Les TPE/PME et indépendants sont souvent confrontés aux manques de moyens et de compétences pour sécuriser leur système informatique. Les enjeux sont pourtant importants en cas d’attaque informatique : réparation parfois longue et coûteuse, perte de chiffre d’affaires, perte de réputation.
Ce guide a pour vocation de fournir aux Small Business (SMB) des conseils pratiques et abordables pour sécuriser leur entreprise. Il est basé entre autres sur le travail du National Cyber Security Center (NCSC) et des recommandations de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).
1. Sauvegarder ses données
Sauvegarder ses données permet d’augmenter sa résilience en cas d’attaque informatique : le risque zéro n’existe pas, aussi mieux vaut être préparé et pouvoir remettre son entreprise opérationnelle le plus rapidement possible.
✅ Identifiez les données à sauvegarder
Ce sont les données essentielles au bon fonctionnement de l’entreprise : les documents, photos, e-mails, contacts, calendriers et tout autre dossier informatique de travail qui se trouvent sur vos PC, smartphones et tablettes. Additionnellement, certaines entreprises peuvent posséder des serveurs de fichiers ainsi que des configurations d’équipements/logiciels spécifiques qui doivent également faire l’objet de sauvegardes.
✅ Sécurisez les sauvegardes
Ne gardez pas les sauvegardes au même endroit que les données à sauvegarder : faites-en plusieurs copies sur des disques durs / clés USB. Certaines solutions permettent également d’héberger les sauvegardes dans le cloud. Selon la criticité des données il est intéressant d’utiliser à la fois le cloud et le support physique. Assurez-vous que les sauvegardes ne sont accessibles que par les personnes autorisées, gardez-les déconnectées lorsqu’elles ne sont pas utilisées et séparez les copies en différents endroits géographiques (en cas d’incendie ou de vol).
✅ Mettez en place un processus et assurez-vous qu’il soit suivi
Déterminez une fréquence de sauvegarde (quelle quantité de données pouvez-vous vous permettre de perdre ?). Assurez-vous que les données sont correctement sauvegardées : vérifiez par exemple que la modification d’un document a correctement été répercutée dans les sauvegardes. L’utilisation de solutions de sauvegardes automatiques pourra faciliter ce processus manuel fastidieux et prompt à l’erreur mais il faudra tout de même vérifier régulièrement le niveau de fraicheur des sauvegardes et la capacité à les restaurer.
Pour plus d’informations sur les sauvegardes : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/bonnes-pratiques/sauvegardes.
2. Se protéger des virus
Les virus (malwares) sont des logiciels permettant aux hackers d’infecter vos équipements afin de récupérer vos données, les rendre inaccessibles ou contrôler votre PC à distance.
✅ Utiliser un logiciel antivirus
La plupart des systèmes d’exploitation proposent des logiciels antivirus gratuits inclus : il faut s’assurer qu’ils sont bien activés. Si le budget le permet, un antivirus commercial pourra être utilisé afin de fournir d’avantages de fonctionnalités. Ces derniers proposent une mise à jour automatique et un scan automatique des espaces de stockage qu’il sera bon d’activer. Assurez-vous qu’un maximum d’équipements possèdent un antivirus.
✅ Limitez l’installation de programmes malveillants
Assurez-vous d’installer des applications mobiles qui proviennent uniquement des stores officiels (Google Play, Apple App Store). De la même manière, n’installez sur vos ordinateurs que des logiciels dont la provenance est de confiance. Sur les PC, n’utilisez pas un compte administrateur pour votre travail quotidien : privilégiez un compte utilisateur simple et utilisez le compte d’administration lorsqu’il est nécessaire.
✅ Maintenez votre système d’information à jour
Cette règle est une des plus importantes afin d’améliorer la sécurité informatique de votre entreprise. Il est indispensable d’effectuer les mises à jour (patching) des systèmes d’exploitation et de tout logiciel dès la mise à disposition des correctifs de sécurité par leurs éditeurs. Activez les mises à jour automatiques partout où elles sont disponibles : aux niveaux des OS, logiciels métiers et bureautiques, ainsi que les équipements informatiques. Si vous passez par un sous-traitant, exigez cette pratique dans vos contrats. Les logiciels possèdent une fin de vie à partir de laquelle les éditeurs ne proposent plus de mises à jour : pensez alors à les remplacer avec une alternative moderne.
✅ Prêtez attention aux clés USB
Les clés USB sont un vecteur de transmission des virus bien connu. Afin de réduire le risque lié à leur utilisation il est préconisé d’activer l’analyse antivirale des supports amovibles et de ne pas brancher de clé USB dont la provenance est inconnue.
