Sécurité, fichiers, GAFAM & Co

Lionel

Lionel

4 min read

La gestion des fichiers en entreprise, et surtout petite entreprise pose souvent un problème de sécurité, notamment face aux risques liés aux intrusions, virus et crypto virus, mais également face aux risques physiques comme l'incendie, le vol ou le sabotage. Hors ces petites entreprises sont de plus en plus dépendantes de leurs fichiers et n'ont pas toujours les moyens de s'organiser.

Si la tentation est grande de s'en remettre aux GAFAM avec des Cloud Drive (Onedrive, Google Drive, Dropbox, etc..), les fichiers peuvent toujours êtres contaminée dès lors qu'ils sont localement synchronisés avec les clients idoines. Le problème est identique avec des solutions GAFAM free comme l'excellent KDrive, ou même si l'on utilise Synology Drive en local.

La seule solution, pour l'instant, serait que les collaborateurs travaillent toujours en mode full web et oublient définitivement leur Word et Excel favoris. Et ça ce n'est pas gagné car d'une part les habitudes sont lourdes à évoluer, et d'autre part beaucoup de structures ne disposent pas d'une bande passante suffisante.

Les Cloud Drive ont une parade, historiser les fichiers et ainsi permettre la restauration des anciennes versions. Sauf que si cette solution vaut pour une restauration ponctuelle elle est très difficile à mettre en œuvre dès lors qu'il s'agit de restaurer un volume important qui ont été corrompues. A ce jours seul Onedrive Business propose un début de solution pour effectuer une restauration en masse.

Alors que faire ? Sauvegarder. Et obligatoirement en mode historisation afin de pouvoir facilement restaurer à une date / heure précise.

Cas pratiques (non hexaussifs)

Utilisateurs Office 365 (Onedrive) / GSuite (GDrive)

il faut utiliser les fonctionnalités des clients drive qui permettent de sauvegarder / synchroniser les fichiers locaux (bureau, documents, etc...).

Il existe plusieurs solutions qui permettent en plus la sauvegarde des messageries.

  • La plus simple est de disposer d'un NAS Synology (premise, hébergé ou loué) et d'utiliser Active Backup Office 365 ou GSuite et d'effectuer une sauvegarde historisée sur le NAS. Je conseille bien sur un NAS hébergé ou loué qui ne sera pas vulnérable physiquement. (Infomaniak par exemple). Cette solution propose un portail permettant aux utilisateurs de restaurer leurs fichiers, même si dans un moment de crise ce sont généralement des professionnels qui interviendront.
  • On peu également utiliser Veeam Backup pour Office 365, mais cela suppose de disposer d'un serveur Windows pour l'exécuter, et si possible dans une VM hébergée. A noter qu'il existe une version gratuite si on a moins de 10 utilisateurs.
  • ...

Autres cloud drive

Il est toujours possible de synchroniser en WebDav sur un NAS (solution de groupe KDrive par exemple) et ensuite de sauvegarder en historisant.

Utilisateurs de NAS

Beaucoup de petites structures utilisent un NAS et des postes de travail Windows ou Mac. Dans ce cas d'usage, si on conseille bien sur de stocker les fichiers sur le NAS dans le répertoire personnel, on sait biens que les utilisateurs ont pour habitude de tout stocker localement, et notamment sur le bureau... Charge à l'IT de les protéger...

  • Protection des postes de travail : Synology Backup dans Synology Drive pour sauvegarder en continu les fichiers locaux vers le NAS
  • Protection du NAS (dont les fichiers des postes de travail) : Hyper Backup, avec une sauvegarde historisée sur un disque local (isolé en terme de droits), ainsi qu'une seconde sauvegarde historisée vers un stockage externe (Synology Backup, AWS, Wasabi, Google, Azure, etc...) afin de se prémunir des risques physiques. Et pour les plus paranos on peut en faire deux.

Autres

Si l'on dispose d'un stockage local, un NAS, pourquoi ne pas mettre en place une sauvegarde de type image pour les postes de travail ? Veeam propose une version gratuite de son outil Veeam Agent

Bonnes pratiques

Recommandations :

  • On ne clique pas sur un lien inconnu reçu par mail
  • On n’ouvre pas un PDF ou autre fichier venu de l’extérieur qui semble douteux (mail)
  • On s’assure que le centre de sécurité Windows n’affiche pas de messages (ça doit être vert)
  • On fait les mises à jours Windows quand elles sont proposées, même si ça impose un redémarrage et une petite perte de temps.
  • On utilise que des navigateurs récents et à jour (Chrome, Edge, Opera, Firefox et Jamais Internet Explorer).
  • On ne stocke pas de mots de passe sur du papier ou des documents non protégés. On utilise un gestionnaire de mots de passe.
  • On refuse systématiquement d’insérer dans les PC des clés USB en provenance de tiers (même connu (comptable par exemple), il faut privilégier les échanges mail ou cloud drive qui disposent de protections)

Télétravail et utilisation externe :

Dès lors que le collaborateur utilise un outil externe et non contrôlé, un risque existe. C’est pourquoi on recommande :

  • Le collaborateur continue à travailler sur son PC de bureau via une solution de bureau à distance (RDP) déporté ou type AnyDesk / Teamviewer (ces derniers sont plus lent mais plus simple à mettre en place).
  • Utilisation d’un VPN obligatoire dans le cas du bureau à distance (la sécurisation du protocole RDP n’est pas à la portée d’une petite entreprise, le VPN résout le problème, Zerotier par exemple))
  • Il y a peu de risques à utiliser le mail sur un appareil mobile (iPhone, iPad, Android), par contre il vaut mieux éviter d’installer Outlook sur un PC perso. Au besoin passer par Outlook sur le web.
  • En mobilité il faut toujours passer par la 4G des opérateurs et éviter absolument les point d’accès WIFI publics (gares, aéroports, hôtels, restaurants). Si on y est obligé il faut passer par un VPN à mettre éventuellement en place.

Anticipation :

Il y a toujours un rapport entre les couts, l’expérience et la sécurité mise en place. L’expérience et les incidents permettent d’améliorer la sécurité.

Les risques sont quasi identiques pour toutes les entreprises, mais la sécurité que l’on peut mettre en place diffère pour des questions de couts supportables et les contraintes imposables aux collaborateurs.

Il est recommandé d'isoler immédiatement une machine corrompue et de la restaurer sur un nouveau média. D'où l'intérêt de disposer de SSD par avance.

Parc / Matériel

  • On mets à jour les postes de travail. Exit les vieux Windows 7 ou autres XP que l'on croise encore trop souvent.
  • On privilégie les applications web qui ne sont pas dépendantes du matériel (Chromebook, etc..).
  • Le renforcement du réseau est aussi à envisager (firewall actif, restriction aux maximum des connections entrantes, géo protection).
  • On évite la connexion au WIFI pour les visiteurs, et au besoin utiliser le réseau invité isolé. .

Read more