Quelle que soit sa taille, aucune entreprise ne peut se prévaloir d’être à l’abri d’une cyberattaque. Face à ce phénomène en pleine expansion et qui peut s’avérer dramatique pour une TPE/PME, des précautions comportementales et technologiques peuvent être mises en place pour prévenir les actes de malveillance.
Vol ou destruction de données, déni de service, escroqueries financières, espionnage industriel… autant d’attaques dont les entreprises sont de plus en plus victimes et dont les conséquences peuvent être dramatiques.
Bien souvent propagée de façon aléatoire, cette cybercriminalité galopante n’épargne aucune entreprise. Et si toutes les sociétés sont concernées, de nombreuses PME rechignent à déployer une politique de sécurité informatique, estimant que ce n’est qu’un centre de coût. Or les incidents perpétués peuvent conduire l’entreprise à de lourdes pertes économiques, à la dégradation de son image et à la réduction de ses parts de marché.
Il est donc essentiel de mettre en œuvre une politique de sécurité IT sans pour autant engager des investissements colossaux. Voici 10 règles de bonne conduite pour une politique de sécurité IT efficiente.
1 – Sensibiliser les collaborateurs
L’humain est le talon d’Achille de la sécurité informatique. Mots de passe simplistes et utilisés pour tous les comptes et adresses e-mail, ouverture de pièces jointes provenant d’expéditeurs inconnus, diffusion sur les réseaux sociaux d’informations confidentielles sur l’entreprise ou infection du SI par un virus introduit par un appareil personnel utilisé dans le cadre de la vie professionnelle, l’origine de la cybercriminalité est diverse et souvent véhiculée par les collaborateurs eux-mêmes.
Il est donc primordial de les sensibiliser à toutes ces formes d’intrusions de virus et autres malveillances et de les informer sur les démarches à suivre en cas de perte ou de vol de matériel type smartphone, tablette et ordinateur portable. L’entreprise doit responsabiliser ses collaborateurs en les informant sur les conséquences encourues par l’entreprise en cas de vulnérabilité de son SI. La sécurité IT de l’entreprise est l’affaire de tous ses collaborateurs.
2 – Définir le plan de sécurité
Avant même d’entamer le déploiement des outils de sécurité, il est essentiel de faire un état des lieux des matériels et du réseau informatique de l’entreprise. Quels sont les données et les applicatifs sensibles de l’entreprise ? Où sont-ils hébergés ? Qui et comment y accède-t-on ? Comment se font les sauvegardes ? Quelles sont les solutions de sécurité IT déployées ? Cet état des lieux achevé, il faut définir la façon dont on va protéger le SI et établir la procédure à suivre en cas d’incident.
3 – Contrôler les accès internet et le WiFi
Chaque accès internet est un point d’entrée pour les hackers. Il est donc pertinent de limiter le nombre d’accès en privilégiant l’utilisation d’un réseau sécurisé privé (VPN) avec un point unique d’échange sécurisé pour toute l’entreprise. Par ailleurs, pour bloquer certaines connexions entrantes et sortantes, il est important de bien choisir son antivirus et son pare-feu.
Le WiFi accentue la probabilité des intrusions dans le SI de l’entreprise. Pour éviter cette situation, il peut être pertinent soit de déployer un réseau filaire à la place du WiFi, soit de protéger le réseau WiFi par un de ses standards de sécurité comme WPA2 (et une clé suffisamment complexe) et WPA Enterprise.
4 – Maintenir les équipements informatiques à jour
Ce qui caractérise la cybercriminalité c’est son évolution permanente. En effet, les hackers débordent d’imagination pour trouver de nouvelles techniques d’attaque. Les failles de sécurité étant généralement corrigées dans les mises à jour des outils (pare-feu et antivirus), il est indispensable de maintenir toutes ses installations informatiques (applicatifs, systèmes d’exploitation, etc.) même si cette opération peut parfois paraître chronophage.
5 – Gérer les terminaux mobiles
Alors que de plus en plus de collaborateurs travaillent à distance depuis des terminaux mobiles (tablettes, notebooks, smartphones) personnels ou professionnels, les PME voient leur gestion de leur sécurité IT se complexifier. Comment gérer la sécurité de tous ces terminaux hétérogènes ? L’une des solutions peut être de déployer une plateforme de gestion des terminaux mobiles pour centraliser les applicatifs, les outils de sécurité et toutes leurs mises à jour. Cette solution permet d’homogénéiser et de mieux maitriser l’ensemble du parc mobile.
Par ailleurs, il est important de prendre en compte les éventuels cas de pertes ou de vols de ces appareils, phénomène hélas très courant. Pour éviter de s’exposer à la fuite de données, l’entreprise doit être capable d’activer ou désactiver très rapidement les accès sur les terminaux mobiles, de chiffrer leur contenu et d’effacer à distance toutes les informations sensibles.
6 – Maitriser les données hébergées dans le Cloud public
Les collaborateurs ont de plus en plus tendance à héberger leurs données professionnelles dans le Cloud public. Les informations de l’entreprise circulent alors sur des serveurs dont on ignore le lieu d’hébergement. L’entreprise n’a donc aucune garantie sur le respect de la confidentialité de ses données. Les collaborateurs, qui bien souvent utilisent ces hébergements à des fins personnelles, doivent être sensibilisés sur les risques encourus par l’entreprise.
7 – Gérer les sauvegardes
En cas de défaillance du SI, la sauvegarde des données préserve l’activité de la PME. Être toujours capable de restaurer les données professionnelles sur des serveurs comme sur des postes de travail est aussi la protection la plus efficace contre les logiciels malveillants de type « ransomware ». L’entreprise pourra, en effet, poursuivre son activité en récupérant les données stockées et mises à jour régulièrement sur des serveurs ou dans le Cloud. Plus le volume de données et le nombre d’utilisateurs sont importants, plus la vitesse de sauvegarde doit être rapide et le système automatisé.
8 – Maîtriser le niveau de sécurité des applications
Les données et les activités des entreprises sont de plus en plus confiées à des applications ou des logiciels développés par l’entreprise, par des prestataires, des éditeurs ou des professionnels de l’open source. Ces applications sont, en matière de sécurité, l’un des maillons faibles des systèmes d’information. En effet, il est souvent très simple pour un pirate d’exploiter les failles de ces applicatifs et de voler des données sensibles ou de prendre le contrôle des serveurs à des fins d’activités illicites. Sensibilisation, formation, outillage et audits de sécurité sont autant d’outils à déployer pour sécuriser les applicatifs.
9 – Visibilité et capacité d’investigation
Selon plusieurs études, les attaques perpétrées dans le SI peuvent passer inaperçues pendant plusieurs mois. Il est donc fondamental de centraliser et d’activer les journaux de tous les dispositifs et applicatifs du SI et d’en assurer la disponibilité et l’intégrité. Un tel dispositif permet d’avoir une bonne visibilité du SI et de réagir en cas d’attaque.
10 – Gérer une attaque
Gérer une attaque nécessite d’anticiper les réactions en vue du jour où elle va se produire. Il est donc important de définir les processus et les procédures à suivre et les rôles des personnes de chaque département. Ces procédures permettent de classifier une attaque, de limiter les dommages, d’alerter les autorités, de procéder à l’investigation et de reprendre les activités de l’entreprise en toute sécurité.