✅ Activez votre pare-feu
Les postes de travail sont souvent équipés d’un pare-feu local, préinstallé avec le système d’exploitation : le paramétrage par défaut est souvent suffisant dans le cas d’une petite entreprise (bloque toute connexion entrante). Ne modifiez pas les paramètres de pare-feu de votre box internet si vous n’en maitrisez pas les tenants et aboutissants : cela pourrait exposer vos partages de fichiers ou d’autres services sensibles sur Internet. Si le système d’information est plus étendu, des pare-feux physiques peuvent être configurés, auquel cas un guide spécifique pourra être utilisé. L’appel à un prestataire qualifié dans ce dernier cas est fortement recommandé.
3. Sécuriser ses smartphones et tablettes
Les équipements mobiles type smartphones et tablettes sont souvent utilisés en environnement professionnel. Lorsque le budget est suffisant, l’utilisation d’un MDM (Mobile Device Management) pourra permettre d’administrer sa flotte mobile. Autrement, les trois règles suivantes permettront de limiter les risques liés à la mobilité :
✅ Configurez un PIN/mot de passe complexe pour y accéder
Un PIN complexe sera composé d’au moins 8 chiffres. Par ailleurs, les équipements mobiles modernes proposent le déverrouillage par empreinte digitale ou reconnaissance faciale : il est recommandé de l’activer et de l’utiliser.
✅ Assurez-vous que les équipements mobiles sont tenus à jour
Activez les mises à jour automatiques de l’OS et des applications et sensibilisez vos employés à faire de même.
✅ Ne vous connectez pas à n’importe quel réseau Wi-Fi
Les Wi-Fi publics (hotspots) sont pratiques mais généralement peu sécurisés. Il se peut parfois qu’ils soient même contrôlés par des individus malveillants. Préférez votre connexion 4G/5G qui inclue des sécurités par défauts, quitte à partager la connexion avec votre ordinateur si nécessaire. L’utilisation d’un VPN pourra protéger votre activé lors de connexions sur des réseaux Wi-Fi inconnus : attention à utiliser un VPN de l’entreprise ou bien un service tiers de confiance.
4. Se protéger par les mots de passe
Les mots de passe, si utilisés et implémentés correctement, sont une manière efficace et gratuite d’augmenter la sécurité de votre entreprise et de vos données.
✅ Protégez vos équipements par un mot de passe
Que ce soit pour vos smartphones, tablettes ou PC, il est fortement recommandé de configurer un mot de passe unique, connu de vous seul et complexe. Pour générer ce type de mots de passe, la CNIL propose une méthode efficace. Déverrouiller un équipement doit nécessiter un mot de passe afin qu’il soit sécurisé. Assurez-vous également d’activer le chiffrement de ces différents équipements quand disponible : BitLocker pour Windows, FileVault pour macOS et autres fonctionnalités souvent inclues dans les OS mobiles.
✅ Utiliser l’authentification double-facteur (2FA) quand disponible
L’authentification double-facteur permet de demander à l’utilisateur une deuxième vérification de son identité (par exemple un SMS ou un code Google Authenticator) en plus de son mot de passe. Ainsi, même si ce dernier a été compromis, l’attaquant aura bien plus de mal à prendre possession du compte. Configurer cette fonctionnalité ajoute une couche de sécurité très importante, en particulier dans les petites entreprises où les comptes sont souvent partagés et utilisés sur des équipements non maîtrisés (comptes sur les réseaux sociaux, comptes d’accès à un ERP ou chez des fournisseurs).
✅ Utilisez des mots de passe uniques et complexes
Confrontés à la multitude de services qui nécessitent un mot de passe, nous avons le réflexe d’utiliser le même partout ou dans différentes déclinaisons. Les attaquants le savent et l’utilisent pour compromettre l’ensemble de vos comptes (pro comme perso) lorsqu’ils découvrent votre mot de passe. Afin de sécuriser vos accès importants, utilisez un gestionnaire de mots de passe comme Keepass : plus besoin de retenir ses mots de passe qui peuvent être désormais générés automatiquement. Un guide d’utilisation est mis à disposition par le gouvernement.
✅ Changez les mots de passe par défaut
Les smartphones (carte SIM), PC et autres équipements sont souvent livrés avec des mots de passe par défaut du constructeur. Il est préférable de tous les modifier car ils sont également bien connus des hackers.
