DSI externalisé et sécurisation des accès pour une TPE finance-assurance en Suisse romande
Une TPE finance-assurance en Suisse romande faisait face à des risques croissants (phishing, accès partagés, postes hétérogènes) sans pilotage IT structuré. L’objectif principal a été d’instaurer un DSI à temps partiel et de sécuriser les accès et la messagerie, avec une protection terminaux adaptée. Résultat phare: un risque opérationnel réduit et un pilotage IT plus […]
Une TPE finance-assurance en Suisse romande faisait face à des risques croissants (phishing, accès partagés, postes hétérogènes) sans pilotage IT structuré. L’objectif principal a été d’instaurer un DSI à temps partiel et de sécuriser les accès et la messagerie, avec une protection terminaux adaptée. Résultat phare: un risque opérationnel réduit et un pilotage IT plus clair au quotidien.
Synthèse
- Secteur : Finance et assurance, Taille : TPE (10-19), Région : Suisse romande.
- Durée : 6 semaines, Pôle : Technologie.
- Portée : pilotage IT, IAM, messagerie et terminaux, Objectif : réduire le risque et fiabiliser l’exploitation.
Contexte et enjeux
Les équipes travaillaient avec des échanges sensibles (clients, contrats, justificatifs) et une pression forte sur les délais. Plusieurs habitudes avaient pris place: comptes partagés pour certains accès, MFA non systématique, et règles de sécurité peu homogènes sur les postes.
Des tentatives de phishing ciblaient régulièrement la messagerie, avec un risque direct sur les transferts, les pièces jointes et la confidentialité. L’IT était géré au fil de l’eau, sans cadre de décision clair ni suivi des priorités.
L’enjeu consistait à sécuriser rapidement les points critiques, tout en installant un pilotage IT sobre: décisions, priorités, budget et routine de contrôle, sans immobiliser l’équipe.
Objectifs
- Rendre le MFA obligatoire et supprimer les accès partagés sur les applications sensibles.
- Réduire le risque phishing via protection messagerie et procédures de vérification.
- Standardiser la protection des postes (EDR) et clarifier le pilotage IT (priorités et règles).
Plan d’intervention
- Étape 1 – diagnostic / cadrage: revue des accès, postes, messagerie, incidents récents et risques prioritaires.
- Étape 2 – conception / design cible: politiques IAM (MFA, accès conditionnel), règles e-mail, standards poste, et plan de pilotage (rôles, décisions, budget).
- Étape 3 – build / intégration / tests: déploiement IAM, protection messagerie, déploiement EDR, tests sur scénarios (phishing, poste compromis, compte bloqué).
- Étape 4 – déploiement / transfert / support: rituels mensuels DSI, tableau de suivi, sensibilisation ciblée, et stabilisation sur 1 cycle.
Résultats mesurés
- Avant / après : comptes protégés par MFA 45% → 100%.
- Qualité / délai : temps de révocation d’accès (départ, incident) 2-3 jours → moins de 4 h.
- Adoption / support : clics sur e-mails suspects lors de tests internes 18% → 6%.
Facteurs clés de succès
- Décisions rapides: périmètre critique défini, exceptions limitées et documentées.
- Approche progressive: sécuriser d’abord les accès et la messagerie, puis standardiser les postes.
- Accompagnement: messages simples, exercices concrets, et rappels courts intégrés au quotidien.
Stack & outils
- IAM: Microsoft Entra ID pour MFA, accès conditionnel et gestion des identités.
- Terminaux: Microsoft Defender for Business pour protection et réponse sur les postes.
- Messagerie: Proofpoint Email Security pour filtrage, protection et réduction du phishing.
FAQ – Confiance & support
MFA obligatoire: comment gerer les exceptions (collaborateurs externes, urgences) ?
Les exceptions sont rares, temporaires et tracees: compte nominatif, droits minimaux, date de fin et revue. Pour les urgences, un processus court existe, puis l’exception est retiree et documentee.
Phishing: que faire si un collaborateur a clique ou saisi son mot de passe ?
Un protocole simple est applique: signalement immediat, reinitialisation, coupure des sessions, verification des regles de transfert, puis controle du poste. L’objectif est de limiter l’impact en minutes, pas en jours.
Terminaux: comment standardiser sans bloquer l’activite (logiciels metier, postes varies) ?
Un socle commun est defini (protection, mises a jour, chiffrement si applicable), puis des profils par usage sont crees. Les cas particuliers sont testes et integres par etapes, avec retour arriere prevu.
Support: comment se passe le pilotage DSI a temps partiel sur la duree ?
Un rythme court est tenu: points mensuels, priorites du mois, risques, budget, et avancement. Les demandes standard recoivent une reponse en moins de 24h ouvreess, tandis que les incidents critiques suivent un canal d’escalade defini.
