Les bonnes pratiques pour garantir
la sécurité de votre Intranet

Comment réduire les risques et renforcer la sécurité de votre intranet ? Près de 70 % des violations de données résultent d'erreurs commises par les employés. Qu'est-ce qu'un intranet et quelles sont les menaces potentielles qu'il représente ?

Démonstration gratuite Parler à un expert

Rubrique 2 Lien

L’Intranet est un réseau informatique interne, qui est mis en place au sein d’une organisation. S’il offre un espace interactif où les employés peuvent communiquer et contribuer à la culture de l’entreprise, il n’est hélas pas sans risques. En effet, des menaces (tant internes, qu’externes) planent sur la sécurité de ces réseaux.

Comment s’en prémunir ? Quelles sont les bonnes pratiques à mettre en place pour assurer la sécurité de son Intranet ? Voici quelques éléments de réponse.

Qu’est-ce qu’un intranet et quels en sont les dangers ?

Rappelons de manière plus précise ce qu’est un Intranet. Il s’agit d’un réseau informatique privé utilisé par les employés d’une entreprise (ou toute autre entité équivalente), et qui utilise les mêmes protocoles d’échange que sur Internet. Dans bon nombre d'entreprises, l'Intranet se présente d'ailleurs sous la forme d'un site Web. Il permet aux collaborateurs d'échanger des documents et des informations dans un environnement sécurisé, dont l'accès est réservé à un groupe défini. En facilitant la vie professionnelle quotidienne, il représente ainsi l'infrastructure de base de la communication interne d'une organisation.

Du fait des données personnelles et confidentielles qu’il abrite, l’Intranet exige une vigilance particulière en matière de sécurité. D’autant que près de 70% des violations de données peuvent être imputées… à des erreurs commises par les employés, même en l’absence d’intention malveillante. Ainsi, les trois principaux risques en matière de sécurité proviennent :

d’une négligence interne ;
d’un accès non autorisé des utilisateurs ;
et d’une exposition accidentelle au réseau.

Souvent, des mots de passe trop simples sont à l’origine de cyberattaques et de piratages de données. Et si le serveur est accessible via une connexion VPN à partir d'un ordinateur privé (un risque accru par la généralisation du télétravail), il existe aussi un risque que l’Intranet soit pris pour cible par des logiciels malveillants. La vigilance doit donc être de mise.

Au niveau légal, la loi Informatique et Libertés de 1978 impose aux organismes mettant en œuvre des fichiers qu’ils garantissent la sécurité des données qui y sont traitées. Ces organismes ont ainsi l’obligation de mettre en place, notamment par l’intermédiaire de leur DSI, un certain nombre de mesures de sécurité, comme l’adoption d’une politique de mots de passe rigoureuse, la sécurisation des postes de travail et du réseau local, ou encore la restriction de l’accès aux locaux qui hébergent les serveurs informatiques.

Mais d’autres mesures peuvent être mises en place pour sécuriser son intranet.

Prévenir les risques grâce au choix des outils

<span>Un premier niveau de protection doit être assuré par des dispositifs de sécurisation de l’Intranet. La mise en place d’un pare-feu est généralement privilégiée : il s’agit d’un outil qui permet de protéger le réseau de l’entreprise contre les accès externes non reconnus. D’autres technologies peuvent également être utilisées, comme les serveurs proxy. Il s’agit de composants matériels informatiques qui agissent comme intermédiaires dans l’échange entre deux hôtes. Cela peut être un ordinateur, par exemple : dans ce cas, seul le serveur proxy a accès à Internet. Si des utilisateurs provenant d’autres ordinateurs souhaitent accéder à Internet à partir du réseau, ils ne pourront le faire qu’au travers d’une connexion sécurisée au serveur proxy.</span>

Dans le cadre d’une Digital Workplace Microsoft 365, vous disposez d’un environnement entièrement sécurisé. Pour assurer une protection contre les intrusions malveillantes vous pouvez utiliser des extensions Microsoft365 100 % sécurisées comme Mozzaik365, qui n’hébergent aucune donnée client.

Prévenir les risques grâce à la supervision, au suivi et à l’encadrement des usages des outils mis à dispositions

Une protection fiable contre les virus et autres cyberattaques nécessite un contrôle, une mise à jour et une supervision constants des outils mis à la disposition des employés. À cet égard, la messagerie électronique doit faire l'objet d'une vigilance particulière, car elle est un lieu où transitent chaque jour des centaines de données. Par ailleurs, la diffusion d'une culture du risque auprès des employés, couplée à un mécanisme de veille destiné à détecter les signes avant-coureurs d'un piratage, doit figurer au premier plan des missions du département informatique.

