La sécurité n’est plus une option. Elle doit être au cœur des enjeux de votre entreprise numérique. Quelque soit sa taille, une entreprise peut être confrontée aujourd’hui à la cybercriminalité. Arnaques, ransomwares, phishing… tout acte malveillant ou d’espionnage peut nuire et impacter durablement l’entreprise. Cependant, les politiques de sécurisation des systèmes d’information peuvent être coûteuses et demandent des ressources et des compétences spécifiques… Néanmoins, il existe des mesures essentielles qui peuvent être applicables rapidement et à moindre coût. Voici un petit panorama de 10 actions cyber essentielles pour sécuriser votre TPE. A mettre en place dès maintenant !
Les 10 actions cyber essentielles 1 – Sensibiliser l’équipe aux bonnes pratiques de sécurité informatique
Iris est une commerciale. Elle souhaite utiliser un nouveau logiciel de CRM. Ainsi Elle décide de chercher la version du logiciel sur internet et de le télécharger via une plateforme trouvée au hasard. Sans le savoir, elle a installé un cheval de Troie. Cela permet à des cybercriminels de prendre le contrôle à distance de sa machine. Notamment pour espionner les actions réalisées sur son ordinateur.
Chaque personne de votre entreprise doit obligatoirement être sensibilisée aux enjeux de sécurité, aux règles à respecter et notamment aux bons comportements à adopter en matière de sécurité. Cela peut passer par des documents pédagogiques, des formations en présentiel, des modules e-learning… Iris aurait du savoir qu’elle devait passer obligatoirement par les sites officiels des éditeurs pour télécharger son nouveau logiciel.
Les 10 actions cyber essentielles 2 – Définir des règles de choix et de dimensionnement des mots de passe
Philippe, utilise plusieurs outils en ligne pour l’occupation de ses fonctions de directeur financier. Il choisit un mot de passe avec des minuscules, des majuscules et des chiffres : le nom de l’entreprise ainsi que l’année en cours. Il pense que ce mot de passe est suffisamment fort et l’utilise sur chacun de ses outils et sa messagerie…
Facilement reconstituable, le cybercriminel a pu accéder aux comptes de l’entreprise et à l’intégralité des outils utilisés par la direction financière de l’entreprise.
Le mot de passe est un outil d’authentification qui permet de protéger vos informations sensibles. Il est donc nécessaire d’imposer des règles de mots de passe à votre équipe . C’est à dire, 12 caractères de type différent, un mot de passe unique pour chaque service sensible, conserver des mots de passe dans des outils spécifiquement prévus à cet effet (et pas sur des post it !)…
Le mot de passe est un outil d’authentification qui permet de protéger vos informations sensibles.
Les 10 actions cyber essentielles 3 – Utiliser uniquement le matériel à usage professionnel
Cyril, responsable commercial, travaille sur un important projet depuis des mois. Il a pris l’habitude de travailler de chez lui avec son ordinateur personnel. Un week end, alors attablé dans un café à travailler, une personne lui demande si elle peut utiliser son ordinateur le temps de faire quelques recherches. Cyril ne se méfie pas. L’inconnu lui volera toutes ses données pour le devancer sur l’appel d’offres en cours.
Les outils à usage personnel possèdent de larges failles de sécurité : ils sont facilement accessibles et piratables. Le vol d’informations sensibles est un risque important. C’est pour cela qu’il est toujours important de séparer les usages personnels et professionnels et d’utiliser uniquement le matériel professionnel.
Les 10 actions cyber essentielles 4 – Organiser des procédures d’arrivée et de départ des utilisateurs
Anthony après une période d’essai qu’il pensait concluante, ne se fait pas engager dans la société qu’il avait intégrée deux mois auparavant. Le lendemain, il accède à son ancien compte de messagerie et copie tous les dossiers clients. Il s’en servira pour intégrer une nouvelle structure.
Les effectifs d’une entreprise évoluent sans cesse. Il est donc nécessaire d’avoir des procédures d’arrivée et de départ claires, avec des droits affectés à l’arrivée et retirés au moment du départ.
Les 10 actions cyber essentielles 5 – Identifier les informations les plus sensibles pour mieux les protéger
Claire, une stagiaire fraîchement arrivée dans l’entreprise, doit remettre un peu d’ordre dans certains dossiers de l’intranet des ressources humaines. Par mégarde, elle supprime des contrats de travail de certains salariés.
