Dans une étude effectuée en 2014 par Linkeo, 67% des PME déclaraient utiliser le web comme principal levier de croissance. Pourtant, une étude d’IPSOS en 2015 a montré qu’une sur 2 n’était pas équipée de solution de cyberdéfense, en raison du coût de ces dispositifs. Pas suffisamment protégées, les PME constituent souvent une cible privilégiée des pirates : 43% des attaques en 2015 ont visé des PME selon l’Internet Threat Report 2015 publié par Symantec.
Malgré des enjeux colossaux autour de la récupération de données, les PME n’ont pas toujours les moyens de s’entourer d’une fonction support spécialisée dans ce domaine et privilégient d’autres investissements. Pourtant cette même étude réalisée par IPSOS a démontré que le budget qu’il faudrait consacrer à la protection informatique n’est rien, au regard de ce que coûte, en réparation, une violation du système informatique d’une entreprise… La protection informatique constituerait donc un investissement rentable, au même titre que d’autres investissements de développement au sein de l’entreprise.
A l’heure où les cyberattaques d’ampleur font régulièrement la une des médias au point de paralyser de grandes entreprises comme Renault, nous avons pensé qu’un rappel de quelques règles de bases ne serait pas du luxe !
Maîtriser son parc machine
La 1ère des choses à faire est de s’assurer de la fiabilité de ses équipements.
- Proposer un parc machine homogène : tout le monde est équipé du même matériel. En multipliant les systèmes d’exploitation et les particularités, vous multipliez aussi les risques de failles dans le système.
- Tous vos appareils doivent être mis à jour : même si elles paraissent pénibles, la plupart des mises à jour portent le plus souvent sur la correction de failles de sécurité.
- Chaque appareil doit être protégé : par des mots de passe efficaces, bien sûr, mais aussi par un logiciel antivirus / antimalware et un paramétrage efficace des firewalls.
- Sur tous les appareils, il convient d’être vigilant aux choix des logiciels et applications : opter pour des logiciels officiels, souscrits auprès des plateformes officielles et sous licences. Outre l’aspect légal, le téléchargement sur des plateformes non sécurisées, vous expose aussi au risque d’installer des logiciels malveillants.
- Pour chaque appareil, il est indispensable de maîtriser le paramétrage et l’exécution des logiciels, applications et supports externes.
- S’assurer de la surveillance des systèmes de chaque appareil : vérifier régulièrement les journaux d’événements, afin d’identifier les éventuelles connexions inhabituelles, les transferts de données suspects…
Sécuriser les échanges de données
Outre les machines, la sécurisation des échanges de données est un axe primordial pour veiller à la sécurité informatique de votre entreprise.
- Mettre en place un logiciel de chiffrement pour chiffrer vos données et vos échanges d’information.
- Le Wifi est un potentiel ennemi : s’ils sont mal configurés, les réseaux wifi constituent une véritable invitation aux hackers ! Prévoir aussi des accès clients / invités séparés du réseau des collaborateurs.
- Tous les points d’accès internet de l’entreprise doivent être sécurisés. Plusieurs solutions sont envisageables selon les problématiques comme l’usage d’un VPN ou d’un proxy.
- Sécuriser les messageries constitue un incontournable. Point d’entrée privilégié des virus, malwares et autres spywares, vos messageries doivent être sécurisées grâce à des outils (chiffrement, sécurisation des échanges avec les serveurs de messagerie) mais cela passe aussi par vos collaborateurs. Fixez et rappelez les règles d’utilisation de la messagerie.
- Mettre en cohérence l’identité de l’expéditeur et le contenu du message.
- Toujours vérifier l’adresse de mail de l’expéditeur et pas uniquement le nom qui s‘affiche
- Ne pas ouvrir de mails de personnes non connues,
- Vérifier les pièce-jointes à l’aide de l’anti-virus,
- Vérifier les adresses des liens avant de cliquer dessus
- Désactiver l’ouverture automatique des documents téléchargés, toujours les analyser avant de les ouvrir.
- Autre point sensible, le paiement en ligne constitue aussi un risque potentiel pour les entreprises. Charge à vos collaborateurs de s’assurer que le serveur de paiement est bien sécurisé avant paiement : cadenas dans la barre de navigation et https au début de l’url. Votre banque peut aussi proposer des solutions complémentaires pour sécuriser vos paiements en ligne : la vérification systématique par sms, par exemple.
Attention aux déplacements
Toujours sensibles en matières de cybersécurité, les déplacements doivent aussi être encadrés car ils présentent un risque accru de vol d’appareil et/ou de données.
- Marquer vos appareils pour qu’ils ne soient pas confondus avec d’autres.
- En aucun cas, le collaborateur ne peut et ne doit se séparer de son matériel ou le prêter, même pour dépanner quelqu’un. Si l’appareil contient vraiment des données sensibles et que le collaborateur doit en être séparé durant le voyage : mettre en œuvre des consignes strictes (enlever la batterie, la carte sim etc)
- S’assurer qu’aucun mot de passe n’est pré-enregistré sur les appareils.
- Les fonctions Wifi et Bluetooth doivent être désactivées quand elles ne sont pas utilisées.
- Equiper les appareils de filtres protecteurs pour les écrans afin d’éviter les regards indiscrets.
- Eviter d’échanger des données en cas de navigation via un réseau wifi public.
Fixer des règles et sensibiliser les collaborateurs
En tant que responsable, il est de votre ressort de vous assurer que vos collaborateurs sont bien sensibilisés à la problématique de la sécurité informatique. Mettre en place une personne ressource et des moyens techniques constituent des avantages indéniables, mais la plus grande faille de sécurité restera toujours l’humain.
Pour maîtriser ce facteur, il est indispensable de mettre en place des règles, chartes d’utilisation ou même des formations, si nécessaire, afin de vous assurer que chacun agit correctement à son niveau.
Une politique d’entreprise doit être proposée aux collaborateurs : mots de passe, connexions, échanges et sauvegardes de données, tous les champs doivent être couverts. Les consignes doivent être claires et formulées pour garantir à la fois les libertés de chacun mais aussi la protection de l’entreprise et donc le bien de tous.
Difficile d’empêcher le surf sur le web, par exemple, mais rien n’empêche sensibiliser à de bonnes pratiques, de demander de séparer les usages professionnels et personnels et de s’assurer du chiffrement et du filtrage des données, c’est même votre devoir en tant que chef d’entreprise.
Protéger votre réseau informatique, c’est protéger l’ensemble de l’activité de votre entreprise. En adoptant ces règles de bases, vous vous assurez votre pérennité. Il existe de nombreuses solutions pour accompagner les PME dans la mises en œuvre de ces règles auprès des collaborateurs. Plusieurs acteurs spécialisés commencent d’ailleurs à s’emparer du sujet, à l’image de la CPME et l’ANSSI qui ont créé un guide de bonnes pratiques, par exemple. N’hésitez pas à interroger ces organismes spécialisés, comme la CNIL ou l’ANSSI, qui pourront vous accompagner et vous orienter selon vos problématiques.