Discussion :

[paco503]

Bonjour
je travail dans une petite entreprise est on ma donnée comme mission d'implémenter la sécurité (excepté réseau) au sein de l'entreprise.
-empêcher les utilisateurs de faire sortir les documents hors du lieu de travail.
-mettre en place un serveur de fichier ou tous les documents de l'entreprise seront sauvegardé, avec des droits d’accès limité pour certains.
-avoir un historique des personnes qui accèdent à ces fichiers.
-mettre des restrictions au niveau de l'utilisation des clé usb.

voila en gros ce je souhaite faire.
est ce que quelqu'un peut m'aider
Merci

[gangsoleil]

-empêcher les utilisateurs de faire sortir les documents hors du lieu de travail.

Impossible à faire.
Pistes : si un ordinateur a accès au net, il a accès à un webmail, ou à des sites sur lesquels on peut poster des images/contenus, donc hop, c'est foutu. Donc il faut que les ordinateurs n'aient pas accès à l'internet.
Si tu peux brancher un périphérique sur une machine, hop, tu peux mettre une cle USB ou un graveur de disque.
D'ailleurs, beaucoup d'ordinateurs sont vendus avec des graveurs de DVD.
Il faut bien sur interdire tout appareil photo / smartphone dans les batiments, car on peut prendre en photo l'ecran des ordinateurs.
...
Bref, tu vas tellement renstreindre les droits des utilisateurs qu'ils vont partir.

-mettre en place un serveur de fichier ou tous les documents de l'entreprise seront sauvegardé, avec des droits d’accès limité pour certains.

Bonne idée. N'importe quel serveur de fichiers un peu sérieux fera l'affaire.

-avoir un historique des personnes qui accèdent à ces fichiers.

Idem que précédemment.

-mettre des restrictions au niveau de l'utilisation des clé usb.

Possible, mais plus complexe. Là encore, tu auras des tuto sur le net, mais n'oublie pas que toutes les clés ne sont pas reconnues de la même manière. Et n'oublie pas d'interdire les disques-durs, ainsi que les lecteurs de carte.
D'ailleurs, j'espère que vous n'avez pas de portables avec des lecteurs de carte intégrés ?

[Emily Prevost]

Bonjour,

Je suis tout à fait d'accord avec les propositions de gangsoleil, sinon pour "empêcher les utilisateurs de faire sortir les documents hors du lieu de travail" et la restriction de l'utilisation des clés USB, ou utiliser les smartphone ou d'autre pour des fins spécifiques (genre prendre en photo l'écran...) il faut surtout opter pour une formation du personnel de l'entreprise pour les sensibiliser en terme de confidentialité des données au sein de l'organisme, et réaliser des guide utilisateur de sécurité pour que non seulement le RSSI qui sera concerné par la sécurité mais également le personnel.

Optez également pour la notion de "l'écran vide" pour ne laisser aucune trace même dans l'écran des ordinateurs.

[kn_mars]

Bonjour,

Reponse tardive mais bon… je pense que vous partez dans la mauvaise direction. Vous vous focalisez trop sur des points techniques secondaires selon moi (et compte tenu des informations fournies).

Rôle du RSSI
Un RSSI n’a pas vocation à bloquer/interdire. Il doit :
- Identifier et quantifier les risques SI (occurrences, impacts ) et les solutions pour les réduire;
- S’assurer que les risques sont compris par le management;
- Proposer des solutions pour réduire les risques à un niveau que le management considère comme acceptable. C’est le management qui assume les risques, et qui peut donc choisir de ne rien faire.
Il est très important que le RSSI accompagne ses collaborateurs en les sensibilisant et en adoptant une démarche pédagogique.
Exemple: si vous bloquez l’accès à des ressources à des utilisateurs présents depuis des années dans l’entreprise et leur expliquant qu’il y a un risque de vol d’information, ils vont probablement mal le prendre. Par contre, leur expliquer qu’en cas d’intrusion, ou de virus, l’impact sera réduit pour l’entreprise. Cela passera mieux.

