u00e9curit\u00e9 informatique n’est pas une fin en soi<\/h2>\n


\nLa s\u00e9curit\u00e9 informatique n’est pas une fin en soi puisqu’elle sert \u00e0 prot\u00e9ger les investissements et \u00e0 assurer le succ\u00e8s de l’entreprise. Toutes les PME n’ont, du reste, pas les m\u00eames besoins. Certaines travaillent avec des donn\u00e9es confidentielles tr\u00e8s sensibles (comme les fiduciaires, les juristes, les m\u00e9decins), d’autres ont besoin d’une informatique omnipr\u00e9sente (les entreprises de production, les graphistes, les imprimeries par exemple). Il est int\u00e9ressant de constater qu’un grand nombre de PME estiment ne pas repr\u00e9senter un objectif rentable pour les pirates informatiques. C’est une erreur; en effet, les syst\u00e8mes non prot\u00e9g\u00e9s sont du pain b\u00e9nit, car ils sont manipul\u00e9s pour devenir les \u00e9l\u00e9ments d’un \u00e9norme \u00abessaim\u00bb de syst\u00e8mes qui, ensemble, lancent des attaques \u00e0 grande \u00e9chelle. Dans certains cas, des responsables d’entreprise ont d\u00fb rendre des comptes pour avoir viol\u00e9 leur devoir de diligence. <\/p>\n

Les dix points du programme<\/h2>\n

<\/p>\n

Responsabilit\u00e9<\/h3>\n


\nIl faut \u00e9tablir les responsabilit\u00e9s en mati\u00e8re de s\u00e9curit\u00e9 informatique. Qui est l’interlocuteur principal? Qui est charg\u00e9 de la sauvegarde des donn\u00e9es? La s\u00e9curit\u00e9 de l’information est l’affaire de tous. Chaque collaborateur doit apporter sa contribution, comme respecter la confidentialit\u00e9 face aux personnes externes. C’est la direction de l’entreprise qui assume la responsabilit\u00e9 ultime. Elle doit r\u00e9fl\u00e9chir \u00e0 cette probl\u00e9matique pour \u00eatre \u00e0 la hauteur de son devoir de diligence. Il n’est ni possible ni souhaitable qu’elle d\u00e9l\u00e8gue sa responsabilit\u00e9 au service informatique. <\/p>\n

Sauvegarde des donn\u00e9es<\/h3>\n


\nLa sauvegarde compl\u00e8te et r\u00e9guli\u00e8re des donn\u00e9es est la base de la s\u00e9curit\u00e9 informatique. Les donn\u00e9es importantes doivent \u00eatre sauvegard\u00e9es tous les jours. La sauvegarde se fait par g\u00e9n\u00e9ration (p. ex. la bande 1 le lundi, la bande 2 le mardi, etc.). Il est judicieux de faire des copies du travail de toute la semaine et de tout le mois. Il faut absolument contr\u00f4ler que les copies sont lisibles. Les supports de sauvegarde utilis\u00e9s doivent \u00eatre conserv\u00e9s en lieu s\u00fbr, de pr\u00e9f\u00e9rence \u00e0 l’ext\u00e9rieur de l’entreprise. <\/p>\n

Protection antivirus<\/h3>\n


\nLa protection contre les virus ou les maliciels est devenue la norme, heureusement. Il faut, toutefois, que les antivirus soient r\u00e9guli\u00e8rement actualis\u00e9s pour ne pas perdre leur effet protecteur et devenir inutiles. Il faut donc renouveler p\u00e9riodiquement les abonnements de mises \u00e0 jour et l’antivirus doit actualiser sa liste de signatures tous les jours. Il faut aussi v\u00e9rifier que l’antivirus est lanc\u00e9 et qu’il fonctionne. <\/p>\n

