Rechercher
  • Laetitia M

Cybersécurité des startups et TPE : Résoudre le Besoin Fort vs Moyen faibles vs Contexte Urgent.

Mis à jour : 9 oct. 2019

Avec la rapide évolution de la technologie, les menaces (cyber) sont de plus en plus présentes. Les entreprises doivent se prémunir contre d’éventuelles attaques et faire face aux différentes menaces (Intrusions, vol de données, ransomwares (rançongiciel en français), malwares (logiciel malveillant ou maliciel), phishing (hameçonnage), etc.), tout en respectant le nouveau règlement Européen sur la protection des données personnelles (RGPD(1)). Pas facile lorsqu’on est une petite structure, ou nouvellement implanté sur le marché. Comment résoudre ce besoin fort de sécurité informatique, dans ce contexte actuel urgent, lorsque les moyens sont faibles? Voici quelques conseils pour bien commencer, avant de pouvoir faire appel à une société spécialisée en cybersécurité: La première chose importante serait de faire signer aux employés une Politique de Sécurité des Systèmes d’Information (PSSI). Vous pouvez la rédiger vous-même, ou faire appel à un professionnel qui la rédigera pour vous. (Contact ici) Elle servira à décrire les mesures générales de l’entreprise, en matière de sécurité informatique. Souvent, les entreprises songent à rédiger une PSSI seulement après avoir été victimes de cyber-attaques. Le bon réflexe à avoir, est de l’instaurer dès le début, pour que les employés adoptent tout de suite les bonnes pratiques, et pour justement limiter les risques d’attaques. En effet, le bon questionnement à avoir n’est pas “Mon entreprise va-t-elle se faire attaquer?”, mais plutôt “Quand mon entreprise va-t-elle se faire attaquer?”. Vous ne pouvez pas rédiger ou faire rédiger une PSSI immédiatement? Voici quelques bonnes pratiques à mettre en place, sans délais, avec ou sans PSSI:

  1. Adopter une politique de mots de passe: Plus de détails sur cette page.

  2. Changer tous les identifiants par défaut du parc informatique, que ce soit logiciel ou matériel (Ex.: imprimantes).

  3. Contrôler les accès internet : Par exemple, mettre en place des VPN (si vos employés sont amenés à se déplacer professionnellement, et/ou à faire du télé-travail), mettre en place des pare-feux, antivirus, etc.

  4. Contrôler les accès WI-FI: Ne pas utiliser les bornes publiques que ce soit avec l’ordinateur portable ou le téléphone mobile professionnel. Bien effectuer la modification des identifiants et clé de connexion par défaut, et ce, dès la première utilisation.

  5. Sécuriser ses ordinateurs portables et téléphone mobiles (Mots de passe, chiffrage du contenu, activer l’option d’effacement à distance, etc).

  6. Faire des sauvegardes des données importantes de l’entreprise, en pensant à régulièrement les mettre à jour. Cela limitera les pertes en cas de cyber-attaque(s) (Par exemple: ransonware). Il y a plusieurs façon d’effectuer ses sauvegardes: physiquement (sur des disques externes par exemple, que l’ont pourra également emporter chez soi tous les soirs, pour que ces données soit sauvées en cas de vol ou même d’incendie), via internet (sur des serveurs externes sécurisés).

  7. Interdire les sauvegardes en ligne de données professionnelles sur les comptes personnels des employés (applications Cloud). De nombreuses solutions de stockage en ligne sont insuffisamment, voir non sécurisées.

  8. Maintenir à jour son parc informatique. Que ce soit au niveau logiciel, ou matériel.

  9. Vérifier régulièrement les bases de données publiques concernant les menaces et vulnérabilités de cybersécurité découvertes (Common Vulnerabilities and Exposures). Plus de détails sur cette page.

  10. Responsabiliser et former ses employés avec des formations en sécurité informatique.

  11. Responsabiliser et informer ses employés avec des MOOCs qui abordent le thème de la sécurité informatique. L’ANSSI met d’ailleurs à disposition des entreprises qui en font la demande, leur MOOC traitant de la sécurité informatique, sous format SCORM 2004. Vous pourrez alors le personnaliser avant de le présenter à vos employés(2).

Ces conseils permettent de réduire les risques de cyber-attaques, et d’en limiter les effets si elles ont lieu. Malheureusement, ces bonnes pratiques ne suffisent pas à elles seules à se prémunir contre les attaquants malveillants. Lorsque l’on n’est pas spécialiste en matière de sécurité informatique, le recours à un professionnel devient indispensable. La question de la cybersécurité ne doit pas être mise au second plan. Le budget alloué aux services informatiques doit prendre en compte la sécurité afin de mettre toutes les chances de son côté pour se protéger des attaques. Cybersecura propose un nouveau service de conseils de diagnostic et d’accompagnement en ligne, appelé "CS-Access", destiné aux petites structures et startups, qui n’ont pas de gros budgets. Pour en savoir plus, c’est ici. Pour aller plus loin: - Guide des bonnes pratiques de l’ANSSI: https://www.ssi.gouv.fr/administration/bonnes-pratiques/ - Guide des bonnes pratiques de l’informatique en 12 règles: https://www.ssi.gouv.fr/uploads/2017/01/guide_cpme_bonnes_pratiques.pdf (1): Règlement Général sur la Protection des Données. https://www.cnil.fr/fr/reglement-europeen-protection-donnees (2): MOOC de l’ANSSI: https://www.ssi.gouv.fr/actualite/secnumacademie-le-mooc-de-sensibilisation-a-la-cybersecurite-ouvre-ses-donnees/

Posts récents

Voir tout

© 2023 by CYBERSECURA    -   Photos par Blueys Photographie et Laetitia Michel