L’Intranet est un réseau informatique interne, qui est mis en place au sein d’une organisation. S’il offre un espace interactif où les employés peuvent communiquer et contribuer à la culture de l’entreprise, il n’est hélas pas sans risques. En effet, des menaces (tant internes, qu’externes) planent sur la sécurité de ces réseaux.
Comment s’en prémunir ? Quelles sont les bonnes pratiques à mettre en place pour assurer la sécurité de son Intranet ? Voici quelques éléments de réponse.
Rappelons de manière plus précise ce qu’est un Intranet. Il s’agit d’un réseau informatique privé utilisé par les employés d’une entreprise (ou toute autre entité équivalente), et qui utilise les mêmes protocoles d’échange que sur Internet. Dans bon nombre d'entreprises, l'Intranet se présente d'ailleurs sous la forme d'un site Web. Il permet aux collaborateurs d'échanger des documents et des informations dans un environnement sécurisé, dont l'accès est réservé à un groupe défini. En facilitant la vie professionnelle quotidienne, il représente ainsi l’infrastructure de base de la communication interne d’une organisation.
Du fait des données personnelles et confidentielles qu’il abrite, l’Intranet exige une vigilance particulière en matière de sécurité. D’autant que près de 70% des violations de données peuvent être imputées… à des erreurs commises par les employés, même en l’absence d’intention malveillante. Ainsi, les trois principaux risques en matière de sécurité proviennent :
Souvent, des mots de passe trop simples sont à l’origine de cyberattaques et de piratages de données. Et si le serveur est accessible via une connexion VPN à partir d'un ordinateur privé (un risque accru par la généralisation du télétravail), il existe aussi un risque que l’Intranet soit pris pour cible par des logiciels malveillants. La vigilance doit donc être de mise.
Au niveau légal, la loi Informatique et Libertés de 1978 impose aux organismes mettant en œuvre des fichiers qu’ils garantissent la sécurité des données qui y sont traitées. Ces organismes ont ainsi l’obligation de mettre en place, notamment par l’intermédiaire de leur DSI, un certain nombre de mesures de sécurité, comme l’adoption d’une politique de mots de passe rigoureuse, la sécurisation des postes de travail et du réseau local, ou encore la restriction de l’accès aux locaux qui hébergent les serveurs informatiques.
Mais d’autres mesures peuvent être mises en place pour sécuriser son intranet.
Un premier niveau de protection doit être assuré par des dispositifs de sécurisation de l’Intranet. La mise en place d’un pare-feu est généralement privilégiée : il s’agit d’un outil qui permet de protéger le réseau de l’entreprise contre les accès externes non reconnus. D’autres technologies peuvent également être utilisées, comme les serveurs proxy. Il s’agit de composants matériels informatiques qui agissent comme intermédiaires dans l’échange entre deux hôtes. Cela peut être un ordinateur, par exemple : dans ce cas, seul le serveur proxy a accès à Internet. Si des utilisateurs provenant d’autres ordinateurs souhaitent accéder à Internet à partir du réseau, ils ne pourront le faire qu’au travers d’une connexion sécurisée au serveur proxy.
Dans le cadre d’une Digital Workplace Microsoft 365, vous disposez d’un environnement entièrement sécurisé. Pour assurer une protection contre les intrusions malveillantes vous pouvez utiliser des extensions Microsoft 365 100% sécurisées comme Mozzaik365, qui n’hébergent aucune donnée client.
Une protection fiable contre les virus et autres cyberattaques nécessite une veille constante, qu’il s’agisse de suivre, de mettre à jour ou d’encadrer les outils mis à disposition des employés. À cet égard, la messagerie électronique doit faire l’objet d’une vigilance particulière, puisqu’elle est un endroit par lequel transitent des centaines de données chaque jour. Par ailleurs, la diffusion d’une culture du risque auprès des salariés, doublée d’un mécanisme de suivi destiné à détecter les signes avant-coureurs d’un piratage informatique doit être à l’avant-poste des missions de la DSI.