Pare-feu<\/h3>\n


\nOn sait qu’Internet a d’innombrables avantages, mais qu’il ouvre aussi la porte aux abus. Le pare-feu contr\u00f4le les connexions entre l’ordinateur et Internet et emp\u00eache les acc\u00e8s ill\u00e9gaux. Il est primordial de surveiller les \u00e9changes depuis Internet vers l’ordinateur mais aussi dans l’autre sens. Des maliciels comme les chevaux de Troie qui parviennent \u00e0 s’immiscer dans le syst\u00e8me essayent de transmettre des donn\u00e9es de l’entreprise vers l’ext\u00e9rieur. Pour contrer ces tentatives d’attaque, les pare-feu doivent \u00eatre mis \u00e0 jour et contr\u00f4l\u00e9s r\u00e9guli\u00e8rement. <\/p>\n

Actualisation des logiciels<\/h3>\n


\nLe monde des logiciels est complexe. Des erreurs peuvent s’infiltrer au cours de leur fabrication et \u00eatre utilis\u00e9es par des cyberpirates potentiels. Les fabricants proposent ce que l’on nomme des correctifs (\u00abpatches\u00bb) qui permettent d’\u00e9liminer les erreurs compromettant la s\u00e9curit\u00e9. Ceux-ci doivent \u00eatre install\u00e9s le plus rapidement possible pour supprimer les points faibles avant qu’ils ne soient exploit\u00e9s. Il y a quelques ann\u00e9es, il fallait des semaines, voire des mois, avant qu’une faille soit utilis\u00e9e; actuellement, il suffit de quelques jours, ce qui rend absolument n\u00e9cessaire l’installation imm\u00e9diate de correctifs. <\/p>\n

Mots de passe<\/h3>\n


\nEn utilisant les mots de passe de mani\u00e8re inad\u00e9quate, on ouvre la porte aux usurpations d’identit\u00e9. Les mots de passe sont encore consid\u00e9r\u00e9s par le personnel de l’entreprise comme un mal n\u00e9cessaire. On ferme la porte d’entr\u00e9e de son entreprise avec une cl\u00e9, mais on rechigne \u00e0 utiliser l’\u00e9conomiseur d’\u00e9cran avec un mot de passe. Ce dernier prot\u00e8ge l’identit\u00e9 num\u00e9rique et doit \u00eatre mani\u00e9 dans la plus stricte confidentialit\u00e9. Il faut aussi qu’il soit d’excellente qualit\u00e9: huit caract\u00e8res au minimum, des minuscules et des majuscules, des chiffres et des caract\u00e8res sp\u00e9ciaux, pas de noms de personnes ni de localit\u00e9s, etc. Si le mot de passe doit \u00eatre \u00e9crit, il faut le conserver en lieu s\u00fbr et pas sur un post-it coll\u00e9 \u00e0 l’\u00e9cran ou sous le clavier! <\/p>\n

Appareils portables<\/h3>\n


\nLes appareils portables modernes, comme les t\u00e9l\u00e9phones ou les assistants num\u00e9riques, sont des ordinateurs de petite taille qui poss\u00e8dent une \u00e9norme capacit\u00e9 de stockage, surtout s’il s’agit d’iPods, de lecteurs MP3, de cam\u00e9ras num\u00e9riques ou de cl\u00e9s m\u00e9moire. Ils peuvent copier facilement les donn\u00e9es d’archives enti\u00e8res en quelques minutes. Ces failles doivent \u00eatre \u00e9limin\u00e9es techniquement ou par le biais de directives. Dans tous les cas, il faut que les appareils portables soient suffisamment prot\u00e9g\u00e9s afin que des tiers non autoris\u00e9s ne puissent acc\u00e9der aux donn\u00e9es stock\u00e9es. <\/p>\n

Directives pour les utilisateurs<\/h3>\n


\nL’utilisation des appareils informatiques doit \u00eatre r\u00e9glement\u00e9e. Quelles sont les actions autoris\u00e9es ou interdites? Les directives destin\u00e9es aux utilisateurs d\u00e9finissent comment travailler sur les ordinateurs mis \u00e0 leur disposition. Peut-on installer ses propres programmes? Peut-on d\u00e9sactiver l’antivirus\u00a0pour que les applications soient plus rapides? Peut-on stocker des donn\u00e9es sur le disque dur local? Il faut que les r\u00e9ponses \u00e0 ces questions soient claires. Les directives ne doivent pas rester lettre morte, tout le personnel doit les appliquer. <\/p>\n

