Il n’est pas nécessaire d’être une grande enseigne pour être la cible d’une cyberattaque. Bon nombre de TPE ont par exemple fait l’objet de la fameuse fraude au président. Voici quelques règles fondamentales pour limiter le risque d’attaque, surtout si la crise sanitaire a été l’occasion dans votre structure d’initier le télétravail ou le e-commerce. Passage en revue de 5 mesures simples et efficaces.
Mettre à jour les logiciels et les systèmes d'exploitation
Pourquoi ? Pour éviter - notamment - les botnets, c’est à dire des réseaux de PC zombies ou fantômes qui peuvent permettre divers types d’attaque. Certes si votre poste de travail fait partie d'un botnet, l'impact visible est minime, mais cela a pour signification qu’un cybercriminel a un pied dans le réseau de l'entreprise et qu'il peut à tout moment se décider à l'attaquer.
Appliquer de manière régulière et systématique les mises à jour de sécurité du système d'exploitation et des logiciels sur l'ensemble des appareils utilisés dans l'entreprise, y compris les objets connectés. Et vérifier au préalable que des mises à jour systématiques sont bien présentes.
Utiliser un Wi-Fi chiffré et bien situé
Par principe un réseau câblé est plus sûr du point de vue matériel que du sans fil ; mais la digitalisation favorise le sans-fil. En ce cas optez pour un wifi chiffré. A défaut, le risque encouru est celui de divulguer toutes les informations sensibles de votre société à tout cybercriminel qui intercepte les différents appareils utilisant ce Wi-Fi non chiffré. Et sans que vous en soyez informés bien évidemment. Si vos employés recourent au télétravail assurez-vous qu’ils utilisent un VPN et non pas un wifi non chiffré.
Mais sécuriser un réseau wifi professionnel, qui a donc pour objectif de fournir un accès sans fil à tous les ordinateurs de votre entreprise, ne se fait pas juste avec chiffrement WPA ou WPA 2. Il faut aussi porter attention au point d’accès. Première règle : éviter que des ordinateurs situés à l’extérieur de l’entreprise ne puissent se connecter au réseau, et donc restreindre l’accès au réseau aux seuls murs de l’entreprise. Placez votre point d’accès au cœur de l’entreprise, et non pas prêts des fenêtres et préférez plusieurs points d’accès à zone de couverture réduite plutôt qu’un seul à zone de couverture trop importante et pouvant dépasser l’enceinte de l’entreprise.
Mot de passe : complexité et changement
Concernant les mots de passe, pour accéder au wifi, aux logiciels, pour ouvrir les appareils, il convient d’adopter un double impératif : complexité et changement. Ci-après deux illustrations.
Le point d’accès wifi mentionné précédemment est administré par un logiciel d’exploitation présent dans l’interface utilisateur de votre navigateur habituel. L’accès à cette interface se fait grâce à un compte utilisateur pourvu d’un nom d’utilisateur standard et d’un mot de passe très simple : admin/admin ou encore 1234/1234. Tout compte administrateur doit être individualisé.
Autre exemple concernant les ordinateurs de bureau cette fois : 33% des TPE /PME changent les mots de passe de leurs ordinateurs de bureau peu régulièrement, soit entre tous les 6 et 12 mois, selon une enquête de la CPME publiée en janvier 2019. Or la règle qui prévaut en la matière est un changement tous les mois.
Les mots de passe des accès administrateurs mais aussi utilisateurs de tous les appareils doivent être personnels mais aussi suffisamment complexes, changés régulièrement et différents d’un outil à un autre en respectant quelques règles : un maximum de caractères possible, utiliser à la fois des lettres majuscules et minuscules, des chiffres et des caractères spéciaux, éviter des mots compréhensibles.
Recourir aux logiciels antivirus
Il s’agit là d’installer un antivirus fiable sur tout appareil qui traite les données importantes de l’entreprise. Les ordinateurs, mais aussi les tablettes et les smartphones. En veillant à traiter non pas seulement les appareils présents dans les locaux commerciaux ou professionnels mais bien tous les appareils ayant accès à un des systèmes de l’entreprise.
Pour ce faire, n’hésitez surtout pas à recourir aux antivirus gratuits, tout aussi performants que bien des versions payantes comme en atteste une étude.
BYOD et ramsonware : sensibiliser les employés
La plupart du temps, la faille est d’origine humaine. Voici deux recommandations. En premier lieu, si votre entreprise autorise le recours au BYOD soit la pratique qui consiste à utiliser ses équipements personnels dans un contexte professionnel, c’est dire le fait d’accéder via un appareil personnels à des logiciels professionnels, rappelez-leur de ne pas laisser cet ordinateur portable, tablette ou smartphone ouvert et sans surveillance dans des endroits publics ou dans des espaces de vie partagés et imposez l’usage du déverrouillage à code ou par empreinte.
En second lieu, sensibilisez vos employés au risque de ransomware, c’est-à-dire un logiciel informatique malveillant qui prend en otage les données en chiffrant et donc en bloquant les fichiers que contiennent un ordinateur et demande une rançon en échange d’une clé de déchiffrement. Certains logiciels ont de plus la capacité de verrouiller à distance l'écran d'ordinateur. Le plus souvent, ce logiciel est contracté via un fichier téléchargé ou reçu par email. D’où l’importance d’alerter vos employés sur le fait que connaitre son interlocuteur est aussi valable dans le virtuel !
Bon à savoir
Si pour gérer votre informatique, vous recourez à un prestataire, assurez-vous qu’il se conforme au Règlement Européen de Protection des Données Personnelles (RGPD) qui exige la mise en place d’une politique de protection de la vie privée. Une clause de confidentialité doit donc figurer dans les contrats de sous-traitance informatique avec les prestataires informatiques. Une exigence valable aussi avec les fournisseurs Cloud.
Articles associés
