De bonnes pratiques pour assurer
la sécurité de votre intranet

Comment pouvez-vous atténuer les risques et améliorer la sécurité de votre intranet ? Près de 70 % des atteintes à la protection des données résultent d’erreurs commises par des employés. Qu’est-ce qu’un intranet et quelles menaces potentielles pose-t-il ?

Démo gratuiteParlez à un expert
En-tête 2 Lien
En-tête 2 Lien

L’intranet est un réseau informatique interne, qui est configuré au sein d’une organisation. Bien qu’il offre un espace interactifles employés peuvent communiquer et contribuer à la culture d’entreprise, il n’est malheureusement pas sans risques. Il existe des menaces (internes et externes) à la sécurité de ces réseaux.

Comment pouvez-vous vous en protéger ? Quelles sont les meilleures pratiques à mettre en place pour assurer la sécurité de votre intranet ? Voici quelques réponses.

Qu’est-ce qu’un intranet et quels sont les dangers ?

Rappelons-nous plus précisément ce qu’est un intranet . Il s’agit d’un réseau informatique privé utilisé par les employés d’une entreprise (ou de toute autre entité équivalente) et qui utilise les mêmes protocoles d’échange que sur Internet. Dans de nombreuses entreprises, l’intranet se fait sous la forme d’un site Web. Il permet aux employés d’échanger des documents et des informations dans un environnement sécurisé, l’accès étant limité à un groupe défini. En facilitant la vie professionnelle quotidienne, il représente ainsi l’infrastructure de base de la communication interne d’une organisation.

En raison des données personnelles et confidentielles qu’il contient, l’intranet nécessite une vigilance particulière en termes de sécurité. D’autant plus que près de 70% des violations de données peuvent être attribuées à des erreurs commises par les employés, même en l’absence d’intention malveillante. Ainsi, les trois principaux risques de sécurité proviennent de :

  • négligence interne ;
  • l’accès non autorisé par les utilisateurs ;
  • et l’exposition accidentelle au réseau.

Souvent, les mots de passe trop simples sont la source de cyberattaques et de piratage de données. Et si le serveur est accessible via une connexion VPN à partir d’un ordinateur privé (un risque accru par l’utilisation généralisée du télétravail), il y a aussi un risque que l’intranet soit ciblé par des logiciels malveillants. Il faut donc faire preuve de vigilance.

Sur le plan juridique, la loi de 1978 sur la protection des données exige que les organisations mettant en œuvre des fichiers garantissent la sécurité des données qui y sont traitées. Ces organisations sont donc tenues de mettre en place, notamment par l’intermédiaire de leur service informatique, un certain nombre de mesures de sécurité, telles que l’adoption d’une politique rigoureuse en matière de mots de passe, la sécurisation des postes de travail et du réseau local, et la restriction de l’accès aux locaux où se trouvent les serveurs informatiques.

Mais d’autres mesures peuvent être mises en place pour sécuriser l’intranet.  

Prévenir les risques grâce au choix des outils

Un premier niveau de protection doit être assuré par la sécurisation de l’intranet. L’installation d’un pare-feu est généralement privilégiée : il s’agit d’un outil qui permet de protéger le réseau de l’entreprise contre les accès externes non reconnus. D’autres technologies peuvent également être utilisées, telles que les serveurs proxy. Ce sont des composants matériels informatiques qui agissent en tant qu’intermédiaires dans l’échange entre deux hôtes. Il peut s’agir d’un ordinateur, par exemple : dans ce cas, seul le serveur proxy a accès à Internet. Si les utilisateurs d’autres ordinateurs souhaitent accéder à Internet à partir du réseau, ils ne peuvent le faire que via une connexion sécurisée au serveur proxy.

Avec un Microsoft 365 Digital Workplace, vous disposez d’un environnement entièrement sécurisé. Pour assurer une protection contre les intrusions malveillantes, vous pouvez utiliser des extensions Microsoft 365 100% sécurisées comme Mozzaik365, qui n’hébergent aucune donnée client.

Prévenir les risques en supervisant, en surveillant et en contrôlant l’utilisation des outils fournis

Une protection fiable contre les virus et autres cyberattaques nécessite une surveillance, une mise à jour et une supervision constantes des outils mis à la disposition des employés. À cet égard, le courrier électronique doit être particulièrement vigilant, car c’est un endroit où des centaines d’éléments de données passent chaque jour. En outre, la diffusion d’une culture du risque parmi les employés, associée à un mécanisme de surveillance conçu pour détecter les signes avant-coureurs du piratage, doit être au premier plan des missions du service informatique.