Chaque entreprise possède des données sensibles (données personnelles, contrats, propriété intellectuelle). Ainsi, pour pouvoir bien les protéger, il est indispensable de les identifier et de les localiser. Elles devront faire l’objet de mesures spécifiques comme une sauvegarde régulière et automatique ou des droits d’accès restreints.
Les 10 actions cyber essentielles 6 – Effectuer régulièrement des sauvegardes
Suite à un vol de son ordinateur personnel, Sébastien perd l’intégralité des documents sur lesquels il était en train de travailler pour son projet client. Il n’avait pas effectué de sauvegarde.
Pour la sécurité de vos données, effectuer des sauvegardes régulières est un geste élémentaire. Vous pouvez utiliser des supports externes. Ou privilégier des sites de stockage, le cloud. Cependant, ces sites peuvent être aussi la cible de cybercriminels. Il faut donc s’assurer que les solutions que vous choisissez vous garantissent la confidentialité, la disponibilité et l’intégrité de vos données.
Pour la sécurité de vos données, effectuer des sauvegardes régulières est un geste élémentaire.
7 – Remettre à jour régulièrement vos logiciels
Ahmad, directeur commercial, utilise un logiciel qui n’est plus à jour depuis un an. Ayant ouvert un mail infecté, Ahmad donne sans le vouloir la possibilité à des cybercriminels d’exploiter les vulnérabilités logicielles pour espionner l’entreprise.
L’utilisation d’un logiciel obsolète augmente considérablement les possibilités d’attaques informatiques. De plus, des outils malveillants peuvent exploiter les vulnérabilités détectées. Pour s’assurer de la sécurité, vous pouvez donc configurez vos logiciels afin d’installer automatiquement les mises à jour de sécurité.
8 – Sécuriser la connexion des postes en télétravail
Avec le télétravail qui s’est normalisé pendant les confinements, vos collaborateurs doivent pouvoir accéder à votre système d’information de leur domicile en toute sécurité. Pour garantir un niveau de sécurité optimal, vous pouvez mettre en place un VPN, avec des authentifications fortes, chiffrer les données sensibles, empêcher les nouvelles installations et notamment limiter l’accès aux applications.
9 – Sécuriser l’accès wi-fi
Mathieu, commerçant, a laissé tel quel son code WIFI depuis son installation. Un pirate a pu déchiffrer facilement le chiffrement WEP mis en place par le fournisseur d’accès. De plus, il a pu utiliser cette connexion pour mener des attaques malveillantes. Mathieu se retrouve au cœur d’une enquête policière.
De plus, le Wi-Fi est aujourd’hui très utilisé dans le domaine professionnel. Par conséquent il existe quelques risques qu’il faut prendre en compte. Vous n’avez pas de maitrise de la zone de couverture pouvant mener à une attaque hors du périmètre géographique de votre entreprise, les points d’accès sont peu sécurisés, votre connexion WIFI peut être utilisée à des fins malveillantes… En prévention, vous pouvez protéger le réseau avec un mot de passe complexe. Renouvelé celui-ci régulièrement et interdire l’accès à des tiers non autorisés par votre entreprise.
10 – Protéger sa messagerie professionnelle
Suite à la réception d’un email qu’elle pensait envoyé par un fournisseur, Mathilde, dirigeante de TPE, clique sur une pièce jointe. De même, tous ses fichiers deviennent chiffrés et une rançon lui est demandée.
Les mails jouent donc un rôle central dans les attaques informatiques. Il est important de confirmer l’authenticité du message et de l’expéditeur avant de faire une quelconque action. Ainsi vous pouvez mettre en place un antivirus en amont des boites mail qui vous préviendra de la réception de fichiers infectés. Et surtout n’hésitez pas à sensibiliser vos collaborateurs sur ces enjeux !
Les mails jouent un rôle central dans les attaques informatiques.
Si vous souhaitez aller plus loin, n’hésitez pas à consulter le guide d’hygiène informatique créé par l’ANSSI qui propose 42 mesures pour sécuriser votre système d’information.
Ou contactez-nous pour vous aider à mettre en place la certification ISO 27001 qui vous permettra d’avoir une politique de sécurité structurée et efficace.
Contactez-nous
Des projets ? Des questions ? N'hésitez pas à nous contacter !
