Les infections de logiciel sont toujours plus variées et sophistiquées. Pour garantir la bonne marche de ses affaires, mieux vaut prévenir que guérir.
Choix des mots de passe, mise à jour des systèmes, sécurité des lieux physiques, chiffrement des données sensibles…. Les comportements à adopter pour se prémunir de tentatives de hacking ou de l’intrusion d’un virus au sein du parc informatique de son entreprise sont décisifs. Et aucune PME n’est à l’abri d’une erreur commise par un employé distrait. Les conseils essentiels à suivre pour éviter toute mauvaise surprise.
Sensibiliser le personnel
Pour Alexandre Karlov, professeur en sécurité à l’Institut des technologies de l’information et de la communication à la HEIG-VD, la sensibilisation du personnel aux cyber-risques peut se faire via de courtes formations en ligne ou des workshops. Elle permet de se protéger contre des attaques par mail de type phishing (usurpation d’identité), ainsi que des attaques social engineering (escroquerie en ligne) plus ciblées. Par ailleurs, il peut être utile de vérifier régulièrement si le personnel reste attentif en simulant une attaque. Par exemple en envoyant des emails avec des liens malveillants pour constater combien de personnes tombent dans le piège.
Mettre à jour les systèmes
«De nombreuses infections (malwares) surviennent en exploitant des vulnérabilités connues, qui peuvent être corrigées par des mises à jour régulières», constate Sergio Alves Domingues, directeur technique chez SCRT, une société basée à Préverenges (VD) spécialisée dans la sécurité informatique. Il convient aussi de s’assurer fréquemment que les systèmes (au niveau des postes, des serveurs et des applications) bénéficient des dernières mises à jour de sécurité. Limiter certains sites à visiter en fonction des activités de l’entreprise peut également se révéler judicieux.
Déployer un système de monitoring et chiffrer les données sensibles
En fonction de la maturité, de la taille et du budget de l’entreprise, Alexandre Karlov conseille de déployer un système de monitoring du réseau afin de détecter des attaques, ainsi que des tentatives d’exfiltration des données. La société peut aussi faire appel à un SOC (Security Operation Center) externe. L’expert recommande par ailleurs de chiffrer les données sensibles sur les serveurs et les postes client (données financières, RH, etc.). «Si l’entreprise traite des données clients, il faut s’assurer que les mesures nécessaires sont prises en termes de chiffrement et de protection des mots de passe client afin de limiter l’exposition de ces données lors d’une attaque et surtout vérifier si les différentes règles et législations en matière de protection de données clients sont respectées.»
Choisir des mots de passe forts
Pour Sergio Alves Domingues, un bon mot de passe doit être long et complexe, par exemple 10 caractères avec au minimum une minuscule, une majuscule, un chiffre et un caractère spécial: «Cette complexité sert à empêcher les attaques de type brute-force, dans lesquelles l’attaquant essaie d’énumérer toutes les combinaisons de mots de passe possibles.» De même, le mot de passe ne doit pas être basé sur un mot (nom commun, prénom, nom de famille, lieu), car il pourra alors être trouvé à l’aide d’une attaque par dictionnaire. Il est recommandé de choisir des «phrases de passe». Ces dernières permettent de remplir les conditions de complexité tout en étant faciles à mémoriser.
Ne pas réutiliser ses mots de passe
Il est aussi important de ne pas utiliser le même mot de passe sur les différents comptes. Idéalement, chaque compte (e-mail, e-banking, forums, sites de réservations, etc.) devrait compter un mot de passe différent et unique. Des outils de gestion existent en ligne et peuvent être utilisés. Par ailleurs, il faut s’assurer que les mots de passe par défaut sont mis à jour régulièrement sur les routeurs et autres périphériques, notamment au sein des start-ups. Il faut changer les mots de passe à des intervalles réguliers sur les services et les postes de travail que les employés utilisent. A partir d’une certaine taille, il peut se révéler judicieux de définir une politique pour les mots de passe.
Ne pas négliger la sécurité physique des lieux
La sécurité informatique d’une entreprise, qu’il s’agisse d’une start-up ou d’une grosse PME, passe aussi par une bonne sécurisation du matériel et de l’accès aux locaux. Alexandre Karlov recommande d’établir une liste des règles à suivre, comme par exemple verrouiller l’écran lorsqu’on quitte le poste ou fermer la porte à clé lorsque personne ne reste dans les locaux. Cette liste doit être communiquée à l’ensemble des collaborateurs. Il faut aussi s’assurer que le réseau WiFi soit protégé avec un protocole de type WPA.
Ne jamais interagir avec le contenu d’e-mails suspects
C’est une règle bien connue, mais il convient de la rappeler: aucun employé ne doit cliquer sur les liens contenus dans des e-mails non-sollicités (tels que les spam) ou suspects, ni ouvrir les fichiers attachés. Sergio Alves Domingues rappelle que lors de connexions sur un site en HTTPS (protocole de transfert hypertexte sécurisé), il ne faut jamais ignorer les messages d’erreur relatifs au certificat du site. Cela peut indiquer qu’un attaquant est en train d’intercepter la communication.
Effectuer des tests réguliers
Lorsque l’entreprise développe ses propres applications ou déploie des infrastructures, il est vivement recommandé d’effectuer des tests d’intrusion à des intervalles réguliers, par exemple en mandatant des entreprises externes. «Il faut aussi définir une politique de backup et effectuer des tests mensuels afin de s’assurer qu’elle fonctionne et qu’il possible de récupérer les données critiques», indique Alexandre Karlov.
Définir un processus de réponse
Définir un processus de réponse à un incident de sécurité informatique et nommer des personnes responsables qui vont l’effectuer est également utile. Dès 5 à 7 personnes, il convient de nommer un responsable de la sécurité informatique (pas nécessairement à plein-temps), en établissant une liste de responsabilités et de tâches à effectuer.
Établir une politique de gestion de risques
En fonction de la taille et du budget de la société, on devrait commencer à établir une politique de gestion de risques de sécurité informatique en suivant des frameworks connus (ISO 27001, Octave, etc.) «Cela permet d’avoir une vue très claire sur les biens à protéger ainsi que sur les menaces potentielles avec les dommages et impacts possibles, indique Alexandre Karlov. Mais cela implique aussi souvent un travail à plein-temps pour le responsable sécurité.» Enfin, pour les grosses entreprises, il convient de définir une politique de sécurité pouvant inclure les différents niveaux de sensibilité de documents et de données, ainsi que la politique de leur traitement.
_______
Une version de cet article est parue dans PME Magazine.