Dix bonnes pratiques de cybersécurité à appliquer dans votre entreprise
Phishing, rançongiciels, malwares, attaques par déni de service… La liste des menaces auxquelles sont exposées les organisations est longue. Et leurs conséquences dramatiques : interruption d’activité, fuite de données, pertes financières, déficit d’image voire dépôt de bilan. Voici nos conseils, suivis en interne chez Absys Cyborg, pour renforcer la sécurité informatique.
11 octobre 2022
Cette phrase, vous l’avez sans doute déjà entendue. La question n’est plus de savoir si une entreprise sera attaquée, mais quand elle le sera. Et ce, quelle que soit sa taille. PME et ETI ne sont nullement à l’abri. Les hackers procèdent tout autant à des attaques très ciblées qu’à des « raids » massifs sur de nombreuses entités pour espérer faire un maximum de victimes. Impossible de ne pas considérer le risque cyber comme une priorité absolue.
1. Privilégier un hébergement dans le Cloud
Lorsque l’on peut externaliser des applications dans le Cloud, mieux vaut le faire. Les éditeurs comme les hébergeurs mettent les grands moyens sur la sécurité et les mises à jour. Une charge de moins pour votre entreprise ! Vérifiez cependant que vos sauvegardes sont bel et bien réalisées contractuellement.
2. Réaliser les mises à jour logiciels
Pour les entreprises qui seraient totalement “On Premises” ou qui conserveraient des logiciels en local, ne faites pas l’impasse sur les mises à jour. Au risque de laisser des failles de sécurité non corrigées. Si cela vous paraît évident, sachez que beaucoup ne le font pas… Dans la même logique, appliquez des scans de sécurité en temps réel pour identifier des vulnérabilités éventuelles.
3. Détenir des sauvegardes sur bande
Les sauvegardes sur bande ou « à froid » reviennent en force. Et pour cause, inaccessibles par le réseau, elles évitent à vos données d’être corrompues. Amazon Glacier ou Azure Backup constituent également des solutions de stockage des sauvegardes. Le but : disposer de copies de ses données pour reprendre l’activité après une attaque.
4. Mettre en place une politique de mots de passe robuste
Première étape : centralisez l’authentification des utilisateurs dans un annuaire global. Si une anomalie est détectée, l’accès peut être plus facilement désactivé par l’administrateur sur l’ensemble des applications utilisées par un collaborateur. Ensuite, privilégiez l’authentification multifacteur (MFA) sur un deuxième terminal, comme le smartphone. Laisser reposer la sécurité sur un seul login, ne suffit plus. La MFA est devenue un prérequis essentiel en entreprise. Conseillez également aux utilisateurs d’avoir des mots de passe différents pour leurs usages personnels et professionnels.
5. Chiffrer les disques durs des ordinateurs
Pour cela, vous pouvez utiliser des logiciels qui chiffrent les disques durs en temps réel. En cas de perte ou de vol de l’ordinateur, ses données ne seront pas lisibles sans la clé de chiffrement. Idem pour les clés USB.
6. Réaliser contrôles et tests réguliers
Chez Absys Cyborg, nous questionnons régulièrement nos processus de sécurité avec des tests de pénétration et des vérifications des procédures de restauration des données. Vous pouvez faire appel à des sociétés externes spécialisées dans ces audits. Elles emploient généralement d’anciens hackers qui vont tenter d’accéder à vos applications, de progresser dans votre système d’information, d’en détourner le fonctionnement. Toujours riche d’enseignements… Les sources de vulnérabilités sont clairement identifiées et vous disposez d’une feuille de route détaillée pour renforcer votre sécurité.
7. Sensibiliser et former les équipes
On ne le dira jamais assez, le maillon faible demeure l’humain. En entreprise, nous sommes tous acteurs de la cybersécurité. Au programme : expliquer les méthodes d’attaque et les points de vigilance concernant les mails, sensibiliser régulièrement (par exemple par l’intranet), proposer des sessions de e-learning, profiter de séminaires ou réunions pour passer (et repasser) les messages de sécurité.
8. Limiter les droits d’accès au strict nécessaire
Remettez à plat la gestion des droits d’accès à l’échelle de l’entreprise. Par exemple, réservez aux seuls administrateurs les droits d’administrateur. L’accès laissé à un simple utilisateur qui n’en a pas besoin offre une porte d’entrée pour les attaquants vers vos serveurs ou vos applications. Le DG ou le DAF, qui sont des cibles privilégiées, doivent-ils nécessairement détenir des accès administrateurs ?
9. Allouer des ressources
La sécurité est un combat quotidien qui mérite des moyens tant les vecteurs de cyberattaques sont nombreux. Certaines PME et ETI n’ont parfois qu’un seul responsable informatique ou un DSI en temps partagé. Ne serait-il pas nécessaire de mettre des ressources supplémentaires consacrées à la sécurité informatique ? Quand on connaît les pertes d’exploitation consécutives à une cyberattaque, il n’est pas inutile de se poser la question...
10. Se préparer à réagir à une attaque
Malgré tous les efforts entrepris, il faut savoir rester humble : le risque zéro n’existe pas. Si vous êtes dépourvu d’un plan de reprise d’activité (PRA), l’anticipation s’impose. Définissez en amont la conduite à tenir en gestion de crise. Comment continuer de communiquer si la messagerie est bloquée ? Comment garder le contact avec clients et partenaires ? Par ailleurs, ayez les coordonnées d’entreprises spécialisées à solliciter dans l’urgence. Elles isoleront plus rapidement l’attaque et faciliteront la reprise.
En espérant bien évidemment que vous n’en ayez jamais besoin.