Acc\u00e8s \u00e0 l’infrastructure<\/h3>\n


\nL’acc\u00e8s \u00e0 l’entreprise doit \u00eatre r\u00e9glement\u00e9 dans les limites du possible. Les serveurs et les appareils en r\u00e9seaux doivent \u00eatre mis sous cl\u00e9 et les tiers ne doivent pas pouvoir y acc\u00e9der. Il faut aussi contr\u00f4ler l’acc\u00e8s aux bureaux ou \u00e0 la production. Toutes les mesures prises pour prot\u00e9ger l’informatique sont inutiles si son acc\u00e8s b\u00e9n\u00e9ficie d’un manque de surveillance des bureaux. <\/p>\n

Classement<\/h3>\n


\nLes documents doivent \u00eatre class\u00e9s dans l’ordinateur de mani\u00e8re logique. Un archivage compr\u00e9hensible et fonctionnel fait gagner du temps puisqu’il \u00e9vite les recherches inutiles. Il est important que le syst\u00e8me soit uniforme au moins au niveau des services internes. Il faut toujours ranger un poste de travail qui traite des donn\u00e9es confidentielles avant de le quitter; la place doit \u00eatre nette et les donn\u00e9es supprim\u00e9es de mani\u00e8re s\u00fbre. Il faut d\u00e9truire le papier dans le d\u00e9chiqueteur de documents. Le contenu des ordinateurs usag\u00e9s doit \u00eatre effac\u00e9 au moyen d’un logiciel sp\u00e9cial destin\u00e9 \u00e0 la suppression des donn\u00e9es; dans le cas contraire, les supports doivent \u00eatre d\u00e9truits d\u00e9finitivement.
\n
\nEncadr\u00e9 1: Le programme en dix points 1. Attribution des responsabilit\u00e9s 2. Sauvegarde des donn\u00e9es 3. Protection contre les virus 4. S\u00fbret\u00e9 des connexions \u00e0 Internet 5. Mise \u00e0 jour des logiciels; correctifs 6. Mots de passe7. Protection des appareils portables 8. Directives pour les utilisateurs 9. Protection physique de l’infrastructure informatique 10. Classement
\n
\nEncadr\u00e9 2: L’association InfoSurance L’association InfoSurance est une institution cr\u00e9\u00e9e en commun par l’\u00e9conomie et l’\u00c9tat; elle vise \u00e0 promouvoir la s\u00fbret\u00e9 de l’information et de la communication en Suisse, en mettant l’accent sur les PME et les utilisateurs priv\u00e9s. Elle veut cr\u00e9er des conditions id\u00e9ales d’organisation et d’infrastructure afin de lutter efficacement contre les risques li\u00e9s \u00e0 la d\u00e9pendance croissante envers les technologies de l’information. Pour de plus amples informations, veuillez consulter le site www.infosurance.ch<\/a> .
\n
\nEncadr\u00e9 3: Brochure et manuel sur la s\u00e9curit\u00e9 informatique destin\u00e9s aux PME Le programme en dix points peut \u00eatre t\u00e9l\u00e9charg\u00e9 \u00e0 partir du site Internet d’InfoSurance: www.infosurance.ch<\/a> . Pour commander la version imprim\u00e9e de la brochure ou pour toutes questions relatives \u00e0 la s\u00e9curit\u00e9 informatique des PME, veuillez vous adresser \u00e0: info@infosurance.ch. Pour toute autre information, nous vous recommandons le IT-Sicherheitshandbuch f\u00fcr die Praxis (seulement en allemand). Ce manuel donne des explications de base illustr\u00e9es de nombreux exemples tir\u00e9s de la pratique. Les listes de contr\u00f4le et les annexes facilitent l’application. Il peut \u00eatre command\u00e9 sur le site: www.sihb.ch<\/a> .<\/p>","protected":false},"excerpt":{"rendered":"

