Sécurité informatique des PME : les 5 règles prioritaires

En devenant de plus en plus connectées, les entreprises deviennent de plus en plus vulnérables. SecuriteOff profite de cette rentrée pour rappeler les bonnes pratiques.

Elles sont toutes connues, mais hélas encore trop souvent pas ou mal appliquées par les PME. Nous nous sommes appuyés sur le « GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE. Il s’agit des « règles essentielles pour sécuriser vos équipements numériques » publiées par l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information) et la CGPME.

 

hacker-malware

 

1-Choisir avec soin ses mots de passe
Tous les jours, vous tapez plusieurs identifiants et mots de passe pour utiliser votre ordinateur ou accéder à des services en ligne. Pour réduire les risques de piratage ou d’usurpation d’identité, il est impératif d’utiliser des mots de passe forts c’est-à-dire contenant des lettres (minuscules et majuscules), des chiffres et différents symboles.
Ensuite, il ne faut jamais utiliser le même mot de passe pour différents comptes. Enfin, il faut les modifier tous les trimestres par exemple.
Reste le plus dur, comment les mémoriser ?

L’ANSSI propose deux méthodes :
• La méthode phonétique : “J’ai acheté 5 CDs pour cent euros cet après-midi” :
ght5CDs%E7am ;
• La méthode des premières lettres : “Allons enfants de la patrie, le jour de gloire est
arrivé” : aE2lP,lJ2Géa!

Pas toujours évident. L’autre option consiste à utiliser un logiciel qui protégera vos différents mots de passe (mais aussi vos dossiers les plus critiques). Vous pouvez par exemple utiliser Gostcrypt ou pour une simple liste de mots de passe à protéger, Keepass.

 

2-Mettre à jour régulièrement vos logiciels
Régulièrement, les éditeurs de logiciels et de systèmes d’exploitation mettent à disposition des correctifs de sécurité et des mises à jour fonctionnelles. N’hésitez pas à les installer en ayant, au préalable, effectué une sauvegarde (l’installation d’une mise à jour qui s’avère en réalité “buggée” peut entraîner des dysfonctionnements).

 

3-Bien connaître ses utilisateurs et ses prestataires
La multiplication des accès et des intervenants extérieurs sur le réseau informatique d’une entreprise devient de plus en plus problématique. L’ANSSI rappelle que l’entreprise ne doit créer, pour ses employés, « que des comptes utilisateur. Elle doit aussi identifier précisément les différents utilisateurs du système et les privilèges qui leur sont accordés. Tous ne peuvent pas bénéficier de droits d’administrateur. Enfin, il faut supprimer les comptes anonymes et génériques (stagiaire, contact, presse, etc.).
Chaque utilisateur doit être identifié nommément afin de pouvoir relier une action sur le système à un utilisateur. »

 

4-Effectuer des sauvegardes régulières
En avril 2016, une PME est touchée par un ransomware. Les 15 ordinateurs de l’entreprise (23 salariés) sont infectés. L’activité est au point mort. L’entreprise n’a plus accès à ses fichiers clients, aux catalogues, aux photos, à la paie… Dans la foulée, les responsables de l’entreprise constatent une défaillance du système de sauvegarde des données. Ils n’ont pu récupérer que celle effectuée au 31 décembre. Bilan : 4 mois de travail perdus !

Pour éviter de connaître le même sort, il est indispensable de faire des sauvegardes régulières, mais aussi de vérifier l’efficacité de la restauration des données !
Vous pouvez effectuer ces sauvegardes en local (pour les données les plus critiques, nous vous conseillons également d’utiliser un disque dur externe pour ne pas tout perdre en cas de dégâts des eaux ou d’incendie…).
Vous pouvez aussi stocker vos fichiers en ligne. Là aussi, l’ANSSI rappelle qu’avant d’effectuer « des sauvegardes sur des plateformes sur Internet (souvent appelées
« cloud » ou « informatique en nuage »), soyez conscient que ces sites de stockage
peuvent être la cible d’attaques informatiques et que ces solutions impliquent des
risques spécifiques : risques pour la confidentialité des données, risques juridiques liés à l’incertitude sur la localisation des données, risques pour la disponibilité et l’intégrité des données, risques liés à l’irréversibilité des contrats. »

 

5-Protéger ses données lors de ses déplacements
C’est une règle encore trop peu appliquée. Pourtant, de plus en plus d’entreprises souhaitent se développer à l’étranger. Elles envoient des commerciaux ou des dirigeants pour décrocher de nouveaux contrats ou signer des partenariats avec des intermédiaires. Or tout déplacement à l’étranger peut représenter un risque. La concurrence peut tenter d’intercepter des données confidentielles.

À juste titre, l’ANSSI précise qu’avant « de partir en mission, n’utilisez que du matériel (ordinateur, supports amovibles, téléphone) dédié à la mission, et ne contenant que les données nécessaires. Sauvegardez ces données, pour les retrouver en cas de perte. Si vous comptez profiter des trajets pour travailler, emportez un filtre de protection-
écran pour votre ordinateur. Vérifiez que vos mots de passe ne sont pas préenregistrés. »
Après la mission, l’agence préconise d’effacer l’historique des appels et de navigation, de changer les mots de passe que vous avez utilisés pendant le voyage, de faire analyser vos équipements après la mission. « Si vous le pouvez. n’utilisez jamais les clés USB qui peuvent vous avoir été offertes lors de vos déplacements (salons, réunions, voyages…). Très prisées des attaquants, elles sont susceptibles de contenir des programmes malveillants ».

 

Deux sites à retenir :
ANSSI.

Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (Police nationale).