L’un des risques majeurs qu’il convient de prévenir est le « Shadow IT » (ou informatique parallèle), qui consiste pour les employés à faire usage d’outils et de technologies non fournies (et donc non réglementées) par l’entreprise. Cette pratique expose l’entreprise à de nombreuses failles de sécurité, en permettant à des outils inconnus d’accéder à des données confidentielles. La lutte contre le Shadow IT mener de manière plurielle, notamment par la sensibilisation des collaborateurs aux enjeux de sécurité et par l’encadrement des usages informatiques. Ainsi, l’entreprise doit se montrer claire sur le fait qu’aucun employé ne doit utiliser un outil ou une application sans en avoir demandé la permission aux services informatiques.

Enfin, limiter l’accès aux données sensibles doit être une priorité pour la DSI. Il est en effet probable que la majorité des collaborateurs n’ait pas besoin d’accéder à l’ensemble du système de données de l’entreprise dans le cadre de leurs missions quotidiennes. La restriction des données sensibles aux seules personnes qui en ont besoin permet donc de réduire les risques qu’une tierce personne accède à ces données pour les exploiter ensuite.

‍

Transformez votre intranet en Digital workplace grâce à notre cahier des charges.

Guide gratuit

Former les employés aux bonnes pratiques

Ainsi que nous l’avons vu plus haut, le principal risque en matière de sécurité informatique est l’erreur humaine. C’est la raison pour laquelle les utilisateurs doivent être formés aux bonnes pratiques. Plus encore, il est important qu’ils soient sensibilisés aux risques liés à l’utilisation des outils informatiques et à l’usage de logiciels, d’outils et d’applications non réglementées (le Shadow IT). Pour ce faire, vous pouvez mettre en œuvre une Politique de Sécurité du Système d’Information (PSSI). C’est le document qui régit la stratégie de sécurité informatique de votre entreprise. À l’intérieur se trouvent les règles de sécurité et le plan d’action. L’objectif ? Maintenir un haut niveau de sécurité de l’information. Toute la documentation est formalisée par le Responsable Sécurité des Systèmes d’Information (RSSI). Vous pouvez retrouver des guides d'homologation pour vous aider dans votre démarche.

Cette sensibilisation peut prendre différentes formes : envoi de courriels ou de fiches pratiques, affichage collectif, formation en présentiel, etc. Elle peut également être formalisée dans un document tel que la "Charte informatique". Ce document précisera les règles à respecter en matière de sécurité informatique et devra être accompagné d'un engagement de responsabilité à signer par chaque utilisateur. Ce document doit être accessible à tous les employés.
‍

Mettre en place une stratégie de crise pour réagir sans délai en cas de problème

Le mot « crise » tire son origine du grec « Krisis », qui désigne le moment où une affection atteint son point critique. On utilise aujourd'hui ce mot pour désigner une période difficile traversée par un individu ou un groupe, comme cela peut être le cas lors d'une cyberattaque. Selon l’Autorité Nationale de la Sécurité des Systèmes d’Information (ANSSI), le nombre de cyberattaques a quadruplé en 2020. Et ces événements ont un coût considérable : Hiscox estime leur coût moyen à 51200 €. En effet, une cyberattaque engendre différentes dépenses directes et indirectes. Parmi les coûts directs, on retrouve la mise en conformité réglementaire, les relations publiques, l’amélioration des dispositifs en place... La perturbation des activités et la perte de confiance sont des coûts indirects qui risquent d’affecter le résultat de l’entreprise.

L’anticipation de ces périodes de crise est essentielle pour réagir de manière optimale. En la matière, il n’est pas question de réagir de façon entièrement spontanée, au risque de commettre de lourdes erreurs.

Ainsi, la gestion de crise se prépare toujours en amont de l’événement déclencheur. La direction de l’entreprise doit, en collaboration étroite avec les équipes informatiques, planifier les différents scénarios de crise et les réponses à y apporter. Ces équipes doivent être préparées et exercées à la gestion de crise, en fonction des risques jugés les plus probables. De telles simulations permettent en effet de s’approprier les techniques et les procédures, mais aussi de corriger les failles éventuelles des réponses apportées aux problèmes de sécurité.

Enfin, lorsque la crise survient, il est important de la reconnaître pour ce qu’elle est, à savoir un événement brutal qui bouleverse le fonctionnement normal de l’entreprise.

Conclusion

Si les intranets possèdent de nombreux avantages, notamment en ce qui concerne la gestion de la communication interne et la cohésion des équipes, ils n'en restent pas moins vulnérables aux cyberattaques. Les risques qui leur sont inhérents ne sont cependant pas une fatalité : la mise en place de certaines bonnes pratiques, telles que le choix des bons outils, l'encadrement de l'utilisation des ordinateurs et la sensibilisation des employés aux questions de sécurité, permet de s'en prémunir efficacement.
‍

Ce qu'il faut retenir

📌Anticiper les risques avec de bons outils;

📌Utiliser la supervision pour limiter le Shadow IT;

📌Eduquer vos collaborateurs.

📌 Prévoir une stratégie de crise

‍

FAQ

Meilleures pratiques pour la sécurité de votre intranet