Comment renforcer la cyber-sécurité de mon entreprise ?

Comptes sur les réseaux sociaux, site web, logiciel de comptabilité, archives numériques, messagerie électronique, etc.  L’outil numérique est devenu essentiel pour le fonctionnement de votre entreprise. S’il n’a pas été suffisamment sécurisé, il pourrait également être votre principale faiblesse. Voici donc 13 conseils pour vous prémunir de certains cyber-amis qui ne vous voudraient pas que du bien…

1. Mettre en place une DSI

Évidemment, l’idéal serait de disposer d’un(e) référent(e) en matière de sécurité informatique qui saura pointer les points sensibles et mettre en place une réelle protection contre les éventuelles attaques.


2. Sensibiliser les collaborateurs de l’entreprise

Chacun de vos collaborateurs peut être un maillon faible de votre cybersécurité. Il est donc important de les informer au mieux sur les risques de certaines pratiques et les moyens de prévention à mettre en place.

Adoptez une charte informatique qui indique les pratiques à proscrire et celles à mettre en place. Au besoin, donnez des exemples concrets, qui seront plus frappants et donc plus incitatifs.

Il peut également être utile de proposer des formations internes sur la thématique de la cybersécurité en entreprise.

Mettez en place des process précis, particulièrement pour les paiements, et contrôlez-en la bonne application.

3. Sécuriser son site internet

Pendant longtemps, les communications entre serveurs et navigateurs se faisaient « en clair ». Mais il est désormais vivement recommandé de créer un site web disposant d’une sécurité « https ».

Les technologies utilisées sur l’internet évoluent très vite. Prévoyez donc une revue de sécurité et des mises à jour régulières.

L’AFNIC peut vous aider à assurer la sécurisation de votre site Internet.

4. Choisir un bon mot de passe

De nombreux piratages de comptes sont dus à un mot de passe trop faible. Il est donc important de mettre en place une véritable politique en interne. Par commodité, certains de vos collaborateurs choisissent un mot de passe simple à retenir. Mais celui-ci sera sans doute également simple à pirater…

Un mot de passe fort doit contenir au moins 12 caractères de 4 types différents : des minuscules, des majuscules, un ou plusieurs chiffres et caractères spéciaux.

Celui-ci doit être le plus anonyme possible (et donc ne pas correspondre au prénom de votre conjoint(e) ou à votre date de naissance.

Dans l’idéal, un mot de passe ne devrait servir que pour un seul compte ou logiciel. Cela permet d’éviter les piratages en cascade.

Voici quelques conseils supplémentaires pour créer (et retenir) des mots de passe forts.

5. Faire des mises à jour régulières de vos logiciels

Dans tout système d’exploitation, logiciel, application, ou navigateur, des failles de sécurité existent. Celles-ci vous rendent vulnérables pour peu que des hackers s’en emparent. Quand elles sont décelées, elles font l’objet d’une correction par leur fabriquant, d’où les mises à jour régulières que vous êtes invités à faire sur vos ordinateurs.

Ces mises à jour sont essentielles et il serait dommage de les différer.

6. Ne pas naviguer en compte administrateur

En général, lorsque vous vous connectez à un ordinateur, soit vous êtes en compte utilisateur, soit vous êtes en compte administrateur. La différence ? Le compte administrateur dispose de droits plus élevés qu’un compte utilisateur, notamment concernant l’accès à des « zones protégées », la gestion de certains paramètres (dont les paramètres de sécurité) et l’installation de logiciels.

Si par mégarde vous atterrissez sur site corrompu, celui-ci cherchera à s’infiltrer sur votre machine (voir sur le serveur de votre entreprise) pour y installer des programmes malveillants ou récupérer des données sensibles. La logique est simple : si vous avez des droits réduits, vous limiterez la marge de manœuvre de ces programmes. Par contre, si vous naviguez en compte administrateur, vous donnerez malgré vous le sésame qui causera votre perte…

7. Faire régulièrement des sauvegardes

Vous avez mis des mois à constituer votre fichier client, vous venez de vous mettre à jour dans votre comptabilité, les visuels et les articles que vous allez publier pour les prochains mois sont enfin calés. Et le tout est sagement stocké sur le disque dur de votre PC. Mais… celui-ci décide un jour de rendre l’âme, vous privant de données essentielles au bon fonctionnement et au développement de votre entreprise. Réparer ce préjudice vous prendra malheureusement un temps considérable.

Et dire que cela aurait pu être évité si vous aviez fait une sauvegarde sur un autre support (disque dur externe, serveur de l’entreprise, CD ou DVD, etc.)…

Mais attention, une sauvegarde doit être mise à jour régulièrement. À quoi vous servirait un fichier comptable vieux de 12 mois ? Certaines entreprises procèdent à des sauvegardes hebdomadaires, voir  quotidiennes (qui se font automatiquement).

