Par chance, vous n’avez pas vraiment été attaqué en 2019, juste quelques mails de phishing et des coups de fil étranges de gens s’intéressant d’un peu trop près à votre activité. Rien de bien grave, pensez-vous. Pourtant, autour de vous, l’année passée n’aura pas été facile : des partenaires en affaires ciblés par un ransomware, des tentatives parfois réussies de fraude au président ou au fournisseur, des fuites de données clients… Les actualités cyber sont également toujours plus déprimantes et montrent que toutes les organisations sont visées, quelle que soit leur taille ou leur secteur d’activité. Vous sentez confusément que l’étau se resserre et que 2020 pourrait être votre « annus horribilis » de la cybersécurité. Oui, mais que faire contre ça ? Commencez par prendre une bonne résolution et à l’appliquer au plus vite : corriger les failles flagrantes de votre sécurité. Car dans la sécurité informatique des entreprises et associations, quelques erreurs simples sont à éviter absolument pour ne pas attirer l’attention des pirates.
1ère erreur : Ne pas se sentir concerné par la cybercriminalité
Les pirates s’attaquent maintenant à toutes les organisations et à tous les secteurs d’activité. Auto-entrepreneurs, TPE-PME, multinationales, associations, collectivités publiques : personne n’est à l’abri d’une cyberattaque. Se dire : « Mon activité ne peut pas intéresser un criminel » ou « Ça n’arrive qu’aux autres » est en réalité l’erreur n°1 de tous ceux qui se sont fait attaquer avec succès. Les grandes entreprises françaises en ont bien pris conscience, au point de mettre pour la première fois la cybercriminalité en tête des risques dans le baromètre 2020 de l’assureur Allianz (en anglais). Il faut aussi que les organisations plus petites comprennent que c’est également leur risque n°1 aujourd’hui : elles ne se relèveraient pas d’une attaque massive mettant leur informatique hors service, leur faisant perdre la confiance de leurs clients, détruisant aussi leur image en cas de fuite de données.
Sur ce thème, l’article d’Oppens sur les mythes de la cybersécurité en entreprise pourrait vous intéresser aussi…
2ème erreur : Ne pas gérer les mots de passe de l’entreprise
Les mots de passe sont la première barrière contre les pirates. Malheureusement, en laissant vos collaborateurs les choisir en toute liberté et les répéter sur toutes les applications, vous laissez la barrière grande ouverte… L’être humain étant en effet plutôt paresseux, il simplifie toujours ce qui est vu comme une contrainte. Il en est ainsi des mots de passe : 123456, PASSWORD et AZERTY sont, de très loin, les combinaisons les plus utilisées, à la plus grande joie des pirates. Commencez donc par diffuser des bonnes pratiques dans vos équipes, puis imposez-les !
Votre organisation gère-t-elle bien ses mots de passe ? Faites le test en 1 minute sur Oppens.fr et suivez les recommandations et solutions proposées.
3ème erreur : Ne pas mettre à jour le système d’information (matériel et logiciels)
« Une mise à jour de votre logiciel est disponible, l’indisponibilité de votre poste de travail sera de 30 minutes environ et nécessitera un redémarrage. » Vous êtes forcément sur un dossier urgent à ce moment-là, alors vous laissez de côté l’alerte quelques jours, voire plusieurs semaines… Erreur ! Car plus de 90% des mises à jour de logiciels concernent des corrections de failles de sécurité. Si tous vos collaborateurs font de même, votre organisation est en grave danger : les pirates aussi sont au courant des mises à jour proposée. Et ils savent qu’elles sont rarement téléchargées immédiatement. Autant de portes d’entrée faciles à ouvrir…
4ème erreur : Ne pas sensibiliser les collaborateurs à la sécurité
Il faut le répéter : la principale faiblesse d’une organisation concernant sa sécurité informatique se situe entre la chaise et le clavier… Une part majoritaire des cyber-attaques en entreprise est en effet rendue possible par la négligence et la méconnaissance des salariés. Un collaborateur n’y connaissant rien cliquera plus facilement sur un mail de phishing, utilisera spontanément les wifi publics, téléchargera des jeux vidéo sur son ordinateur professionnel, notera ses mots de passe sur un post-it, etc. Bonne nouvelle toutefois : une grande partie des solutions se situe aussi entre la chaise et le clavier. En informant, sensibilisant et formant ses collaborateurs, on empêche beaucoup d’attaques. Pensez-y et, de surcroît, agissez !
5ème erreur : Sous-estimer les sauvegardes et le chiffrement des données
Vos données sont très précieuses : elles sont la clé du succès de votre entreprise, association ou collectivité. Elles sont aussi un risque fort : la réglementation RGPD, vos clients, vos partenaires ne vous pardonneraient pas leur perte ou leur vol. Sauvegardez-les très régulièrement, n’hésitez pas à faire des sauvegardes de sauvegardes, et surtout testez vos sauvegardes. Trop d’entreprises ont ainsi découvert lors d’une attaque par ransomware que leurs sauvegardes étaient en fait inutilisables…
Pensez aussi à chiffrer vos données les plus sensibles, en particulier si vous les envoyer par courrier électronique : un e-mail, c’est comme une carte postale, un pirate peut le lire facilement.
6ème erreur : Ne pas gérer les droits d’utilisateur
Autrefois, on rangeait les documents importants dans une armoire verrouillée dont seules quelques personnes avaient la clé. Aujourd’hui, il faut transposer au numérique cette saine pratique. L’accès au système d’information doit être différent selon qu’on est dirigeant, salarié, stagiaire, intérimaire, prestataire… Il faut également différencier les administrateurs du système informatique (avec des droits étendus, notamment pour les téléchargements) et les simples utilisateurs (avec des droits restreints).
Pour la sécurité informatique des entreprises, une des erreurs classique est d’oublier de retirer leurs droits informatiques aux collaborateurs qui quittent l’entreprise, surtout s’ils partent en mauvais termes. Enfin, limiter les droits de téléchargement d’applis, de jeux et de vidéos par les salariés est une bonne étape de sécurisation. Si c’est techniquement difficile de les bloquer, commencez par une sensibilisation de vos équipes.
Découvrez la fiche de Cybermalveillance.gouv.fr sur les risques de mélanger les sphères privée et professionnelle.
7ème erreur : Autoriser l’utilisation non-sécurisée de wifi public
Une connexion sans protection à un wifi public est pour un ordinateur semblable à laisser la porte de votre maison grande ouverte quand vous partez : tout le monde peut y rentrer. Les exemples sont innombrables : messageries électroniques piratées dans un aéroport, données de CB volées dans un café, logiciels espions installés dans un salon professionnel… Une connexion sécurisée est donc indispensable, notamment avec un réseau privé virtuel (VPN), une solution éprouvée et encore très efficace.
Vos collaborateurs en déplacement sont-ils une source de risque pour votre organisation ? Un autodiagnostic dédié sera prochainement mis en ligne sur OPPENS.fr. En attendant, découvrez les solutions qu’a déjà sélectionnées Oppens pour mieux protéger votre système d’information.
