De la TPE-PME au grand groupe, toute entreprise peut être aujourd’hui confrontée à la cybercriminalité. Développer une politique de sécurisation des systèmes d’information (SI) efficace est donc crucial. Cela commence par la formation aux « bonnes pratiques », qui sont peu coûteuses et faciles à mettre en œuvre.
Tout le SI, tu cartographieras
Avoir une vision globale et détaillée de son patrimoine informationnel est la première action à mener. Cela permet d’en identifier les vulnérabilités et autres surfaces d’attaque (adresses IP publiques, services cloud…) pour mieux les réduire et les protéger, et faciliter l’intervention de spécialistes en cybersécurité le cas échéant.
En pratique. Recensez tous les équipements (ordinateurs, mobiles, serveurs locaux et distants…), les logiciels utilisés, les données et les traitements de données (fichier client, informations comptables…), les accès (qui se connecte au SI et comment), et les interconnexions avec l’extérieur (points de contact entre le SI et Internet).
Correctement protégé, tu seras
Déployer un arsenal approprié et plus ou moins sophistiqué, en fonction de la taille et les besoins de l’organisation, permet de protéger le SI.
En pratique. Dotez vos équipements (ceux connectés en priorité) d’un antivirus professionnel, mais aussi d’outils complémentaires tels qu’un pare-feu associé à un filtrage web (proxy) ainsi qu’un réseau privé virtuel (VPN) à double authentification (idéalement). Si nécessaire, installez également diverses solutions dédiées – à la lutte contre le hameçonnage, à la sécurisation des transactions bancaires, etc.
Tous les accès, tu sécuriseras
Bien sécuriser les accès aux postes de travail (fixes et mobiles), au réseau interne, aux serveurs et aux sites Internet ainsi que les échanges avec d’autres organismes permet de limiter, et même d’éviter les risques d’intrusion.
En pratique. Sensibilisez les collaborateurs à l’utilisation de mots de passe robustes (difficiles à deviner ou à trouver à l’aide d’outils automatisés). Pour faciliter la gestion des noms d’utilisateur et des mots de passe, en cas de centralisation de plusieurs solutions logicielles notamment (messagerie, applications partagées, etc.), déployez un service d’authentification unifié (de type single sign-on, ou SSO). Et pour un maximum de sécurité, activez l’authentification à deux facteurs, voire multifactorielle (AMF), par jeton physique (carte à puce, token USB, etc.), par exemple.
Régulièrement les données, tu sauvegarderas
Effectuer des sauvegardes quotidiennes, hebdomadaires et/ou mensuelles selon le volume et la nature des données collectées permet une restauration plus rapide en cas de dysfonctionnement du SI ou d’attaque (par rançongiciel, ou ransomware, notamment).
En pratique. Identifiez les données à archiver (données sensibles, métiers, techniques…). Puis privilégiez un, voire plusieurs supports de sauvegarde (physiques et/ou dématérialisés) selon leur intégrité, leur viabilité et la pertinence du cryptage des données. Enfin, déterminez la fréquence des sauvegardes. N’oubliez pas de respecter la réglementation en vigueur relative à la protection des données dites « personnelles » (RGPD).
Aux mises à jour, tu procèderas
Mettre à jour les systèmes d’exploitation (Windows, macOS, Linux, Android, iOS…) et des logiciels dès la mise à disposition des correctifs de sécurité par leurs éditeurs permet d’empêcher les pirates informatiques de profiter de leurs failles pour pénétrer dans le SI.
En pratique. Activez les mises à jour automatiques, et utilisez des solutions matérielles et logicielles en usage (pas au-delà de leur cycle de vie). Exigez la même ligne de conduite des sous-traitants.
La messagerie, tu surveilleras
Former les utilisateurs à un usage sécurisé de la messagerie, principal vecteur d’infection des postes de travail, et mettre en place quelques outils idoines permet de préserver l’entreprise des virus et autres escroqueries répandues (hameçonnage – ou phishing, rançongiciel…).
