BFM Business

Les 5 règles d’or pour prévenir et -essayer- d'éviter une cyberattaque

Les entreprises les plus sensibilisées effectuent un rappel trimestriel des règles de sécurité à adopter lors du téléchargement d’une pièce-jointe, du clic sur un lien dans un courriel, du téléchargement d’applications, de la délivrance d’information à une personne externe à l’entreprise par téléphone, etc

Les entreprises les plus sensibilisées effectuent un rappel trimestriel des règles de sécurité à adopter lors du téléchargement d’une pièce-jointe, du clic sur un lien dans un courriel, du téléchargement d’applications, de la délivrance d’information à une personne externe à l’entreprise par téléphone, etc - Pixabay

"Des guides de sensibilisation des entreprises sont édités par des services gouvernementaux pour encourager à la vigilance. Souvent connues mais rapidement oubliées, ces règles méritent d’être affichées !"

"A l’exception de certains secteurs très spécifiques, le niveau de perception et de prise en charge du cyber-risque dans les TPE/PME est aujourd’hui très faible", regrette la Délégation Interministérielle à l’Intelligence Economique dans le Référentiel de formation à la cybersécurité à la disposition des PME et TPE. Et pourtant, prévenir une attaque de ce type ne demande pas forcément de gros moyens financiers ni de connaissances d’experts.

Pour éviter de subir les conséquences dramatiques d’une attaque, voici cinq règles de base :

1- Changer régulièrement de mot de passe

Cela peut sembler simple mais depuis combien de temps utilisez-vous le même mot de passe sur votre session d’ordinateur professionnel? Comporte-t-il un nombre de caractères et de majuscules suffisant pour en assurer la complexité? L’Agence Nationale de la Sécurité des Systèmes d’Information recommande qu’il contienne 12 caractères au minimum, dont des chiffres et des caractères spéciaux comme $ ou %. Cette agence gouvernementale spécialisée en cybersécurité recommande également de ne pas utiliser de logiciel de mémorisation automatique des mots de passe du type Dashlane ou KeePass.

Un changement fréquent est également nécessaire pour l’accès aux applications mobiles sur lesquelles sont souvent gérées les factures, les comptes bancaires, les réclamations en ligne.

2- Sensibiliser les salariés

Qu’une entreprise compte cinq ou deux cents employés, le constat est le même: chacun est amené à un moment ou à un autre d'accéder à des données sensibles. Mieux vaut alors un rappel trimestriel des règles de sécurité à adopter lors du téléchargement d’une pièce-jointe, du clic sur un lien dans un courriel, du téléchargement d’applications, de la délivrance d’information à une personne externe à l’entreprise par téléphone, etc. Il est également recommandé de systématiquement vérifier l’adresse URL du lien contenu dans un mail avant de cliquer dessus, simplement en le survolant avec la souris. Idem pour vérifier que l’adresse de l’expéditeur corresponde bien à celle utilisée habituellement. Ceux utilisant un terminal personnel dans le cadre du BYOD (Bring Your Own Device) doivent appliquer les mêmes règles bien qu’ils utilisent du matériel non professionnel. Enfin les logiciels et antivirus doivent être correctement tenus à jour.

3- Bloquer certains sites Internet

Le blocage peut se faire grâce à un simple paramétrage de l’antivirus. Il convient aussi de rester vigilant sur les adresses URL des liens contenus dans un courriel, comme précisé ci-dessus. Ceux renvoyant vers des sites sécurisés débutent par « https ».

4- Sauvegarder régulièrement les données

C’est une règle de bon sens et pourtant elle est souvent oubliée. Selon tous les responsables de la sécurité des systèmes d'information, les sauvegardes de données sensibles doivent être faites plusieurs fois par trimestre. Pour cela, mieux vaut utiliser un périphérique de stockage externe de type disque dur, que l’on pourra stocker en lieu sûr, éventuellement hors des locaux de l’entreprise.

5- Utiliser des outils de chiffrement

Reste le chiffrement des données. Cela consiste à encoder le contenu d’un document, d’une messagerie ou d’un terminal afin de les rendre inintelligibles. Il rend caduc tout vol de matériel et minimise les possibilités d’espionnage industriel. Des services de chiffrement professionnel sont commercialisés par des entreprises comme Sophos, Gemalto, Dell, Microsoft, etc. Des applications spécifiques existent aussi pour chiffrer les smartphones.

Enfin, ne pas oublier qu’en cas de besoin, des services de l’Etat peuvent être sollicités par les entreprises. L’ANSSI et la CGPME se sont ainsi associés pour mettre à disposition de tous les entrepreneurs et de leurs employés un "guide des bonnes pratiques de l’informatique" téléchargeable gratuitement. Autre source utile : le guide "Pensez cybersécurité" publié en mars par le gouvernement canadien à l’attention des PME. 

Découvrez notre dossier sur la cybersécurité :

Protégez les données de votre entreprise

Adeline Raynal