10 bonnes pratiques pour protéger son entreprise du cyber risque

10 bonnes pratiques pour protéger son entreprise du cyber risque

Depuis le début de la crise sanitaire et le confinement, la plupart des salariés sont en télétravail. Le plus souvent, cette décision du travail à distance a été prise dans l’urgence, sans prise en compte de la sécurité informatique des données de l’entreprise, exploitées depuis le domicile et même parfois depuis l’ordinateur personnel des salariés. Cette opportunité pour les hackers d'usurper l'identité de certains collaborateurs ou d’infiltrer les systèmes informatiques a bien été saisie : les attaques ont explosé, avec les conséquences que l’on connait. 

2 pratiques sont particulièrement recensées dans les attaques informatiques : le phishing (ou hameçonnage) qui consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance pour lui soutirer des ordres de virement ; et le ransomware ( ou rançonnage) qui opère via un logiciel informatique malveillant pour bloquer les fichiers de l’entreprise en échange d’une rançon. 

Si vous avez sous-estimé la menace, il n’est pas trop tard pour réagir et adopter les 10 bonnes pratiques qui vous protégeront des cybers criminels.

1. Vérifiez que toutes les mises à jour de sécurité ont été faites

Cela paraît évident et pourtant la faille part souvent de là : beaucoup de systèmes d’exploitation ne sont pas mis à jour (en particulier les appareils informatiques personnels). Or ces mises à jour n’apportent pas seulement de nouvelles fonctionnalités, elles corrigent aussi les vulnérabilités des systèmes de protection. Faites-vous donc confirmer par vos salariés télétravailleurs que toutes ces mises à jour ont été faites. 

2. Effectuez des sauvegardes

Appuyez-vous sur des supports non connectés aux ordinateurs : disques durs externes, clé USB et fournissez-en à vos salariés les plus à risque. Le but est bien sûr que vos données informatiques soient sécurisées. Informez vos collaborateurs de cette pratique et fixez-vous des calendriers de sauvegarde réguliers. 

3. Ne sous-estimez pas les mots de passe !

Le message doit passer très clairement au sein de l’entreprise : les mots de passe utilisés doivent être :

- Changés régulièrement

- Robustes sur toutes les plateformes (renseignez-vous, vos logiciels informatiques peuvent l’exiger)

- Différenciés selon les usages (interdiction d’utiliser les mêmes pour des programmes différents)

- Non cessibles (vous devez gérer les accès, les droits et cloisonner les usages)

4. Exigez la connexion VPN

Les salariés doivent être connectés aux données de l’entreprise au travers d’une connexion sécurisée. Ils doivent utiliser un logiciel VPN permettant un tunnel de connexion internet rendant inaccessible et anonyme ce qui circule à l’intérieur. Autrement dit, vous devez interdire à vos salariés ou collaborateurs de se connecter à des réseaux wifi publics pour envoyer ou lire les mails de l’entreprise. Il est primordial de les sensibiliser à cette pratique extrêmement courante et dangereuse pour l’intégrité des données de l’entreprise.

5. Instaurez un protocole de vérification des emails

Pour éviter les risques de phishing et de ransomware, il faut absolument appliquer une politique de traitement des mails de l’entreprise. D’abord il faut redoubler de vigilance sur les ordres de virement de « fournisseurs » et surtout à l’international et effectuer un double contrôle systématique.  Ensuite il faut former les équipes aux indices à détecter :

- Collaborateur inconnu avant le confinement

- Style du mail impersonnel

- Fautes de français et tournures automatiques grossières laissant penser à une traduction

6. Limitez au maximum les appareils informatiques personnels

L’ordinateur du bureau est peut-être moins confortable que celui de la maison, le smartphone personnel capte peut-être mieux que le téléphone de société mais rien ne justifie, du point de vue de la sécurité informatique, que vos équipes n’utilisent pas les outils professionnels. En effet ceux-ci sont sécurisés, mis à jour des logiciels barrières et sont le meilleur rempart aux attaques informatiques. Vous devez donc rappeler l’importance de ne pas utiliser ni la messagerie ni les appareils personnels pour communiquer des informations de l’entreprise. 

7. Développez une charte informatique d’urgence

À situation exceptionnelle, charte informatique exceptionnelle : il vous faut développer une ligne de conduite efficace pour les télétravailleurs. Elle contiendra les bonnes pratiques nécessaires à la protection informatique de l’entreprise et nécessitera l’engagement de chacun des salariés. Ce document, qui peut être annexé au règlement intérieur, sera ainsi doté d’une portée juridique qui lui donnera une autre dimension et permettra d’engager des sanctions disciplinaires en cas de manquement.  

8. Imaginez des mécanismes de protection contre le vol

Ils peuvent être nombreux mais on peut déjà penser à un marquage visible du matériel, à un verrouillage automatique, à un chiffrement des données ou encore des câbles de sécurité…

9. Pensez à l’assurance contre la cyber-attaque

Les assureurs à qui vous vous adresseront commenceront par vous faire une liste exhaustive des pratiques minimales de sécurité que vous devez appliquer afin d’être éligible à une assurance contre le cyber risque. Sous la forme d’un mini-audit, ils passeront en revue les failles de votre sécurité informatique puis vous proposerons un contrat en adéquation avec le risque que vous courrez en cas de cyber-attaque. 

10. N’oubliez pas le papier

Garder des informations capitales comme un annuaire de contacts validés ou de fournisseurs importants, sous forme papier, n’est jamais une mauvaise idée. Multipliez les sources secondaires afin de ne pas garder toutes vos données sous forme informatique.