Pour Alexandre Karlov, professeur en s\u00e9curit\u00e9 \u00e0 l\u2019Institut des technologies de l\u2019information et de la communication \u00e0 la HEIG-VD, la sensibilisation du personnel aux cyber-risques peut se faire via de courtes formations en ligne ou des workshops. Elle permet de se prot\u00e9ger contre des attaques par mail de type phishing<\/em> (usurpation d\u2019identit\u00e9), ainsi que des attaques social engineering<\/em> (escroquerie en ligne) plus cibl\u00e9es. Par ailleurs, il peut \u00eatre utile de v\u00e9rifier r\u00e9guli\u00e8rement si le personnel reste attentif en simulant une attaque. Par exemple en envoyant des emails avec des liens malveillants pour constater combien de personnes tombent dans le pi\u00e8ge.<\/p>\n Mettre \u00e0 jour les syst\u00e8mes <\/strong><\/p>\n \u00abDe nombreuses infections (malwares<\/em>) surviennent en exploitant des vuln\u00e9rabilit\u00e9s connues, qui peuvent \u00eatre corrig\u00e9es par des mises \u00e0 jour r\u00e9guli\u00e8res\u00bb, constate Sergio Alves Domingues, directeur technique chez SCRT, une soci\u00e9t\u00e9 bas\u00e9e \u00e0 Pr\u00e9verenges (VD) sp\u00e9cialis\u00e9e dans la s\u00e9curit\u00e9 informatique. Il convient aussi de s\u2019assurer fr\u00e9quemment que les syst\u00e8mes (au niveau des postes, des serveurs et des applications) b\u00e9n\u00e9ficient des derni\u00e8res mises \u00e0 jour de s\u00e9curit\u00e9. Limiter certains sites \u00e0 visiter en fonction des activit\u00e9s de l\u2019entreprise peut \u00e9galement se r\u00e9v\u00e9ler judicieux.<\/p>\n D\u00e9ployer un syst\u00e8me de monitoring et chiffrer les donn\u00e9es sensibles<\/strong><\/p>\n En fonction de la maturit\u00e9, de la taille et du budget de l\u2019entreprise, Alexandre Karlov conseille de d\u00e9ployer un syst\u00e8me de monitoring du r\u00e9seau afin de d\u00e9tecter des attaques, ainsi que des tentatives d\u2019exfiltration des donn\u00e9es. La soci\u00e9t\u00e9 peut aussi faire appel \u00e0 un SOC (Security Operation Center) externe. L\u2019expert recommande par ailleurs de chiffrer les donn\u00e9es sensibles sur les serveurs et les postes client (donn\u00e9es financi\u00e8res, RH, etc.). \u00abSi l\u2019entreprise traite des donn\u00e9es clients, il faut s\u2019assurer que les mesures n\u00e9cessaires sont prises en termes de chiffrement et de protection des mots de passe client afin de limiter l\u2019exposition de ces donn\u00e9es lors d\u2019une attaque et surtout v\u00e9rifier si les diff\u00e9rentes r\u00e8gles et l\u00e9gislations en mati\u00e8re de protection de donn\u00e9es clients sont respect\u00e9es.\u00bb<\/p>\n Choisir des mots de passe forts<\/strong><\/p>\n Pour Sergio Alves Domingues, un bon mot de passe doit \u00eatre long et complexe, par exemple 10 caract\u00e8res avec au minimum une minuscule, une majuscule, un chiffre et un caract\u00e8re sp\u00e9cial: \u00abCette complexit\u00e9 sert \u00e0 emp\u00eacher les attaques de type brute-force, dans lesquelles l’attaquant essaie d’\u00e9num\u00e9rer toutes les combinaisons de mots de passe possibles.\u00bb De m\u00eame, le mot de passe ne doit pas \u00eatre bas\u00e9 sur un mot (nom commun, pr\u00e9nom, nom de famille, lieu), car il pourra alors \u00eatre trouv\u00e9 \u00e0 l’aide d’une attaque par dictionnaire. Il est recommand\u00e9 de choisir des \u00abphrases de passe\u00bb. Ces derni\u00e8res permettent de remplir les conditions de complexit\u00e9 tout en \u00e9tant faciles \u00e0 m\u00e9moriser.<\/p>\n Ne pas r\u00e9utiliser ses mots de passe<\/strong><\/p>\n Il est aussi important de ne pas utiliser le m\u00eame mot de passe sur les diff\u00e9rents comptes. Id\u00e9alement, chaque compte (e-mail, e-banking, forums, sites de r\u00e9servations, etc.) devrait compter un mot de passe diff\u00e9rent et unique. Des outils de gestion existent en ligne et peuvent \u00eatre utilis\u00e9s. Par ailleurs, il faut s\u2019assurer que les mots de passe par d\u00e9faut sont mis \u00e0 jour r\u00e9guli\u00e8rement sur les routeurs et autres p\u00e9riph\u00e9riques, notamment au sein des start-ups. Il faut changer les mots de passe \u00e0 des intervalles r\u00e9guliers sur les services et les postes de travail que les employ\u00e9s utilisent. A partir d\u2019une certaine taille, il peut se r\u00e9v\u00e9ler judicieux de d\u00e9finir une politique pour les mots de passe.