L’un des principaux risques à prévenir est l’ombre I, où les employés utilisent des outils et des technologies non fournis (et donc non réglementés) par l’entreprise. Cette pratique expose l’entreprise à de nombreuses failles de sécurité en permettant à des outils inconnus d’accéder à des données confidentielles. La lutte contre l’informatique de l’ombre doit être menée de diverses manières, en particulier en sensibilisant les employés aux problèmes de sécurité et en supervisant l’utilisation de l’informatique. Ainsi, l’entreprise doit indiquer clairement qu’aucun employé ne doit utiliser un outil ou une application sans avoir demandé la permission du service informatique.

Enfin, la limitation de l’accès aux données sensibles devrait être une priorité pour le service informatique. Il est probable que la majorité des employés n’ont pas besoin d’accéder à l’ensemble du système de données de l’entreprise dans le cadre de leur travail quotidien. Restreindre les données sensibles à ceux qui en ont besoin réduit donc le risque qu’un tiers accède aux données et les exploite.

Transformez votre intranet en un environnement de travail numérique

Guide gratuit

Former les employés aux bonnes pratiques

Comme nous l’avons vu ci-dessus, le principal risque en matière de sécurité informatique est l’erreur humaine. C’est pourquoi les utilisateurs doivent être formés aux bonnes pratiques. Plus important encore, ils doivent être sensibilisés aux risques associés à l’utilisation d’outils informatiques et à l’utilisation de logiciels, d’outils et d’applications non réglementés (Shadow IT). Pour ce faire, vous pouvez implémenter une stratégie de sécurité des systèmes d’information (ISSP). Il s’agit du document qui régit la stratégie de sécurité informatique de votre entreprise. À l’intérieur, il y a les règles de sécurité et le plan d’action. Quel est l’objectif ? Maintenir un niveau élevé de sécurité de l’information. Toute la documentation est officialisée par le gestionnaire de la sécurité des systèmes d’information (ISSM). Vous pouvez trouver des guides de certification pour vous aider dans votre approche.

Cette sensibilisation peut prendre diverses formes : envoi de courriels ou de fiches d’information pratiques, affichage collectif, formation en face à face, etc. Il peut également être formalisé dans un document tel que la « Charte informatique ». Ce document précisera les règles à respecter en matière de sécurité informatique et doit être accompagné d’un engagement de responsabilité à signer par chaque utilisateur. Ce document doit être accessible à tous les employés.

Pratiques de sécurité pour l’intranet

Mettre en œuvre une stratégie de crise pour répondre immédiatement aux problèmes

Le mot « crise » vient du mot grec « Krisis », qui signifie le moment où une condition atteint son point critique. Aujourd’hui, le mot est utilisé pour décrire une période difficile pour un individu ou un groupe, comme cela peut être le cas lors d’une cyberattaque. Selon l’Autorité nationale française pour la sécurité des systèmes d’information (ANSSI), le nombre de cyberattaques a quadruplé d’ici 2020. Et ces événements ont un coût considérable : Hiscox estime leur coût moyen à 5 200 €. En effet, une cyberattaque génère diverses dépenses directes et indirectes. Les coûts directs comprennent la conformité réglementaire, les relations publiques, l’amélioration des systèmes existants, etc. L’interruption des activités et la perte de confiance sont des coûts indirects qui peuvent avoir une incidence sur les résultats de l’entreprise.

L’anticipation de ces périodes de crise est essentielle pour une réponse optimale. Il n’est pas question de réagir tout à fait spontanément dans ce domaine, au risque de faire de graves erreurs.

Ainsi, la gestion de crise est toujours préparée avant l’événement déclencheur. La direction de l’entreprise doit, en étroite collaboration avec les équipes informatiques, planifier les différents scénarios de crise et les réponses à apporter. Ces équipes doivent être préparées et formées à la gestion de crise, en fonction des risques jugés les plus probables. De telles simulations leur permettent d’apprendre les techniques et les procédures, mais aussi de corriger les défauts dans les réponses aux problèmes de sécurité.

Enfin, lorsqu’une crise survient, il est important de la reconnaître pour ce qu’elle est : un événement soudain qui perturbe le fonctionnement normal de l’entreprise.

Conclusion

Bien que les intranets présentent de nombreux avantages, notamment en termes de gestion de la communication interne et de cohésion d’équipe, ils sont néanmoins vulnérables aux cyberattaques. Cependant, les risques inhérents à ceux-ci ne sont pas inévitables : en mettant en place certaines bonnes pratiques, telles que le choix des bons outils, la supervision de l’utilisation de l’ordinateur et la sensibilisation des employés aux problèmes de sécurité, il est possible de s’en protéger efficacement.

Choses à retenir



📌 Anticiper les risques avec les bons outils ;

📌 Utilisez la supervision pour limiter l’informatique fantôme ;

📌 Éduquez vos employés.

📌 Planifier une stratégie de crise


FAQ

-

Meilleures pratiques pour la sécurité de votre intranet