Par ailleurs, La sécurité d'un SI n'est pas que technique. La sécurisation passe par des processus adaptés, des contrats (charte SI pour les utilisateurs et les admin, clause spécifique pour la maintenance, etc.), l'organisation etc.

Par où commencer
Il faut être sûr de connaitre les priorités de son entreprise. Qu’est ce qui est le plus important pour votre entreprise : la confidentialité, l’intégrité, la disponibilité, la preuve? Quels sont les processus métiers , les informations critiques?
Faire une analyse de risques serait l’idéal (EBIOS, ISO 27005, MEHARI…).

Exemple de plan d’actions
Etape 1: inventaire (il faut connaitre son périmètre pour le sécuriser)

Action	Priorité
Inventaire des pc et serveurs (date de mise en production, OS, propriétaire/utilisateur, applications installées pour les serveurs, etc.)	Haute
Inventaire des points d’accès internet (box, wifi, etc.)	Haute
Inventaire des sites/services externalisés	Haute
Inventaire des logiciels/middlewares utilisés (Java, MS office, Firefox etc.)	Moyenne
etc.

Etape 2: sécurité minimum (cf. guide de l’ANSSI pour compléter)

Action	Priorité
Formaliser les politiques	Haute
S’assurer que les postes de travail et serveurs ont un antivirus à jour	Haute
Mettre en place une politique de mise à jour des logiciels (MAJ auto possible pour les postes de travail mais pour les serveurs ça peut être plus compliqué)	Haute
Sauvegarde des données sensibles (messagerie, documents locaux utilisateurs etc.)	Haute
Faire la déclaration CNIL si nécessaire	Haute
Sensibiliser les utilisateurs aux risques SI	Haute
Renforcer la gestion des mots de passe (taille complexité, durée avant renouvellement, etc.)	Moyenne
Supprimer l’utilisation des comptes génériques (tous les utilisateurs doivent avoir un compte nominatif quelque soit le service auquel ils accèdent)	Moyenne
Définir avec les RH une charte utilisateur du SI et une charte administrateur du SI	Moyenne
Définir des droits d’accès sur les partages réseaux (attention cela ne protège pas les documents des admininistrateurs)	Moyenne
Vérifier que les journaux sont bien actifs et qu’ils sont dimensionnés correctement sur les serveurs (au moins 15j de journalisation)	Moyenne
S’assurer que le proxy bloque bien les catégories de sites web dangereux/non autorisés	Moyenne

Etape 3: pour aller plus loin (l'analyse de risques fournira le plan d'actions)

Action	Priorité
Formaliser une PSSI + quelques politiques de sécurité	Haute
Définir un reporting adapté (pilotage projet, niveau de sécurité du SI, incidents SSI...)	Moyenne
Intégrer la sécurité dans la gestion de projet - analyse de risques - ouverture de flux dans le firewall -acceptation des risques par le management avant GO Live - etc.	Moyenne
Renforcer la gestion des habilitations - Les utilisateurs ne devraient pas être administrateur de leur poste - Les comptes pour administrer les postes de travail et serveurs ne doivent pas être utilisés pour l’utilisation courante (surf internet, bureautique,…). Ex: * compte utilisateur: prenom.nom * compte admin: admin_ prenom.nom - Avoir un annuaire de compte centralisé (LDAP) - Créer des rôles et profiles - Définir les processus (création, suppression, revue des comptes techniques mais aussi applicatifs…)	?
Gérer et analyser les journaux d'événements - Centralisation des journaux d'événement/ durée de rétention etc. - Emission d’alertes suivant certaines règles (règles firewall pour bloquer les accès sortant vers Tor) - Mettre en place un SIEM si nécessaire - Etc.	?
Protéger les documents très sensibles Mis en place d’un coffre fort numérique	?
Renforcer les socles systèmes: - Créer un master durci pour chaque OS utilisé, adapté au besoin de l'entreprise… - Définir un configuration durcie et la procédure d'installation des principaux logiciels utilisés (Apache, IIS, Oracle etc.)	?
etc.

Bon courage.