PME : 9 bonnes pratiques contre les cyberattaques

Voici pour les lecteurs de Solutions Numériques les conseils de Lena Jakubowicz, consultante pour RISK&Me by Harmonie Technologie, plateforme digitale de services de prévention et de diagnostics des risques cyber. 

Ces dernières années ont démontré que les pirates informatiques ciblaient de plus en plus les entreprises du marché intermédiaire. En effet, les grandes entreprises ont renforcé leurs moyens de défense en matière de cybersécurité et disposent de plus de ressources et de moyens pour assurer leur sécurité. Cela a conduit les attaquants à se concentrer davantage sur les entreprises de taille petite et moyenne. Cela est d’autant plus vrai que de nombreuses PME font office de fournisseurs, de prestataires et de partenaires de grandes entreprises et ainsi peuvent avoir accès aux systèmes, réseaux et données internes de leurs homologues plus importants. Par conséquent, ces PME ont tendance à être considérées comme un moyen d’atteindre une fin – un point d’entrée dans une cible plus vaste et plus lucrative.

Selon une étude de Kaspersky Lab et Euler Hermes, six mois après la mise en application du RGPD, 45 % des chefs d’entreprise de PME de moins de 150 personnes reconnaissent que leur entreprise n’a toujours pas renforcé ses mesures de sécurité. Ce chiffre s’élève à 52 % pour des PME comptant entre 150 et 249 employés. Ainsi, il est temps pour le middle-market d’abandonner la politique de l’autruche et d’affronter la réalité. En 2016, il faut savoir que 77 % des cyberattaques ciblaient les TPE/PME.

Ainsi, la cybersécurité consiste à protéger les données d’une entreprise et à gérer les attaques de manière proactive afin que celles-ci ne provoquent pas une crise majeure. Ci-dessous, voici 9 bonnes pratiques en matière de cybersécurité afin d’assurer une protection optimale des données et assets critiques vos TPE/PME.

  1. Veillez à changer vos mots de passe régulièrement

Selon une étude récente réalisée par Vason Bourne pour SailPoint, 73 % des collaborateurs interrogés utilisent un mot de passe unique pour toutes les applications et logiciels utilisés en entreprise. Cependant, pour minimiser les risques, les entreprises peuvent s’équiper de gestionnaires de mots de passe. Ces outils permettent aux utilisateurs de garder la trace de leurs mots de passe et de les changer instantanément en cas de corruption de comptes. Ce type de mesure protège contre un large panel de cyberattaques. Cependant, les menaces cyber étant imprévisibles et ne cessant d’évoluer, ces solutions de sécurité ne sont qu’une partie de la stratégie de défense.

  1. Pensez à faire régulièrement les mises à jour de vos logiciels

Un logiciel sans mise à jour, ça n’existe pas. Bien que les mises à jour offrent la réparation de bugs et présentent de nouvelles fonctionnalités, leur intérêt principal consiste à corriger des failles de sécurité. En effet, ces failles de sécurité sont souvent connues des cybercriminels depuis plusieurs jours, semaines, voire mois. Ainsi, ces vulnérabilités représentent de réelles opportunités et permettent l’intrusion invisible dans votre système d’information de cybercriminels ou de logiciels malveillants qui peuvent faire d’importants dégâts.

  1. Gérez régulièrement les niveaux d’habilitations des utilisateurs

Limiter les profils d’habilitation dans les systèmes est crucial à la protection de votre système. En effet, séparer les tâches et les domaines de responsabilités dans le but d’autoriser l’accès aux utilisateurs aux seules données strictement nécessaires à l’accomplissement de leurs missions permet d’optimiser la sécurité de votre système. En effet, réaliser une revue annuelle des habilitations permet de détecter, bloquer et supprimer les programmes malveillants.

  1. Sécurisez l’accès au réseau Wi-Fi interne de votre entreprise

Sécuriser son réseau Wi-Fi peut également être décisif pour lutter contre la cybermenace qui plane au-dessus des PME.  En effet, les protocoles WEP (Wired Equivalent Privacy) et même WPA (Wi-Fi Protected Access) contiennent des failles de sécurité rendant le piratage de votre connexion relativement facile. Ainsi, nous vous conseillons premièrement de chiffrer votre réseau Wi-Fi, puis de changer le mot de passe par défaut de votre, ou vos box(s) et enfin de mettre régulièrement votre box à jour (cf. le conseil numéro 2 sur les mises à jour). Enfin, dissimuler votre réseau Wi-Fi d’entreprise afin que celui-ci ne soit pas visible par des tiers dans les réseaux disponibles vous assure un niveau de sécurité supplémentaire.

  1. Veillez à une utilisation intelligente de la messagerie

Les mails et les pièces jointes jouent un rôle fondamental lors de cyberattaques. En effet, en cas de réception de courriels frauduleux ou de pièces jointes piégées, le décideur IT se doit de sensibiliser les collaborateurs aux mesures suivantes :

–          Vérifier la cohérence entre l’expéditeur présumé et le contenu du message

–          Vérifier la prétendue identité de l’expéditeur

–          Éviter d’ouvrir les pièces jointes provenant de destinataires inconnus

–          Si des liens figurent dans un email, passer la souris dessus avant de cliquer. En effet, l’adresse complète du site apparaîtra dans la barre d’état du navigateur

–          Ne jamais répondre par courriel à une demande d’informations personnelles ou confidentielles

–          Vérifier l’adresse mail complète de l’expéditeur en passant le curseur de votre souris au-dessus de cette dernière, mais sans cliquer.

