Comment sécuriser votre infrastructure informatique existante ?

Lorsqu’un système d’information est déjà en place et que l’on doit effectuer des transformations afin de faire évoluer l’existant vers une architecture plus plus sécurisée, il faut prendre en compte plusieurs critères majeurs des données ou applications impactées dont les plus importantes sont :

  • leur criticité
  • leur disponibilité
  • leur sécurité
  • leur protection
  1. Identifier les niveaux de criticité

Il faut tout d’abord évaluer la criticité de l’information ou des applications : est-ce de la production ? de la pré-production ? un environnement de test ? ou bien encore est-ce utile ? Lorsque vous aurez évalué ces critères, vous pourrez les trier dans les différentes catégories et décider de l’action que vous souhaitez mener pour chacune d’elles.

Ensuite faites le lien entre ces données ou ces applications avec l’infrastructure physique le contenant (serveurs, baies de stockage, médias de sauvegarde…). La plus haute criticité de données contenue dans cette infrastructure doit être identifiée comme étant la même au niveau physique.

  1. Identifier les niveaux de disponibilité

Lorsque ces dernières sont identifiées, il faut attribuer à chacune de ces niveaux de criticité un niveau de disponibilité. Pour définir ces niveaux, il faut se reposer sur les différents critères suivants :

  • Disponibilité logique (ex : applicative, virtuelle)
  • Disponibilité physique (ex : disques durs, serveurs physiques)
  • Disponibilité au sein d’un site (ex : différentes salles sur un site)
  • Disponibilité au sein d’une zone (ex : zone géographique regroupant différents sites)
  • Disponibilité au sein d’une région (ex : région géographique regroupant différentes zones)
  • Disponibilité inter-régions (ex : entre les différentes régions)

Pour chaque niveau de disponibilité, il faut identifier si cela est nécessaire et mettre en place un dispositif de redondance correspondant à l’entité qu’il faut protéger.

  1. Mettre en place un standard de sécurité

Il faut mettre en place des règles de sécurité, avec une baseline bien prédéfinie pour chaque rubrique de sécurité informatique, dont la sécurité :

  • des accès physiques (serveurs, postes de travail, équipements réseaux, armoire informatique…)
  • des accès aux données (fichiers, partages, répertoires, flux de données sur le réseau, accès disques…)
  • de la portabilité des données (disques durs externes, clés USB, smartphones, pc portables…)
  • de l’accès aux applications cloud / web (messagerie, plateformes de collaboration…)

Ceci est une liste non exhaustive, il faut identifier les différentes catégories d’éléments à sécuriser, et surtout penser à documenter les règles de sécurité à implémenter.

L’implémentation de ces règles est une chose mais le plus dur est d’en garder le contrôle, via des audits internes ou externes, la formation régulière des utilisateurs et des administrateurs.

Pour plus d’informations concernant les bonnes pratiques en matières de sécurité du système d’information, je vous invite à parcourir le site de l’ANSSI qui publie régulièrement des rapports et des recommandations ouverts au public : https://www.ssi.gouv.fr/administration/bonnes-pratiques/

En plus de ces règles de sécurité et de ces bonnes pratiques, la proactivité est tout aussi importante, il faut rester aux aguets, corriger et se protéger des éventuels failles de sécurité. Enfin ne pas oublier de régulièrement faire des audits de sécurité afin de limiter le plus possible les risques auxquels vos données seraient exposés. Vous avez des outils d’audit comme Nessus qui permet de faire un scan complet de votre environnement en détectant des failles de sécurités connues.

  1. Mettre en place une politique de protection des données

Il vient ensuite à prévoir une solution de protection pour tout type de données, de périphériques ou d’applications. A savoir les trois piliers suivant :

  • règles de sauvegarde et de restauration des données
  • règles de réplication des données
  • règles d’archivage des données

Il faut bien sûr penser à faire en sorte que la disponibilité de ces données protégées soient accessibles en tout cas de sinistre, et donc les plus critiques doivent être répliquées sur des sites voire des régions différentes.

  1. Conclusion

Nous avons fait un tour rapide des différents éléments à aborder pour la sécurisation de votre infrastructure informatique. Ce sont des principes assez simple, le plus important est la rigueur dans l’application de ces étapes, afin de réduire au maximum les risques de perte de confidentialité ou de données. Nous allons aborder d’autres articles sur les solutions disponibles afin de rentrer plus en détail sur ces sujets.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

9 + 1 =