Une infrastructure sous contrôle

Dans tous les parcs informatiques, il y a plusieurs composantes :

• les utilisatrices et utilisateurs ;
• les appareils, qui peuvent être privés ou fournis par l’organisation ;
• l’infrastructure réseau (routeur, pare-feu, wifi, réseau filaire) ;
• les serveurs d’application, de données et de sauvegarde.

L’infrastructure concerne donc les trois derniers points de la liste. Pour réduire les risques en termes de sécurité, il s’agit d’avoir un contrôle sur ces équipements :

• Ils doivent être
  • référencés dans un inventaire ;
  • identifiable visuellement (étiquette) ;
  • à jour (version des logiciels, correctifs de sécurité, etc) ;
  • sauvegardés.
• Les procédures pour contacter l’assistance auprès les partenaires externes doivent être disponibles, même en cas de coupure électrique ou de réseau.
• Les droits d’accès aux équipements doivent toujours être alignés aux rôles dans l’organisation et à l’usage. Par exemple, un compte de session utilisateur ne doit pas avoir de privilèges élevés.

Si des appareils privés sont utilisés dans le cadre professionnel (pratique appelée BYOD pour Bring Your Own Device ou AVEC pour « Apportez Votre Équipement personnel de Communication »), les règles doivent être clairement définies et communiquées. Il faut savoir que cette pratique fragilise en général l’organisation au niveau de sa cybersécurité.