Cela n’a pas pu vous échapper : les cybercriminels et autres hackers sont de plus en plus actifs en France. Il ne se passe pas une semaine sans que l’on apprenne que tel grand groupe ou telle administration a subi des attaques de cybersécurité, exigeant le plus souvent des rançons pour que tout rentre dans l’ordre. Ces criminels cherchent à exploiter les faiblesses numériques afin de voler à des organisations des données ou des informations qu’elles pensent sensibles. La plupart des entreprises se sentent démunies face à des risques qu’elles ne maîtrisent absolument pas et préfèrent céder et payer plutôt que de s’exposer à une très mauvaise publicité. Pourtant, une grande partie des dangers peuvent être facilement évités. Il suffit parfois de sensibiliser et de former les équipes aux risques éventuels et d’adopter quelques bonnes pratiques et outils permettant d’anticiper l’impact d’une cyberattaque.
Former ses employés à la cybersécurité
La cybersécurité n’est pas une question d’investissements ou d’argent. La plus grosse faille se situe au niveau des utilisateurs qui doivent comprendre les risques de leurs actions (installer des logiciels, cliquer sur des liens, lire ou envoyer des documents, partager sur le cloud, ….). Par exemple, l’ouverture d’une pièce jointe parait complètement anodin à la plupart des collaborateurs. Cette action apparaît bénigne et peut pourtant avoir des conséquences fâcheuses pour la sécurité de l’entreprise.
La plus grosse faille de sécurité se situe toujours entre l’écran et le clavier
Une blague de responsable informatique …
C’est à la fois une mauvaise et une bonne nouvelle : vous ne réduirez pas le risque en achetant très chère une solution tout-en-un mais en formant et en sensibilisant vos équipes. Elles deviendront ainsi plus responsables et conscientes des impacts potentiels de leurs actions. Posez-vous les questions suivantes : vos nouveaux employés sont-ils systématiquement sensibilisés et formés aux risques liés à la cybersécurité, vos collaborateurs connaissent-ils et ont-ils compris le contenu de la charte informatique de votre entreprise ? Si la réponse est « non » ou « peut-être » à l’une de ces deux questions, une formation, même très courte, parait indispensable.
Cette formation devrait être régulièrement suivie et actualisée afin que les bonnes pratiques s’ancrent chez vos collaborateurs et aussi parce que les techniques des cybercriminels évoluent. Il faut donc en proposer régulièrement (une fois tous les deux ans me parait un rythme souhaitable et faisable). Ces formations concernent absolument tout le monde (enfin tous ceux qui disposent d’un ordinateur, tablette ou téléphone professionnels).
Quelques bonnes pratiques
L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a listé 12 règles essentielles pour sécuriser avec succès ses équipements numériques :
- Faire attention de choisir un mot de passe composé d’au-moins 12 caractères avec majuscules, nombres, ponctuation et autres caractères spéciaux (je connais peu de gens qui le font. Le mieux pour trouver le mot de passe de votre collègue est de lui demander le nom de son chat ou la date de naissance de sa fille) ;
- Mettre à jour ses logiciels régulièrement ;
- Savoir qui utilise l’ordinateur ;
- Effectuer des sauvegardes régulièrement ;
- Sécuriser le Wi-Fi de son entreprise ;
- Être aussi prudent (et même plus !) avec son ordinateur professionnel que son smartphone / tablette personnel ;
- Protéger ses données lors de déplacements ;
- Être vigilant lors de l’utilisation de sa messagerie ;
- Seulement télécharger des programmes sur des sites officiels ;
- Faire attention lors d’un achat sur internet ;
- Séparer professionnel et personnel ;
- Être prudent lors du partage d’informations professionnelles ou personnelles.
Faire l’état des lieux de son entreprise
En plus de former les employés sur les bonnes pratiques à adopter, il est important de faire l’état des lieux des outils, ordinateurs, objets qui se trouvent dans votre entreprise. Malheureusement, si vos ordinateurs sont trop anciens ou utilisent des systèmes d’exploitation non maintenus, ils augmentent les risques de cyberattaque. Dans ce cas, il est temps d’investir dans des ordinateurs récents avec des antivirus efficaces.
Vous pouvez être contraints d’utiliser des clés USB pour partager votre travail, dossiers et informations à l’intérieur de votre organisation. Dans ce cas, il est important de choisir des clés disposant d’une cybersécurité autonome avec des options de verrouillage intelligent, de nombreux experts proposent ces clés USB intelligentes comme par exemple les clés RS Components que j’ai pu tester.
De même pour l’anti-virus, il peut être important de ne pas choisir un logiciel de sécurité intégré ou un pack antivirus gratuit, en investissant dans un logiciel de qualité vous protégerez votre entreprise. Les dépenses de cybersécurité paraissent toujours trop élevées, tant que le risque qu’elles combattent ne s’est pas manifesté. C’est un peu comme comme l’assurance habitation. C’est cher et chaque année on se demande si tous ces frais sont nécessaire. Jusqu’au jour où on en a besoin. Aujourd’hui plus personne pourtant ne songerait à s’en passer.
Pour en savoir plus sur la cybersécurité
- Les risques type d’un projet (parce qu’il n’y a pas que la cybercriminalité)
- Une conférence TED : d’où vient vraiment le cybercrime ?
- Quelques ouvrages importants
[asa_collection tpl= »book » items=6 type= »random »]cybersecurite[/asa_collection]