Les pirates informatiques sont de plus en plus actifs sur internet et tendent à diversifier leurs attaques. Pour les entreprises, mieux vaut se prémunir. La sécurité de leur information repose sur tout un questionnement à mettre en oeuvre.
La mise en place du RGPD (Règlement général sur la protection des données) en mai dernier renforce la question de la sécurité de l'information en entreprise. Le marché de la cybersécurité connaît une croissance annuelle moyenne de 12,4 %. Ce sont les attaques via les logiciels de demande de rançon qui sont le plus utilisées par les pirates pour s'en prendre aux entreprises. Il est donc très important que celles-ci prennent conscience du danger car malgré la forte croissance des menaces, peu déposent plainte. En 2017, sur les 218 plaintes enregistrées, la préfecture de police a ouvert seulement 154 enquêtes...
Voici 12 conseils pratiques à suivre pour éviter tout piratage informatique.
1. Prendre la menace au sérieux
Toutes les entreprises sont susceptibles de subir des attaques informatiques, sans exception. Qu’il s’agisse de ransomwares, de phishing, de malwares ou de déni de service (DDoS), les attaques informatiques ciblent tout le monde : particuliers, petites entreprises et multinationales. Si elle est réussie, une attaque peut être particulièrement onéreuse et sérieusement nuire à la réputation de la marque. Il faut donc avant tout prendre conscience du danger.
2. Sécuriser tous les vecteurs de menace
Les attaques modernes exploitent plusieurs vecteurs : le comportement des utilisateurs, mais aussi les applications et les systèmes. Elles privilégient les e-mails, les applications web et l’accès à distance. Une sécurité complète doit englober l'ensemble. Moralité : un simple pare-feu ne suffit plus. Il convient de multiplier les couches de sécurité. Autrement dit, de ne plus mettre tous ses oeufs dans le même panier et de ne pas faire confiance à un seul fournisseur (hardware ou software) pour protéger son réseau et ses applications.
3. Sécuriser les postes de travail
Les postes de travail doivent être paramétrés afin qu’ils se verrouillent automatiquement au-delà d’une certaine période d’inactivité (10 minutes maximum). Les utilisateurs doivent également être incités à verrouiller systématiquement leurs postes dès qu’ils s’absentent de leur bureau, à les éteindre lorsqu’ils quittent l’entreprise et à bien séparer les usages personnels des usages professionnels. Le contrôle de l’usage des ports USB sur les postes sensibles est également fortement recommandé.
4. Mettre en place une authentification multifactorielle
Ce type d’authentification (login et mot de passe et code à usage unique, code envoyé par SMS, confirmation de date de naissance, etc.) offre une protection supplémentaire pour l’accès aux comptes utilisateurs et applications. Elle permet ainsi de garantir que vous êtes la seule personne pouvant accéder à votre compte, même si quelqu’un d’autre connaît votre mot de passe. De plus en plus d’entreprises utilisent un moyen biométrique (comme les empreintes digitales ou la reconnaissance faciale) comme facteur d’authentification supplémentaire. Mais attention, si ces solutions exigent des utilisateurs qu'ils prouvent leur identité, elles ne restreignent pas les ressources consultables, les actions réalisables ou la durée de validité des accès.
5. Adopter une politique de mots de passe rigoureuse pilotée par la DSI
Un mot de passe doit comporter au minimum 8 caractères incluant chiffres, lettres et caractères spéciaux et doit être renouvelé fréquemment (par exemple tous les 3 mois). Le système doit contraindre l’utilisateur à choisir un mot de passe différent des trois qu’il a utilisés précédemment. Attribué au départ par l’administrateur du système, le mot de passe doit obligatoirement être modifié par l’utilisateur dès la première connexion. Enfin, il convient de ne jamais préenregistrer ses mots de passe.
6. Utiliser le data transfer project
Le data transfer project (DTP) ou projet de transfert de données est un service qui a pour mission « d’aider les utilisateurs à déplacer leurs données personnelles en toute sécurité et avec fluidité entre fournisseurs de service ». C'est une initiative open source visant à encourager la participation du plus grand nombre possible de fournisseurs. A l’heure actuelle, les firmes impliquées sont Facebook, Google, Microsoft et Twitter. Les services des géants américains sont utilisés par une multitude d’entreprises françaises. Les fournisseurs de chaque côté de la transaction de portabilité doivent disposer de mesures de confidentialité et de sécurité strictes pour se prémunir contre l'accès non autorisé, le détournement de données ou d'autres types de fraude.
