Date:
8 May 2024
Auteur:
PREO AG
Sur site vs. cloud
Comment une mise en œuvre cohérente augmente considérablement le niveau de sécurité
Ransomware, logiciels malveillants, attaques DDoS et autres : les principaux risques de cybersécurité actuels deviennent de plus en plus une menace économique existentielle pour les entreprises en raison des dangers potentiels qu'ils représentent. Cela a été confirmé l'année dernière par le dernier rapport sur les cybermenaces de l'ENISA, l'agence de l'Union européenne pour la cybersécurité.
L'expansion des services et des infrastructures cloud, stimulée par les développements numériques actuels et l'utilisation souvent trop imprudente de produits logiciels basés sur le cloud, ouvre aux cybercriminels de nouveaux points d'entrée dans les réseaux d'entreprise et crée des exigences de plus en plus complexes en matière de sécurité des technologies de l'information et des données. Notre expérience montre que, malgré toute la complexité, des mesures de sécurité simples et éprouvées sont parfois négligées. Le respect systématique de ces règles dans la vie professionnelle quotidienne permet d'accroître considérablement la cyber-résilience.
C'est pourquoi, dans cet article de blog, nous avons résumé huit mesures largement éprouvées qui sont relativement faciles à mettre en œuvre dans une entreprise. À cette fin, nous donnons des exemples montrant pourquoi les entreprises et les administrations publiques ayant des exigences élevées en matière de sécurité, de souveraineté des données et de disponibilité, ainsi que des directives strictes en matière de conformité, en particulier, s'appuient sur l'utilisation de licences de logiciels PREO d'occasion dans le cadre de leurs activités locales.
Renforcer la sécurité des technologies de l'information et des données : huit mesures éprouvées pour les entreprises
1. Mises à jour et correctifs réguliers
Ce qui ressort de la routine présente souvent des lacunes dans la pratique quotidienne. Ceci est principalement dû au fait qu'un ou plusieurs jours peuvent rapidement s'écouler entre l'information qu'une mise à jour du système ou du logiciel est disponible et son installation. Une administration centralisée, un système automatisé d'alerte précoce et des processus clairement définis permettent d'installer les mises à jour et les correctifs disponibles immédiatement afin de combler les failles de sécurité le plus rapidement possible.
2. Technologies de base pour la sécurisation des terminaux et des réseaux
La sécurisation des réseaux d'entreprise avec des technologies de base reste essentielle, en prévoyant notamment une sécurité complète des appareils finaux avec un logiciel antivirus à jour, un pare-feu périmétrique pour les serveurs accessibles au public ou un pare-feu d'application web pour les applications externes et pour les portails de connexion ou d'administration, une protection de pointe contre les logiciels malveillants, y compris contre l'hameçonnage, et une connexion VPN sécurisée pour tous les processus de travail à distance.
3. Exiger des mots de passe stricts
Toutes les entreprises devraient avoir des directives claires sur les mots de passe forts, qui devraient contenir une combinaison définie de lettres, de chiffres et de caractères spéciaux. Il peut également être utile d'utiliser un gestionnaire de mots de passe ou une authentification multifactorielle (MFA) comme couches de sécurité supplémentaires. Cette dernière option est notamment recommandée pour l'utilisation d'applications logicielles externes basées sur le cloud, afin que les comptes des utilisateurs ne soient pas compromis.
4. Formation régulière des employés en matière de sécurité
La connaissance et son application pratique dans les situations de tous les jours sont la clé pour éviter les attaques de phishing et autres tentatives de fraude. La formation régulière des cadres et des employés permet de sensibiliser l'entreprise à la cybersécurité. Pour les sujets particulièrement importants pour la sécurité, il peut être utile de faire des exercices test d’attaques afin d'intégrer les résultats dans les cours de formation et de préparer les employés à des scénarios de menace spécifiques.
5. Attribution restrictive des autorisations d'accès et des privilèges accordés aux rôles de sécurité
Tous les employés de l'entreprise n'ont pas besoin de tous les droits d'accès. L'attribution modérée de droits et de privilèges à des individus, à des groupes ou à des unités organisationnelles, ainsi qu'à des rôles d'administrateur, est une mesure efficace pour prévenir l'utilisation abusive ou imprudente des applications et des ressources.
6. Sécurité des données grâce à des cycles de sauvegarde stricts
Des sauvegardes régulières et synchronisées de toutes les données importantes de l'entreprise et leur conservation, de préférence dans un lieu hors site séparé du réseau existant, garantissent la restauration rapide des données et leur disponibilité en cas d'attaque. Un plan de reprise doit être élaboré avec des processus et des responsabilités clairement définis pour la préparation aux situations d'urgence.
7. Élaboration d'un plan de réponse aux incidents
L'élaboration et la mise en œuvre d'un plan d'intervention en cas d'incident constituent une autre mesure importante. Il contient des instructions claires sur la manière de procéder en cas d'incident de sécurité. Le plan doit définir les rôles et les responsabilités, énoncer les mesures à prendre pour contenir l'incident et inclure des lignes directrices en matière de communication interne et externe afin de garantir que toutes les parties concernées collaborent efficacement pour limiter l'impact et rétablir l'état d'origine.