  1. Sensibilisez régulièrement vos employés

L’humain demeure le « maillon faible de la cybersécurité ». Ainsi, communiquer et sensibiliser vos employés aux risques encourus et aux enjeux que représentent ces risques pour l’entreprise permet de développer de bons réflexes et de limiter les dangers. En effet, apprendre aux collaborateurs à être plus suspicieux face aux mails ou liens reçus est déterminant pour se prémunir des cyberattaques. En 2019, il est capital de comprendre que sensibiliser ses collaborateurs et se sensibiliser soi-même n’est plus un luxe mais une nécessité car c’est la survie de l’entreprise qui est en jeu. Aujourd’hui, des initiatives gratuites et accessibles sont disponibles pour faire des enjeux de la sécurité numérique une préoccupation largement partagée (par exemple, l’ANSSI propose des MOC gratuits, des kits d’outils de sensibilisation entre autres). De plus, il peut être judicieux d’initier au sein d’une entreprise, la rédaction d’une charte informatique à faire signer à l’ensemble des collaborateurs sur les bonnes pratiques d’usage des outils mis à disposition afin que tous se sentent concernés et impliqués.

  1. Séparez les usages personnels des usages professionnels

BYOD (Bring your Own Device) ou AVEC (Apportez Votre Équipement personnel de Communication) sont des pratiques qui se démocratisent de plus en plus dans le contexte professionnel actuel. Cependant, si ces solutions représentent des avantages pour certaines entreprises, elles ne sont pas sans risque en matière de sécurité des données. Ainsi, il est fortement recommandé de séparer vos usages personnels de vos usages professionnels. Dans tous les cas, ne faites jamais suivre vos mails professionnels sur des services de messagerie utilisés à des fins personnelles. Il est également déconseillé d’héberger des données professionnelles sur des équipements personnels type clé USB ou téléphone. Enfin, il convient d’éviter de connecter des supports amovibles personnels (USB, disques durs externes) aux ordinateurs professionnels de l’entreprise.

  1. Téléchargez vos programmes sur les sites officiels des éditeurs

Le contenu numérique disponible sur des sites internet dont la sécurité n’est pas vérifiée permet souvent le téléchargement de programmes contenant des virus ou des chevaux de Troie. En effet, le téléchargement de programmes sur des sites non sécurisés et non vérifiés peut permettre à des personnes malveillantes de prendre le contrôle à distance de votre machine pour espionner les actions réalisées sur votre ordinateur, de voler vos données personnelles et/ou de lancer des cyberattaques. Ainsi, il est fortement recommandé de télécharger des programmes seulement sur les sites de leurs éditeurs, de rester en alerte concernant les liens sponsorisés et de réfléchir avant de cliquer dessus. De plus, il est important de désactiver l’ouverture automatique des documents téléchargés et de lancer une analyse antivirus au préalable.

  1. Protégez vos données lors de déplacements

À l’heure de la mondialisation et des flux d’échanges grandissants, voyager avec des appareils portables multiplie les risques de vols ou de pertes de données et informations sensibles pouvant avoir des répercussions conséquentes sur l’entreprise. Ainsi, selon le « passeport de conseils aux voyageurs », édité par l’ANSSI, il est nécessaire de respecter quelques règles.

Avant le voyage :

–          Sauvegardez vos données (attention, il est fortement recommandé de sauvegarder ses données en permanence et pas seulement avant un voyage. Vérifiez que les documents produits et données importantes soient bien stockés dans un espace sauvegardé par le service IT)

–          Emportez un filtre de protection pour votre ordinateur si vous travaillez lors de trajets

–          Vérifiez que vos mots de passe ne sont pas préenregistrés

–          Appliquez un signe distinctif reconnaissable sur vos appareils pour éviter tout risque d’échange d’appareils

Pendant la mission :

–          Gardez en permanence votre matériel (ordinateurs, supports amovibles, téléphone, fichiers) sur vous

–          Désactivez les fonctions Wi-Fi et Bluetooth de vos appareils

–          Retirez la carte SIM ou la batterie si vous êtes contraint de vous séparer de votre téléphone

–          Évitez de connecter vos équipements à des postes inconnus. En cas de besoin d’échange de documents, utilisez une clé USB dédiée à cet usage, puis effacez les données avec un logiciel d’effacement sécurisé.

Après la mission :

–          Effacez l’historique des appels et de navigation

–          Changez les mots de passe utilisés pendant le voyage

–          N’utilisez jamais des supports amovibles offerts lors de vos déplacements (salons, réunions, etc.) car ils sont susceptibles de contenir des programmes malveillants.

Ainsi, ces bonnes pratiques destinées aux TPE/PME permettent de limiter les risques quant aux vols d’informations sensibles de votre entreprise par des individus malveillants ou la prise de contrôle permanente de vos ordinateurs et systèmes. Pourtant en 2018, 45 % des PME n’ont pas renforcé leurs mesures de sécurité et ne font toujours pas une priorité de la prévention de ces attaques. En 2017, IBM évalue en moyenne à 3,9 millions de dollars le coût d’une seule attaque informatique. Ainsi, pour la survie des PME, la cybersécurité se doit d’être la priorité pour les années à venir car la menace demeure omniprésente.

L’article sur Solutions Numériques

RENDEZ-VOUS 

Du 09 et 12 octobre 2019

Les Assises de la cybersécurité 2019

De 09h à 19h

MONACO

Nos experts sont à votre disposition