Cybersécurité : les PME/TPE sont aussi concernées

Cybersécurité

Email douteux, Wi-Fi en accès libre, connexion non sécurisée… Attention, vous pourriez être victime d’un ransomware ou d’un virus informatique. Et cela concerne tout le monde, les grands groupes comme les TPE. Comment s’en prémunir ? Quelles bonnes pratiques mettre en place ? Le point avec Eric Garletti, fondateur d’Atypicom et adhérent à la CPME Gironde.

En janvier dernier, Bouygues Construction a été victime d’une attaque virale sur son réseau informatique. Cette cyberattaque de type ransonware (1) a affecté toutes ses activités, relançant le débat sur le piratage des données. En effet, le « hacking industriel » ne concerne pas uniquement les grands groupes mais également les PME, les TPE ou les commerçants… De tels événements ont de sévères répercussions sur l’activité de l’entreprise, sans parler des potentielles pertes financières. « Aujourd’hui, tout le monde peut faire l’objet d’une attaque potentielle, quel que soit le secteur d’activité ou la taille de l’entreprise prévient Eric Garletti, dirigeant d’Atypicom et chargé de prévention Cybermenaces au sein du réseau RCM(2).  Il faut rester très vigilant car il en va de la survie de la société. Une entreprise sur deux disparaît dans les 24 mois qui suivent une attaque. » Fort heureusement, ces risques peuvent être maîtrisés par l’adoption de bonnes pratiques, souvent faciles à mettre en œuvre. « En préalable il faut se poser une seule question : qui doit avoir accès à quoi ? explique Eric Garletti. Selon la sensibilité de l’information, son accessibilité, il conviendra de mettre en place des mesures techniques et/ou organisationnelles.

1/ Bien choisir ses mots de passe

On oublie trop souvent qu’un mot de passe sert avant tout à s’identifier et à authentifier une connexion. Par facilité, on choisit souvent le même pour ne jamais l’oublier. Première erreur ! Chaque compte internet, logiciel ou application doit posséder son propre mot de passe. Robuste, qui plus est ! On évitera donc les dates de naissance, les suites évidentes (123456), le prénom de ses enfants… Mieux vaut combiner des chiffres, des lettres et des caractères spéciaux, pour créer un mot de passe sophistiqué. Une astuce consiste à utiliser la méthode phonétique pour se souvenir du mot, par exemple : « J’ai acheté 5 CD pour cent euros cet après-midi » devient « Ght5cd%€7AM ». Une autre technique consiste à prendre les premières lettres d’une phrase ou d’un poème…  « Bien entendu, on ne partage jamais ses mots de passe avec ses collègues, et on ne les conserve pas sur un fichier ou un post-it, confie Eric Garletti.  Par ailleurs, face à la multitude des mots de passe, la tentation d’en utiliser qu’un seul pour tout est grande. Le problème ? En cas de piratage, toutes vos données sont accessibles… » Il existe aujourd’hui des trousseaux ou gestionnaires de mots de passe (keepass par exemple) pour conserver vos précieux sésame. « L’entreprise doit aussi mettre en place une politique de changement réguliers. Il appartient évidemment à l’organisation de sensibiliser et former tous ses collaborateurs à ces processus. »

2/ Effectuer des mises à jour régulières

Aucun logiciel, aucun système d’exploitation (Android, IOS, MacOS, Windows…) ne peut garantir une inviolabilité à 100 %. « Les failles existent, et les éditeurs de logiciels corrigent en permanence les Soft pour améliorer la sécurité et optimiser la performance, indique Eric Garletti. Les mises à jour (MAJ) permettent justement de se prémunir des failles possibles. » Malheureusement, nous ne procédons pas toujours aux MAJ, et les hackers profitent alors des « trous dans la raquette » pour pirater les comptes. D’où l’intérêt d’effectuer des mises à jour régulières du système d’exploitation et des différents logiciels sur des sites officiels. « Le plus simple est de configurer des mises à jour automatiques du système et des sauvegardes régulières de ses données (disque dur externe, CD, ou Cloud). »

3/ Sécuriser son accès wifi

L’utilisation du Wi-Fi est courante en entreprise, mais il faut garder à l’esprit qu’un Wi-Fi mal sécurisé, en accès libre, peut être la porte d’entrée à des actions malveillantes. « Une personne malintentionnée peut utiliser la connexion Wi-Fi à votre insu et réaliser des opérations douteuses, souligne Eric Garletti. D’où l’importance de placer des firewalls ou pare-feux au niveau des accès de postes et en amont du réseau. Une seconde mesure consiste également à crypter les informations qui circulent. » Bien évidemment, pour des raisons de confidentialité, il n’est pas conseillé d’utiliser les Wi-Fi publics (train, aéroport) pour les messages à caractère sensibles, sauf si votre ordinateur est équipé d’un VPN (réseau privé virtuel), qui permet de chiffrer les données.

4/ Séparer les usages personnels et professionnels

Les données d’une entreprise sont sensibles, et à ce titre, il faut veiller à leur protection, en adoptant de bonnes pratiques. Aujourd’hui, il est commun d’utiliser son ordinateur professionnel à titre personnel et vice versa. Or, cette multiplication des usages et des connexions facilite le travail des pirates informatiques et fait courir des risques inutiles à l’entreprise. Voilà pourquoi, il est indispensable de bien séparer les usages. « C’est une mesure indispensable, à la fois sur le lieu de travail ou dans le cadre de l’utilisation de votre matériel de travail à distance, précise Eric Garletti. Sur votre ordinateur professionnel, on évitera les connexions à des fins personnelles pour visionner des vidéos en streaming, faire des achats en ligne, jouer en ligne, etc. Il en va de la sécurité des données de votre entreprise. »

Question de bon sens, on n’ouvrira jamais les messages dont la provenance est douteuse. De même, Bercy nous met en garde sur certaines extensions de fichiers à n’ouvrir sous aucun prétexte : .pif, .com, .bat, .exe, .vbs, .Ink, .scr ou . cab

5/ se méfier du smartphone

Il y a encore quelques années, les pirates s’intéressaient peu à l’univers des téléphones portables. Mais avec 41 millions d’utilisateurs de smartphones en France en 2018, la donne a changé et les attaques ont progressé de 191 % en un an (3). « Les smartphones sont des portes d’accès à de nombreuses informations : données bancaires, carte bleue, boîte mail… Or, dans l’imaginaire collectif, le mobile est un support ultra-sécurisé. Rien de plus faux ! » Pour se prémunir de potentielles attaques, il faut appliquer certaines règles de bon sens. La règle d’or : n’installer que les applications indispensables, sur des sites officiels, sans se laisser séduire par des sites « gratuits ».  La gratuité a souvent un coût : celles de vos données ! Enfin, comme pour un ordinateur, effectuez des sauvegardes régulières de vos contenus (disque dur externe, cloud) et évitez, si possible, le pré-enregistrement des mots de passe.

source : https://www.lemondeinformatique.fr/actualites/lire-les-cyberattaques-sur-des-smartphones-ont-augmente-de-191-en-un-an-76929.html

  1. Rançonlogiciel : cyberattaque utilisée pour extorquer de l’argent à une entreprise.
  2. Le réseau RCM dépend de la direction centrale de la police judiciaire : eric.garletti@interieur.gouv.fr

 

CPME Gironde