8. Évaluation et gestion des risques
Il devient de plus en plus important d'évaluer régulièrement les menaces potentielles et les éventuelles failles de sécurité dans l'infrastructure informatique. Sur la base des résultats de l'évaluation, il est conseillé d'élaborer une stratégie de gestion des risques. Cela permet de fixer des priorités pour la minimisation des risques en abordant les scénarios d'attaque les plus probables et les plus préjudiciables et, si nécessaire, en les soumettant à des exercices test réels. En outre, cela peut également inclure l'examen des fournisseurs externes et de leurs pratiques de sécurité afin de s'assurer que les partenaires externes respectent les normes de sécurité de l'entreprise ou, du moins, qu'ils n’y contreviennent pas involontairement.
Sécurité des données d'entreprise : minimiser les risques liés au cloud computing
Plus les entreprises transfèrent leurs processus de travail vers le cloud, plus les cybercriminels tenteront d'exploiter les vulnérabilités potentielles du cloud computing. Ce n'est pas pour rien que les principaux acteurs mondiaux investissent actuellement des milliards dans leurs infrastructures cloud afin de garantir la meilleure sécurité des données et une disponibilité maximale de leurs services cloud. Toutefois, outre les risques externes tels que le verrouillage excessif des fournisseurs, qui peut être problématique non seulement en termes de sécurité mais aussi sur le plan financier, le cloud computing implique également d’identifier et de minimiser les risques de sécurité internes tels que la prolifération des clouds ou les clouds fantômes.
Dans ce contexte, de nombreux responsables informatiques hésitent encore à passer complètement au cloud, s'appuyant principalement sur des modèles de cloud hybride qui continuent à utiliser des logiciels sur site dans certains domaines voire de manière principale. Il y a également un nombre croissant de cas où les entreprises abandonnent le cloud après quelques années pour des raisons de sécurité, de souveraineté et de disponibilité des données, ou pour des considérations financières. À la place, ils s'appuient sur des logiciels sur site éprouvés et efficaces et tirent parti de licences logicielles d'occasion, comme le confirme de manière impressionnante l'exemple ci-dessous d'une entreprise allemande de taille moyenne.
Augmentation de la sécurité et diminution des coûts : Swedex s'appuie sur un logiciel d’occasion PREO
L’entreprise de taille moyenne Swedex basée à Essen, l'un des principaux fournisseurs européens dans le domaine de l’envoi de documents avec environ 300 employés, a tristement constaté qu'une solution cloud totale ne représente pas seulement un défi en termes de sécurité, mais peut également entraîner de nombreux coûts qui sont parfois difficiles à calculer.
Conséquence : cette entreprise de taille moyenne ne pouvait plus tolérer l'augmentation constante des coûts et sa dépendance à l'égard d'un grand fournisseur de services cloud et a opté pour une solution indépendante et nettement moins chère.
Résultat : après trois ans de cloud computing avec Microsoft, les responsables sont revenus à un fonctionnement sur site. L'intégration des licences de logiciels d'occasion PREO a ainsi permis de réaliser des économies considérables, de l'ordre de 100 000 euros, sur les coûts de licence courants. Pour plus d'informations sur ce cas et d'autres cas clients, cliquez ici.
Avec PREO, vous pouvez compter sur un fournisseur B2B expérimenté et réputé
En tant que pionnier du commerce européen de licences de logiciels d'occasion, notamment Microsoft, PREO a déjà permis à plus de 1 000 entreprises de bénéficier des avantages de l'intégration des licences de volume d'occasion dans la gestion de leurs actifs informatiques, dans le respect des normes d'audit et de conformité :
- Des économies considérables sur les coûts de licence en cours, jusqu'à 70 % par rapport à la version actuelle correspondante.
- Génération de revenus grâce à la vente de licences inutilisées ou devenues inutiles.
- Plus de durabilité dans le secteur des technologies de l'information en promouvant une économie circulaire active et en réduisant l'empreinte CO2 de l'entreprise.
- Acquisition de licences 100 % conformes à la législation et à l'épreuve des audits, avec une transparence maximale à toutes les étapes du processus, y compris une documentation complète sur le portail de licences PREO "Easy Compliance".
- De nombreuses années d'expérience dans l'intégration de licences de logiciels d'occasion dans des structures de réseau classiques ou des modèles de licences hybrides.
- Une connaissance approfondie du marché et une forte expérience démontrée par le transfert réussi de plus d'un million de licences de logiciels d'occasion, dont la conformité a été prouvée lors d’audits.
- Capacités avérées pour la gestion des licences logicielles pour les grands projets d'infrastructure informatique comportant des milliers de postes de travail et une implantation transnationale.
- Des projets de référence impressionnants, réalisés avec succès pour de nombreuses moyennes et grandes entreprises dans un large éventail de secteurs.