L’un des risques majeurs qu’il convient de prévenir est le « Shadow IT » (ou informatique parallèle), qui consiste pour les employés à faire usage d’outils et de technologies non fournies (et donc non réglementées) par l’entreprise. Cette pratique expose l’entreprise à de nombreuses failles de sécurité, en permettant à des outils inconnus d’accéder à des données confidentielles. La lutte contre le Shadow IT doit se mener de manière plurielle, notamment par la sensibilisation des collaborateurs aux enjeux de sécurité et par l’encadrement des usages informatiques. Ainsi, l’entreprise doit se montrer claire sur le fait qu’aucun employé ne doit utiliser un outil ou une application sans en avoir demandé la permission aux services informatiques.
Enfin, limiter l’accès aux données sensibles doit être une priorité pour la DSI. Il est en effet probable que la majorité des collaborateurs n’ait pas besoin d’accéder à l’ensemble du système de données de l’entreprise dans le cadre de leurs missions quotidiennes. La restriction des données sensibles aux seules personnes qui en ont besoin permet donc de réduire les risques qu’une tierce personne accède à ces données pour les exploiter ensuite.
Ainsi que nous l’avons vu plus haut, le principal risque en matière de sécurité informatique est l’erreur humaine. C’est la raison pour laquelle les utilisateurs doivent être formés aux bonnes pratiques. Plus encore, il est important qu’ils soient sensibilisés aux risques liés à l’utilisation des outils informatiques et à l’usage de logiciels, d’outils et d’applications non réglementées (le Shadow IT). Pour ce faire, vous pouvez mettre en œuvre une Politique de Sécurité du Système d’Information (PSSI). C’est le document qui régit la stratégie de sécurité informatique de votre entreprise. À l’intérieur se trouvent les règles de sécurité et le plan d’action. L’objectif ? Maintenir un haut niveau de sécurité de l’information. Toute la documentation est formalisée par le Responsable Sécurité des Systèmes d’Information (RSSI). Vous pouvez retrouver des guides d’homologation pour vous aider dans votre démarche.
Cette sensibilisation peut prendre diverses formes : envoi d’emails ou de fiches pratiques, affichage collectif, formations en présentiel… Elle peut également être formalisée dans un document du type « Charte informatique ». Celui-ci précisera les règles à respecter en matière de sécurité informatique et devra être accompagné d’un engagement de responsabilité à signer par chaque utilisateur. Ce document doit être accessible à l’ensemble des salariés.
Le mot « crise » tire son origine du grec « Krisis », qui désigne le moment où une affection atteint son point critique. On utilise aujourd'hui ce mot pour désigner une période difficile traversée par un individu ou un groupe, comme cela peut être le cas lors d'une cyberattaque. Selon l’Autorité Nationale de la Sécurité des Systèmes d’Information (ANSSI), le nombre de cyberattaques a quadruplé en 2020. Et ces événements ont un coût considérable : Hiscox estime leur coût moyen à 51200 €. En effet, une cyberattaque engendre différentes dépenses directes et indirectes. Parmi les coûts directs, on retrouve la mise en conformité réglementaire, les relations publiques, l’amélioration des dispositifs en place... La perturbation des activités et la perte de confiance sont des coûts indirects qui risquent d’affecter le résultat de l’entreprise.
L’anticipation de ces périodes de crise est essentielle pour réagir de manière optimale. En la matière, il n’est pas question de réagir de façon entièrement spontanée, au risque de commettre de lourdes erreurs.
Ainsi, la gestion de crise se prépare toujours en amont de l’événement déclencheur. La direction de l’entreprise doit, en collaboration étroite avec les équipes informatiques, planifier les différents scénarios de crise et les réponses à y apporter. Ces équipes doivent être préparées et exercées à la gestion de crise, en fonction des risques jugés les plus probables. De telles simulations permettent en effet de s’approprier les techniques et les procédures, mais aussi de corriger les failles éventuelles des réponses apportées aux problèmes de sécurité.
Enfin, lorsque la crise survient, il est important de la reconnaître pour ce qu’elle est, à savoir un événement brutal qui bouleverse le fonctionnement normal de l’entreprise.
Si les intranets possèdent de nombreux avantages, notamment en ce qui concerne la gestion de la communication interne et la cohésion des équipes, ils n’en demeurent pas moins vulnérables aux cyberattaques. Cependant, les risques qui leur sont inhérents ne sont pas une fatalité : en mettant en place certaines bonnes pratiques, comme le choix des bons outils, l’encadrement des usages informatiques ou encore la sensibilisation des collaborateurs aux enjeux de sécurité, il est possible de s’en prémunir efficacement.