Les virus et les vers peuvent paralyser des syst\u00e8mes informatiques entiers; des personnes non autoris\u00e9es consultent des informations importantes et secr\u00e8tes concernant les affaires et les produits d’une entreprise, tandis que des donn\u00e9es irrempla\u00e7ables appartenant \u00e0 l’entreprise sont irr\u00e9m\u00e9diablement perdues par manque de sauvegarde: ce sont l\u00e0 des menaces qui co\u00fbtent du temps […]<\/p>","protected":false},"author":3167,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"om_disable_all_campaigns":false,"ep_exclude_from_search":false,"footnotes":""},"post__type":[83],"post_opinion":[],"post_serie":[],"post_content_category":[105],"post_content_subject":[],"acf":{"seco_author":3167,"seco_co_author":null,"author_override":"","seco_author_post_ocupation_year":"","seco_author_post_occupation_de":"Dipl. El.-Ing. FH, Leiter Informationssicherheit Hochschule Luzern - Wirtschaft, Inhaber isec ag Luzern, Pr\u00e4sident Verein InfoSurance","seco_author_post_occupation_fr":"Responsable de la s\u00e9curit\u00e9 de l'information \u00e0 la Haute \u00e9cole de Lucerne - \u00c9conomie, propri\u00e9taire de isec ag Lucerne, pr\u00e9sident de l'association InfoSurance","seco_co_authors_post_ocupation":null,"short_title":"","post_lead":"La s\u00e9curit\u00e9 de l'information des petites et moyennes entreprises (PME) est un th\u00e8me qui acquiert de plus en plus d'importance; en effet, l'automatisation et la mise en r\u00e9seau des processus commerciaux sont en constante augmentation. L'association InfoSurance montre comment disposer d'une protection de base efficace en informatique, sans grands frais ni perte de temps, gr\u00e2ce \u00e0 son programme en dix points, simple et facile \u00e0 mettre en place. Ce programme permet aux PME de prendre les mesures qui s'imposent pour am\u00e9liorer la s\u00e9curit\u00e9 de leur information et de les appliquer elles-m\u00eames ou en collaboration avec leur service d'assistance informatique.","post_hero_image_description":"","post_hero_image_description_copyright_de":"","post_hero_image_description_copyright_fr":"","post_references_literature":"","post_kasten":null,"post_notes_for_print":"","first_teaser_header_de":"","first_teaser_header_fr":"","first_teaser_text_de":"","first_teaser_text_fr":"","second_teaser_header_de":"","second_teaser_header_fr":"","second_teaser_text_de":"","second_teaser_text_fr":"","kseason_de":"","kseason_fr":"","post_in_pdf":153623,"main_focus":null,"serie_email":null,"frontpage_slider_bild":"","artikel_bild-slider":null,"legacy_id":"8816","post_abstract":"","magazine_issue":null,"seco_author_reccomended_post":null,"redaktoren":null,"korrektor":null,"planned_publication_date":null,"original_files":null,"external_release_for_author":"19700101","external_release_for_author_time":"00:00:00","link_for_external_authors":"https:\/\/dievolkswirtschaft.ch\/exedit\/55b5fc0169ea1"},"_links":{"self":[{"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/posts\/153620"}],"collection":[{"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/users\/3167"}],"replies":[{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/comments?post=153620"}],"version-history":[{"count":1,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/posts\/153620\/revisions"}],"predecessor-version":[{"id":189892,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/posts\/153620\/revisions\/189892"}],"acf:user":[{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/users\/3167"}],"wp:attachment":[{"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/media?parent=153620"}],"wp:term":[{"taxonomy":"post__type","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/post__type?post=153620"},{"taxonomy":"post_opinion","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/post_opinion?post=153620"},{"taxonomy":"post_serie","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/post_serie?post=153620"},{"taxonomy":"post_content_category","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/post_content_category?post=153620"},{"taxonomy":"post_content_subject","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/fr\/wp-json\/wp\/v2\/post_content_subject?post=153620"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}