Un environnement de plus en plus dangereux
Dans un contexte de numérisation croissante et de recours massif à des services à distance depuis le début de la crise sanitaire, les Cyberattaques ont été multipliées par 4 en 2020 (source BPI France). Ce phénomène touche tout type d’entreprise et est visible à l’échelle nationale. Le Maine-et-Loire n’a pas été épargné puisque les cyberattaques contre des entreprises et des services publics se sont multipliées ces derniers mois (Groupe SIPA Ouest, ville d’Angers, Clinique de l’Anjou…).
Toutes les entreprises, y compris les PME, doivent se prémunir des menaces susceptibles de ralentir leur activité ou porter intégrité à leurs ressources et à leurs données les plus précieuses. Votre infrastructure informatique est la première porte d’entrée aux intrusions ou erreurs pouvant mettre en péril votre société : vol de données, demandes de rançon, atteinte à l’image ou sabotage… sont autant de risques qui pèsent sur les entreprises, avec des conséquences souvent graves, parfois irréversibles. Cette réalité peut encore sembler abstraite, très technique, complexe et coûteuse pour les entreprises, notamment les plus petites, si bien qu’elles ne se préparent pas toujours suffisamment.
Pourtant, les structures de taille petite, moyenne et intermédiaire sont particulièrement à risque : en l’absence de dispositifs de protection, elles sont une cible de choix pour les acteurs malveillants qui optimisent leurs gains en attaquant les plus vulnérables.
Des solutions simples et peu couteuses
Il y a pourtant une bonne nouvelle : l’application de quelques bonnes pratiques permet déjà de réduire très significativement le risque. En mettant en place des mesures simples mais essentielles, vous pourrez protéger votre entreprise contre de nombreuses cybermenaces et considérablement limiter les dégâts en cas d’attaque de haut niveau.
Postulat de base
Faisons un parallèle avec les moyens mis en œuvre pour protéger l’accès à votre domicile, supposons que toutes vos portes soient équipées de plusieurs verrous, vous avez installé des caméras de surveillance, supervisées en permanence par une société de sécurité. Mais vous avez laissé les clés sur la porte d’entrée de votre habitation, et vous avez oublié d’activer votre système de surveillance. Dans ce cas, toutes les précautions mises en place ne servent à rien.
Il en va de même pour votre bureau. Si vous laissez votre ordinateur allumé sans surveillance lorsque vous vous absentez, la liste de vos mots de passe saisis sur un post-it collé sur votre écran, toutes les mesures de protection sécurisant l’accès à vos données ne servent à rien.
On a coutume de dire qu’en matière de sécurité informatique, c’est l’humain qui est la faille.
Quelles sont les bonnes pratiques en terme de sécurité Informatique ?
Protéger l’accès à votre ordinateur
Avoir un système d’exploitation et des logiciels à jour : navigateur, antivirus, bureautique. La plupart des attaques tentent d’utiliser les failles d’un ordinateur (failles du système d’exploitation ou des logiciels). En général, les agresseurs recherchent les ordinateurs dont les logiciels n’ont pas été mis à jour afin d’utiliser la faille non corrigée et ainsi parviennent à s’y introduire. C’est pourquoi il est fondamental de mettre à jour tous ses logiciels afin de corriger ces failles.
Protéger l’accès à vos données
Utiliser des mots de passe de qualité. Le dictionnaire définit un mot de passe «comme une formule convenue destinée à se faire reconnaître comme ami, à se faire ouvrir un passage gardé». Le mot de passe informatique permet d’accéder à l’ordinateur et aux données qu’il contient. Il est donc essentiel de savoir choisir des mots de passe de qualité, c’est-à-dire difficile à retrouver à l’aide d’outils automatisés et difficile à deviner par une tierce personne.
Sécuriser votre navigation sur Internet
Ne pas cliquer trop vite sur des liens. Une des attaques classiques visant à tromper l’internaute pour lui voler des informations personnelles, consiste à l’inciter à cliquer sur un lien placé dans un message. Ce lien peut être trompeur et malveillant. Plutôt que de cliquer sur celui-ci, il vaut mieux saisir soi-même l’adresse du site dans la barre d’adresse du navigateur. De nombreux problèmes seront ainsi évités.
La messagerie : la voie royale de l’intrusion
Soyez vigilant avant d’ouvrir des pièces jointes à un courriel : elles colportent souvent des codes malveillants. Une des méthodes les plus efficaces pour diffuser des codes malveillants est d’utiliser des fichiers joints aux courriels. Pour se protéger, ne jamais ouvrir les pièces jointes dont les extensions sont les suivantes : .pif (comme une pièce jointe appelée photos.pif) ; .com ; .bat ; .exe ; .vbs ; .lnk. À l’inverse, quand vous envoyez des fichiers en pièces jointes à des courriels, privilégiez l’envoi de pièces jointes au format le plus « inerte » possible, comme PDF par exemple. Cela limite les risques de fuites d’informations.
Ne pas communiquer vos informations personnelles
Contrôler la diffusion d’informations personnelles. L’Internet n’est pas le lieu de l’anonymat et les informations que l’on y laisse échappent instantanément ! Dans ce contexte, une bonne pratique consiste à ne jamais laisser de données personnelles dans des forums, à ne jamais saisir de coordonnées personnelles et sensibles (comme des coordonnées bancaires) sur des sites qui n’offrent pas toutes les garanties requises. Dans le doute, mieux vaut s’abstenir…
Communiquer avec les personnes que vous connaissez
Soyez prudent : l’Internet est une rue peuplée d’inconnus ! Il faut rester vigilant. Si par exemple un correspondant bien connu et avec qui l’on échange régulièrement du courrier en français, fait parvenir un message avec un titre en anglais (ou toute autre langue) il convient de ne pas l’ouvrir. En cas de doute, il est toujours possible de confirmer le message en téléphonant. D’une façon générale, il ne faut pas faire confiance machinalement au nom de l’expéditeur qui apparaît dans le message et ne jamais répondre à un inconnu sans un minimum de précaution.
Sauvegarder vos données
Effectuer des sauvegardes régulières. Un des premiers principes de défense est de conserver une copie de ses données afin de pouvoir réagir à une attaque ou un dysfonctionnement. La sauvegarde de ses données est une condition de la continuité de votre activité.