En pratique. Sensibilisez les collaborateurs aux courriels frauduleux (par la vérification systématique de l’identité de l’expéditeur, de la cohérence du message, etc.). De plus, proscrivez l’ouverture automatique des documents téléchargés ainsi que la redirection de messages professionnels vers une messagerie personnelle. Prévenez la réception de fichiers infectés grâce à un antivirus adapté. Et chiffrez les communications (par l’application d’un protocole SSL/TLS, ou Secure Socket Layer/Transport Layer Security) entre les serveurs de messagerie et les postes de travail de sorte à garantir la confidentialité et l’intégrité des échanges.
Les usages informatiques, tu cloisonneras
Dissocier les usages professionnels en interne et interdire l’utilisation d’équipements professionnels dans un contexte personnel, et inversement, permet de réduire les risques d’exfiltration de données, d’intrusion, d’usurpation d’identité ou encore de détournement du SI avec une intention frauduleuse.
En pratique. Créez des comptes utilisateurs séparés et dotés de privilèges correspondant au profil métier, au niveau hiérarchique, au service, aux horaires ou encore à la nature du contrat. Interdisez les connexions directes entre les postes de travail. Et cloisonnez les activités digitales de l’entreprise à l’aide de dispositifs de filtrage physiques ou virtualisés (zone des serveurs internes, des serveurs connectés, des postes de travail, etc.). Au sein de l’organisation comme en dehors (à domicile, en mission…), exigez la séparation des usages professionnels et personnels.
Les utilisateurs, tu éduqueras
La cybersécurité est l’affaire de tous. Sensibiliser les utilisateurs aux bonnes pratiques permet d’en favoriser la compréhension et l’application.
En pratique. Rédigez une charte de sécurité et/ou une charte informatique annexée au règlement intérieur qui rappelle les règles de protection des données (et les sanctions encourues en cas de non-respect), les moyens d’authentification privilégiés par l’organisation, les modalités d’utilisation des outils informatiques et de communication (…). Accompagnez les collaborateurs par de la formation, des ateliers et des réunions, et responsabilisez-les (encouragez la déclaration d’incidents, notamment).
Les cyberattaques, tu anticiperas et déjoueras
Prévenir et savoir gérer les incidents permet de limiter les dégâts, d’intervenir rapidement et de renforcer la sécurité de l’entreprise.
En pratique. Faites de la veille, suivez l’actualité de la cybermalveillance (sur le site Cybermalveillance.gouv.fr, entre autres), et sachez quel(s) expert(s) contacter si besoin. Si possible, utilisez une solution de gestion des événements et des informations de sécurité (SIEM, ou Security Information and Event Management) pour profiter d’une visibilité totale sur l’activité du réseau et réagir aux menaces en temps réel. Prévoyez également un plan de reprise d’activité informatique (PRA), voire un plan de continuité d’activité (PCA) pour la remise en route du SI après un incident critique. Et n’oubliez pas de déposer plainte ni d’informer la Commission nationale de l’informatique et des libertés (Cnil) en cas de fuites de données personnelles.
Bien cyberassuré, tu seras
Être bien couvert en cas de cyberattaque permet de bénéficier d’une assistance juridique et d’être indemnisé selon les dommages et le préjudice subis (matériels, financiers, moraux…).
En pratique. Contactez votre compagnie d’assurance pour un accompagnement et une prise en charge sur mesure. Assurez-vous que les risques les plus grands pour la pérennité de l’entreprise sont couverts.
La cybersécurité : un enjeu collectif
Votre entreprise ne doit pas être la seule à respecter les règles essentielles à sa cybersécurité. Tous les membres de son écosystème, en particulier ceux qui gèrent et/ou ont accès à ses données, doivent les observer eux aussi. « En se protégeant – et, par capillarité, en protégeant leurs partenaires – les entreprises assurent leur pérennité et renforcent la confiance qui les lie à leurs parties prenantes. La cybersécurité représente donc un enjeu collectif majeur », affirment de conserve Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi), et Thomas Courbe, directeur de la Direction générale des entreprises (DGE) rattachée au ministère de l’Économie et des Finances, dans La cybersécurité pour les TPE/PME en 12 questions (publication de l’Anssi de février 2021).