7. Sécuriser et gérer le réseau wifi
Cela revient à modifier la clé de connexion par défaut (souvent affichée sur la borne d’accès à internet) par une clé de plus de 12 caractères de types différents. Évitez d’utiliser le chiffrement WEP, cassable en quelques minutes et prévoyez un réseau wifi réservés aux « invités » ou « visiteurs ». Les collaborateurs nomades doivent également éviter les connexions à des wifi publics pour accéder aux ressources et applications de leur organisation et préférer utiliser un VPN (réseau privé virtuel).
8. Gérer la mobilité et sécuriser tous les terminaux
La sécurisation efficace des applications Saas nécessite une solution complète, conçue pour gérer les réseaux hybrides de façon centralisée. Cette sécurité doit aussi s’appliquer aux télétravailleurs et aux collaborateurs mobiles. Car si la mobilité stimule la productivité et la collaboration, elle entraîne aussi un taux plus élevé de travailleurs à distance se connectant sur leurs terminaux personnels. Ce qui peut créer des brèches de sécurité si ces terminaux et les flux ne sont pas sécurisés. Il est par exemple possible de créer une liste de contrôle d’accès (ACL) et d’empêcher les terminaux non validés ou non protégés de se connecter aux ressources de l’organisation.
9. Prévoir la fin de vie du matériel
Les terminaux informatiques en fin de vie, tels que les ordinateurs ou les copieurs, doivent être physiquement détruits avant d’être jetés, ou expurgés de leurs disques durs avant d’être recyclés. Quant aux disques durs et aux périphériques de stockage amovibles en réparation, réaffectés ou recyclés, ils doivent faire l’objet au préalable d’un formatage de bas niveau destiné à effacer les données.
10. Effectuer des sauvegardes régulières
Que ce soit dans le cloud, sur disque dur externe ou par le biais d’un système d'archivage électronique (SAE) sur mesure, effectuez des sauvegardes régulières (quotidiennes ou hebdomadaires) afin de toujours pouvoir retrouver vos données en cas de dysfonctionnement de votre ordinateur ou d’attaque. Une bonne solution de sauvegarde permet de se remettre de nombreuses attaques en quelques minutes ou quelques heures, sans coût exorbitant. Si les données sont corrompues, chiffrées ou volées par un logiciel malveillant, il suffit de les restaurer à partir de la dernière sauvegarde. Cela permet à une entreprise de reprendre rapidement ses activités.
11. Maintenir les systèmes à jour
Lorsque des vulnérabilités des systèmes d'exploitation et des applications sont découvertes, les éditeurs publient des correctifs pour les éliminer. Il faut donc s'assurer de toujours installer les dernières mises à jour et ne pas utiliser de logiciel qui ne serait plus supporté par l'éditeur. Configurez vos logiciels pour que les mises à jour de sécurité s’installent automatiquement et utilisez exclusivement les sites internet officiels des éditeurs pour cela.
12. Diriger la sécurité
Ce pourrait être le conseil numéro un : la sécurité informatique passe par la définition d'une politique de sécurité. Celle-ci doit être en constante évolution et se traduit par un problème de gestion de la qualité constante lié pour l'essentiel à la maintenabilité et à l'évolution des systèmes, des enjeux et des risques. Les organisations doivent également être vigilantes à l'égard du droit des nouvelles technologies. Car la responsabilité des acteurs (responsable sécurité, etc.) est de plus en plus invoquée lors de sinistres où les ressources informatiques qu’ils gèrent sont l’objet ou le moyen d’une fraude.
![Gabriel-Attal-annonce-deploiement-intelligence-artificielle-services-publics](https://www.archimag.com/sites/archimag.com/files/styles/vignette/public/web_articles/image/attal_ia.jpg?itok=6fPyvSBN "L'IA "va révolutionner nos services publics" selon Gabriel Attal (Service d'information du gouvernement)")