8. Sécuriser l’accès wifi de votre entreprise

Un Wi-Fi mal sécurisé peut permettre à des personnes malintentionnées d’utiliser votre connexion, voir même d’intercepter vos données. Il convient donc d’en sécuriser l’accès. Si vous disposez d’un réseau interne, votre service informatique fera sans doute le nécessaire pour éviter toute faille et prévoira un accès spécifique pour les visiteurs.

Si vous êtes de taille plus modeste, n’hésitez pas à contacter votre fournisseur d’accès qui pourra vous mettre en relation avec son assistance technique.

Lors de vos déplacements, évitez les Wi-Fi publics pour toute activité professionnelle. Si cela n’est pas possible, assurez-vous que votre antivirus et votre pare-feu sont bien à jour.

En cas de doute après avoir été connecté à un WiFi public, il vaudra mieux modifier vos mots de passe dans les plus brefs délais.

9. Protéger vos données lors des déplacements

La réalité est parfois digne de certains films d’espionnage. Lors d’un trajet Lyon-Marseille, votre voisin de TGV profite du voyage pour terminer un rapport. Son ordinateur posé sur les genoux, il passe en revue ses tableaux de bord. Vous ne faites pas partie de son entreprise, mais à la fin du voyage, vous serez en mesure de donner son chiffre d’affaire, sa stratégie de communication, etc. Vous aurez bien malgré vous capté des informations potentiellement confidentielles.

Voyager avec des appareils nomades fait peser des menaces l’entreprise. Il convient donc de bien mettre en garde vos collaborateurs amenés à se déplacer avec leur ordinateur portable, smartphone ou tablette.

10. Restez méfiants sur votre messagerie

Un courrier électronique n’est pas anodin et votre messagerie ou celle de vos collaborateurs peut être la cible de mails malveillants. Vous pouvez être victimes de 2 sortes d’attaques : les pièces jointes piégées ou les tentatives d’hameçonnage visant à récupérer vos informations personnelles ou codes d’accès.

Quelles précautions prendre ?

- N’ouvrez pas d’email provenant de sources inconnues, et si vous devez le faire, assurez-vous que le contenu du mail est cohérent avant d’aller plus loin dans la conversation.
- N’ouvrez pas les pièces jointes provenant de destinataires dont l’adresse mail semble avoir été fabriquée par un robot (suite de caractères incohérents), ou dont le format parait incohérent par rapport à ce que vous envoient habituellement vos contacts.
- Ne répondez jamais à une demande d’informations personnelles ou confidentielles (ex : code confidentiel et numéro de votre carte bancaire).
- N’ouvrez pas et ne transmettez pas à vos contacts de messages de types chaînes virales, appels à la solidarité, alertes, etc.

À noter : des mails (ou appels téléphoniques, d’ailleurs) usurpent régulièrement l’identité de certaines administrations. Sachez qu’aucune administration ou banque ne vous demandera jamais de leur confier vos coordonnées bancaires ou codes confidentiels. Si vous recevez un message de ce type, n’y donnez pas suite et alertez votre service informatique.

11. Téléchargez les programmes sur les sites officiels

Pour peu que vous disposiez des droits nécessaires sur votre poste informatique, si vous devez télécharger un programme, faites-le sur le site de l’éditeur officiel. Sans quoi, vous prendrez le risque de télécharger des programmes contenant des virus, ou des chevaux de Troie.

D’une manière générale, cette opération devrait plutôt être confiée au service informatique.

12. Rester vigilant lors de votre paiement en ligne

En principe, une entreprise aura peu recours au paiement en ligne. Mais si cela devait arriver, il lui faudrait vérifier que la plateforme de paiement est en format https et qu’un cadenas apparaît dans le navigateur.

Le système « 3D secure » est un outil supplémentaire de sécurité, qui permet de valider un achat distant par le biais d’un code obtenu par sms.

13. Séparer professionnel et personnel

Il est de plus en plus fréquent pour les collaborateurs d’une entreprise d’utiliser un équipement personnel (par exemple un ordinateur portable) pour un usage professionnel ou de ramener un ordinateur professionnel chez eux le soir.

Ces pratiques, bien que pertinentes dans des contextes de télétravail, ne sont pas sans risque en matière de sécurité des données.

Il faudra sans doute conseiller à vos collaborateurs de ne pas héberger de données professionnelles sur vos équipements personnels et de ne pas connecter de supports amovibles personnels (clés USB ou disque dure externe) sur un ordinateur de l’entreprise.

D’une manière générale, il faudra cloisonner au maximum (y compris sur le téléphone portable) afin de limiter les risques de vol de données ou de transmission de virus, par exemple.

Ce qu’il faut retenir

En matière de sûreté de votre entreprise, il en va du numérique comme du physique, en quelque sorte : au plus vous rendrez l’accès difficile, au plus vous découragerez les intrusions et malveillances. Rien ne sera jamais sécurisé à 100%, mais il serait dommage de subir une cyberattaque faute d’avoir fait preuve de prudence.

Source : Guide des bonnes pratiques de l’ANSSI.

Booster Numérique

Vous êtes une TPE de +3 ans et de -10 salariés ? Bénéficiez de notre Booster Numérique...