5. Limiter les risques du phishing
Dans une attaque de phishing typique, les escrocs envoient de faux e-mails à des milliers de personnes, demandant des informations sensibles (telles que des coordonnées bancaires) ou contenant des liens vers des sites Web malveillants. Ils peuvent vous inciter à envoyer de l’argent, voler vos coordonnées pour les revendre, ou avoir des motifs politiques ou idéologiques pour accéder aux informations de votre organisation. Les e-mails d’hameçonnage sont de plus en plus difficiles à repérer, et certains piègeront même les utilisateurs les plus attentifs. Quelle que soit votre entreprise, grande ou petite, vous recevrez des attaques par phishing à un moment donné.
✅ Sécurisez vos comptes pour limiter l’impact d’une attaque réussie
Le principe du moindre privilège est une règle d’or en sécurité informatique : il faut octroyer les privilèges strictement nécessaires à leurs tâches aux employés. Appliqué aux risques du phishing, cette règle implique que pour limiter l’exécution d’un virus ou le vol du compte d’un employé, il faut que leurs droits soient limités : utilisation d’un compte non-administrateur sur leur PC, des comptes non-administrateurs sur les logiciels métiers, configuration d’authentification double-facteur quand c’est possible. Cette règle doit également s’appliquer aux cadres dirigeants de l’entreprise : un compte administrateur ne doit être utilisé que lorsqu’une tâche d’administration est à effectuer.
✅ Consolidez votre manière d’opérer
Les opérations sensibles de votre entreprise doivent avoir un mode opératoire clair et bien défini : créations de nouveaux comptes informatiques, réalisations de virements bancaires, réinitialisations de mots de passe. Il est important que les dirigeants, les employés et les éventuels partenaires connaissent ces processus et que les interlocuteurs soient bien identifiés. Portez également une attention particulière lorsque vous communiquez : avez-vous l’habitude de demander des mots de passe par messages électroniques (e-mails, WhatsApp) ? Vos e-mails ont-ils une identité visuelle bien définie ? Un mail de phishing « classique » ne reprendra pas par exemple la signature précise de l’entreprise. Attention, cela ne veut pas dire, bien évidemment, qu’il faut faire confiance à n’importe quel mail avec la signature de l’entreprise.
✅ Sachez reconnaître les signes évidents
Il y aura toujours des attaques de phishing qui passeront les défenses et l’attention des employés. Cependant il est possible d’appliquer quelques règles simples afin de désamorcer les attaques les plus évidentes :
- Grand nombre de phishings sont envoyés depuis d’autres continents ce qui rend parfois l’orthographe et la ponctuation hasardeuse (bien que ce soit également le cas parfois dans les échanges légitimes…). Par ailleurs les logos et l’aspect global du mail sont souvent plus pauvres que les communications officielles.
- Est-ce que le mail s’adresse directement à vous ? Il n’est pas rare qu’il soit adressé de manière générique à « cher client », « amis » ou « collègue ».
- Vérifiez l’adresse électronique d’envoi (en passant la souris sur l’expéditeur si nécessaire) : vous paraît-elle légitime ?
- Le contenu est-il tourné de manière à générer un sentiment d’urgence ou de menace ? Les attaquants utilisent ce biais psychologique pour inciter les victimes à agir sans réfléchir.
- Attention aux e-mails semblants provenir de l’intérieur de l’entreprise, d’une personne haut placé, vous adressant une demande d’opération sensible. Prenez le temps d’analyser le mail et la légitimité de la demande. Dans le doute, téléphonez directement à la personne ou demandez un second avis.
- Si c’est trop beau pour être vrai, ça l’est certainement …
✅ Dans le doute, signalez
Encouragez vos employés à reporter les mails de phishing ou demander de l’aide s’ils suspectent une attaque. Cela permet de réagir plus vite et prévenir les autres employés. Ne punissez pas un employé qui se serait fait avoir car cela incite à cacher les incidents par la suite. Lorsque vous suspectez une compromission, déconnectez l’équipement, réalisez une analyse antivirale, changez les mots de passe de l’utilisateur et déclarez l’incident sur cybermalveillance.gouv.fr.
🛡️ DSecBypass vous accompagne sur la sensibilisation de vos équipes aux risques cyber grâce à des simulations d’attaques phishing ainsi que des conférences vulgarisées et interactives. N’hésitez pas à nous contacter pour des informations complémentaires et/ou un devis personnalisé 📝.
Références : https://www.ssi.gouv.fr/uploads/2021/02/anssi-guide-tpe_pme.pdf, https://www.ncsc.gov.uk/collection/small-business-guide, https://www.economie.gouv.fr/files/bro-guide-secu-info-print_0.pdf