<\/p>\n Ne pas n\u00e9gliger la s\u00e9curit\u00e9 physique des lieux<\/strong><\/p>\n La s\u00e9curit\u00e9 informatique d\u2019une entreprise, qu\u2019il s\u2019agisse d\u2019une start-up ou d\u2019une grosse PME, passe aussi par une bonne s\u00e9curisation du mat\u00e9riel et de l\u2019acc\u00e8s aux locaux. Alexandre Karlov recommande d\u2019\u00e9tablir une liste des r\u00e8gles \u00e0 suivre, comme par exemple verrouiller l\u2019\u00e9cran lorsqu\u2019on quitte le poste ou fermer la porte \u00e0 cl\u00e9 lorsque personne ne reste dans les locaux. Cette liste doit \u00eatre communiqu\u00e9e \u00e0 l\u2019ensemble des collaborateurs. Il faut aussi s\u2019assurer que le r\u00e9seau WiFi soit prot\u00e9g\u00e9 avec un protocole de type WPA.<\/p>\n Ne jamais interagir avec le contenu d\u2019e-mails suspects<\/strong><\/p>\n C\u2019est une r\u00e8gle bien connue, mais il convient de la rappeler: aucun employ\u00e9 ne doit cliquer sur les liens contenus dans des e-mails non-sollicit\u00e9s (tels que les spam) ou suspects, ni ouvrir les fichiers attach\u00e9s. Sergio Alves Domingues rappelle que lors de connexions sur un site en HTTPS (protocole\u00a0de transfert\u00a0hypertexte s\u00e9curis\u00e9), il ne faut jamais ignorer les messages d’erreur relatifs au certificat du site. Cela peut indiquer qu’un attaquant est en train d’intercepter la communication.<\/p>\n Effectuer des tests r\u00e9guliers <\/strong><\/p>\n Lorsque l\u2019entreprise d\u00e9veloppe ses propres applications ou d\u00e9ploie des infrastructures, il est vivement recommand\u00e9 d\u2019effectuer des tests d\u2019intrusion \u00e0 des intervalles r\u00e9guliers, par exemple en mandatant des entreprises externes. \u00abIl faut aussi d\u00e9finir une politique de backup et effectuer des tests mensuels afin de s\u2019assurer qu\u2019elle fonctionne et qu\u2019il possible de r\u00e9cup\u00e9rer les donn\u00e9es critiques\u00bb, indique Alexandre Karlov.<\/p>\n D\u00e9finir un processus de r\u00e9ponse<\/strong><\/p>\n D\u00e9finir un processus de r\u00e9ponse \u00e0 un incident de s\u00e9curit\u00e9 informatique et nommer des personnes responsables qui vont l’effectuer est \u00e9galement utile. D\u00e8s 5 \u00e0 7 personnes, il convient de nommer un responsable de la s\u00e9curit\u00e9 informatique (pas n\u00e9cessairement \u00e0 plein-temps), en \u00e9tablissant une liste de responsabilit\u00e9s et de t\u00e2ches \u00e0 effectuer.<\/p>\n \u00c9tablir une politique de gestion de risques<\/strong><\/p>\n En fonction de la taille et du budget de la soci\u00e9t\u00e9, on devrait commencer \u00e0 \u00e9tablir une politique de gestion de risques de s\u00e9curit\u00e9 informatique en suivant des frameworks connus (ISO 27001, Octave, etc.) \u00abCela permet d\u2019avoir une vue tr\u00e8s claire sur les biens \u00e0 prot\u00e9ger ainsi que sur les menaces potentielles avec les dommages et impacts possibles, indique Alexandre Karlov. Mais cela implique aussi souvent un travail \u00e0 plein-temps pour le responsable s\u00e9curit\u00e9.\u00bb Enfin, pour les grosses entreprises, il convient de d\u00e9finir une politique de s\u00e9curit\u00e9 pouvant inclure les diff\u00e9rents niveaux de sensibilit\u00e9 de documents et de donn\u00e9es, ainsi que la politique de leur traitement.<\/p>\n _______<\/p>\n Une version de cet article est parue dans PME Magazine.<\/p>\n","protected":false},"excerpt":{"rendered":" Les infections de logiciel sont toujours plus vari\u00e9es et sophistiqu\u00e9es. Pour garantir la bonne marche de ses affaires, mieux vaut pr\u00e9venir que gu\u00e9rir.<\/p>\n","protected":false},"author":18920,"featured_media":6707,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7],"tags":[1301],"class_list":["post-6706","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technophile","tag-innovation","technophile"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/posts\/6706","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/users\/18920"}],"replies":[{"embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=6706"}],"version-history":[{"count":1,"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/posts\/6706\/revisions"}],"predecessor-version":[{"id":6708,"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/posts\/6706\/revisions\/6708"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/media\/6707"}],"wp:attachment":[{"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=6706"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=6706"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=6706"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"\"](\"https:\/\/largeur.com\/wp-content\/uploads\/2017\/10\/ImageJour_24102017-01.jpg\")
<\/p>\n