En cette période où l’actualité nous apprend tous les jours des intrusions informatiques dans des grands groupes, dont la sécurité est pourtant un enjeu majeur, on se questionne sur les compétences de plus en plus pointues des hackers. On reste également vigilant à propos des cryptolockers, si prompts à déjouer les solutions de sécurité mises en place…

Etes-vous sûrs d’avoir assez misé sur votre sécurité ? il n’est plus temps de tergiverser, il faut se poser les bonnes questions…

La sécurité évolue, mais les pirates aussi…

Aujourd’hui, la sécurité de votre entreprise est fondée sur deux piliers. S’il vous en manque un, vous êtes vulnérable :

  • les outils
  • les Hommes

Sans un bon outil, même avec la meilleure volonté du monde, on pourra s’introduire dans vos serveurs en un rien de temps. Mais, même avec les meilleurs outils, si vous avez une faille humaine, vous ouvrez grande la porte aux pirates et aux cryptolockers.

Les outils, d’accord

Il faut respecter les basiques :

  • un bon antivirus, avec une mise à jour instantanée, pour avoir toujours une longueur d’avance sur les nouveaux virus. Vous devez éviter, de ce fait, les antivirus gratuits, à remettre à jour ou à réinstaller tous les x jours… Il y a des sujets sur lesquels il ne faut pas essayer d’économiser !
  • un firewall en béton, pour limiter le flux interne et contrôler a minima les accès internet et bloquer tout site louche
  • Un parc à jour : éviter un maximum les systèmes d’exploitations plus soutenus par le fournisseur (Windows 7 par exemple)
  • une sauvegarde externalisée : si vous vous faites cryptolocker, vous pouvez tout récupérer sans perdre aucune de vos données.
  • Une double authentification pour accéder à tous vos logiciels (ERP, CRM, administration de votre réseau etc.).
  • Un bon conseiller informatique, qui sait gérer tous ces points !

Rien ne doit être laissé au hasard. Avant, on pouvait encore se dire: “c’est bon, je prends le risque, de toute façon je ne suis pas une cible intéressante”. Mais ce n’est plus le cas de nos jours… Quand même des hôpitaux se font rançonner sur les informations de leurs patients, on réalise à quel point les attaquants ne sont pas regardants sur leurs victimes et n’ont aucun scrupule à mettre en danger… Les attaques sont aveugles, en masse, et peuvent paraître aléatoires. Alors, même si cela parait alarmiste, il faut se le dire : plus personne n’est à l’abri.

Mais les usages surtout !

Les outils, c’est bien. Indispensable même… Mais ! Derrière, il faut que vos collaborateurs aient une attitude exemplaire vis-à-vis de la sécurité informatique. Les règles que je vais vous donner tout de suite sont censées être connues de tous. Depuis l’émergence du GDPR, le public doit être sensibilisé aux bonnes pratiques pour éviter la fuite de données. Mais ces habitudes de sécurité ne sont pas toujours suivies… Une inattention, une maladresse, et c’est toute une société qui est vulnérable. Alors, n’hésitez pas à régulièrement rappeler ces règles élémentaires (pour vous aider, vous pouvez vous baser sur des documents édités par la CNIL, très simples et clairs) :

  • faites changer les mots de passe tous les 6 mois. Oui, c’est contraignant. Alors, au moins celui de la session utilisateur. Et surtout, faites en sorte qu’il soit difficile à cracker. Pourquoi ? Parce que :

Sécurité MDP

  • Ne donnez pas votre mot de passe à un tiers. Si vraiment vous devez le faire, changez-le ensuite, et n’envoyez JAMAIS dans un même mail le login et le mot de passe.
  • Interdisez l’installation sur les postes utilisateurs de logiciels non certifiés : aucun logiciel exécutable, aucun jeu (même pour jouer durant sa pause)…
  • Sensibilisez vos utilisateurs sur le branchement de matériel de stockage externe sur les postes professionnels : c’est souvent par le biais d’une clé USB non vérifiée ou d’un disque dur externe, que le problème peut s’infiltrer.
  • Méfiez-vous du phishing et autre hameçonnage par le biais de mails frauduleux. Avant d’ouvrir une pièce jointe, vérifiez bien que le contenu du mail est cohérent. Et surtout, ne répondez jamais à un mail qui vous demande de valider des données personnelles (login et mot de passe, coordonnées bancaires…)
  • Résistez à la tentation de l’article/du mail aguicheur qui vous promet monts et merveilles…

Avec tous ces éléments, vous avez déjà de quoi écrire une charte informatique à diffuser en interne. Vous pouvez vous faire aider par votre prestataire informatique, afin qu’il sensibilise vos collaborateurs.

En conclusion, il n’y pas de secret : pour se protéger efficacement, il faut y mettre les moyens (matériels et humains). Mais que valent les données de votre entreprise ? Beaucoup plus que le prix que vous allez mettre à leur protection ! Je peux vous aider à faire le calcul, suivez le guide

Pourquoi ce blog

Vous êtes dirigeant, cadre, ou patron de PME ; que l'informatique vous passionne, ou au contraire qu'elle vous ennuie : ce blog est fait pour vous.