• Isora Vachot

La cybersécurité des start-ups et TPE

Dernière mise à jour : 19 juil.

Besoins forts, moyens faibles et contexte urgent : 5 conseils pour initier sa cybersécurité à moindre coût


Avec la rapide évolution de la technologie, les cybermenaces sont de plus en plus présentes. Les entreprises doivent se prémunir contre d’éventuelles attaques et faire face aux différentes menaces (intrusions, vols de données, rançongiciels, virus, hameçonnage, ou autres techniques de social engineering) tout en respectant le nouveau règlement Européen sur la protection des données personnelles (RGPD).





Et tout cela n'est pas facile lorsqu’on est une petite structure, ou nouvellement implanté sur le marché.


Alors comment résoudre ce besoin fort de sécurité informatique, dans ce contexte actuel urgent, lorsque les moyens sont faibles ?



Voici quelques conseils pour initier la sécurisation de ses activités lorsqu'on est une petite entreprise :


1- Imposer des règles de sécurité dans son entreprise


En effet, imposer des règles de sécurité basiques est une première étape indispensable pour initier la sécurisation de son organisation.

A- Créer une politique de mots de passe forts.


Pour protéger les accès aux divers comptes utilisateurs en ligne, imposez à vos collaborateurs une politique de mots de passe forts.

  • Changez tous les identifiants par défaut du parc informatique (logiciel ou matériel)

  • Imposez un nombre de caractères minimum (entre 15 et 20 dans l’idéal)

  • Imposez l’utilisation de caractères spéciaux (&, !, ?, *, $)

  • Interdisez l’utilisation de mots du dictionnaire ou d’information personnelles dans les mots de passe ('nomdemafille14' est ainsi interdit !)

  • Imposez l’utilisation d’un mot de passe unique pour chaque service en ligne nécessitant une authentification

  • Changez vos mots de passe régulièrement, au moins une fois par an (et plus lorsqu'il s'agit d'un service sensible)

  • Exigez des mesures de protection renforcées (aucun partage de mots de passe, aucun mot de passe écrit ou disponible en clair).

  • Imposez l’utilisation d’un coffre fort à mot de passe (e.g. Keeper Password Manager, ou Dashlane) pour stocker les mots de passe de manière sécurisée (et pour ne pas avoir à les écrire où que ce soit) et pour faciliter la mise en place de cette politique de mots de passe forts.

B- Séparer les usages informatiques


En tant que dirigeant d’entreprise, il vous est tout à fait possible d’imposer l’utilisation d’un matériel professionnel pour des missions professionnelles. Cette séparation des usages est primordiale afin d’éviter que les tentatives d’attaques sur vos collaborateurs ne parviennent à entrer dans votre entreprise. Ainsi, pour des missions professionnelles, les collaborateurs doivent pouvoir travailler sur du matériel dédié à cet usage (téléphone portable, ordinateur, boite mail, etc.). Cette séparation des usages permet donc de limiter le périmètre et les conséquences d’une potentielle cyberattaque : si votre matériel professionnel est également votre matériel personnel, vous prenez le risque de voir l’ensemble de vos données (personnelles comme professionnelles) compromises en cas d’incident.


De plus, lorsque vos salariés travaillent sur du matériel appartenant à votre organisation, vous êtes alors en mesure d'imposer des règles, des mesures et des logiciels de sécurité, ce que vous ne pourriez pas imposer en cas de travail depuis du matériel personnel.


C- Contrôler les accès


Une autre règle primordiale de sécurité en entreprise est le principe de contrôle d’accès aux données, et notamment aux données sensibles. Beaucoup d’entreprises traitent quotidiennement un grand nombre de données personnelles, parfois sensibles, et sont ainsi dans l’obligation légale de veiller à leur sécurité. Lors de l’arrivée d’un nouveau collaborateur, il est donc important de ne lui ouvrir que les accès auxquels il aura besoin pour réaliser son activité professionnelle. Cela permet d’éviter les erreurs d’inattention ou les maladresses qui pourraient conduire à une fuite de données, mais cela permet également de protéger les données sensibles contre l’espionnage ou toute autre action malveillante et délibérée, qui pourrait parfaitement être menée en interne.



Ce principe de contrôle des accès implique également la création de comptes utilisateurs aux privilèges restreints. Ainsi, seuls les comptes utilisateur sont utilisés pour naviguer sur internet, et les comptes administrateur uniquement pour la configuration des appareils, logiciels et pour le téléchargement d'applications. Cette mesure permet là aussi de limiter les éventuelles conséquences en cas d'incident : ainsi, si vous naviguez sur internet depuis un compte utilisateur aux privilèges restreints, et en cas de clic sur un lien malveillant, l'attaquant n'aurait alors pas accès aux espaces de configuration et d'administration de vos matériels. Le périmètre d'attaque serait alors limité au seul compte utilisateur. Seulement, si vous naviguez sur internet depuis un compte administrateur disposant de tous les privilèges, et en cas de clic sur un lien malveillant, l'attaquant aurait alors la possibilité d'infiltrer l'espace administrateur de vos matériels, et ainsi d'installer des logiciels malveillants, de modifier les paramètres et la configuration de sécurité de votre matériel, etc.


En cas de départ d'un collaborateur, veillez également à révoquer ses accès au système d'information de l'entreprise.

D- Imposer des sauvegardes régulières


Sauvegarder vos données régulièrement est nécessaire afin de limiter les pertes liées à une éventuelle cyberattaque ou fuite de données. Il va vous falloir déterminer la fréquence de sauvegarde pour chaque type de donnée traitée, ainsi que les supports de sauvegarde que vous utiliserez. Vous pouvez ainsi décider de réaliser des sauvegardes quotidiennes, hebdomadaires, mensuelles ou annuelles, mais également décider de ne pas sauvegarder toutes les données de la même manière, à la même fréquence ou sur le même support. Vous pouvez effectuer ces sauvegardes sur des supports physiques (e.g. disques externes, clé USB) ou sur des supports en ligne ou nuagiques (e.g. sur des serveurs externes sécurisés, Cloud). Chaque support de sauvegarde présente des risques : les supports physiques (tels que les clés USB) peuvent être perdus ou volés, et les supports nuagiques peuvent être hackés.


Veillez à prendre ces risques en compte lors du choix de votre support de sauvegarde, et n'hésitez pas à réaliser des sauvegardes de vos sauvegardes pour les données les plus sensibles ou essentielles à votre activité.

Pour les sauvegardes réalisées sur un support nuagique, et surtout lorsqu'il s'agit de données sensibles et/ou confidentielles, il est recommandé de procéder au chiffrement des données en amont, afin de prévenir tous risque lié à un éventuel accès non autorisé.


Cette règle de sécurité est importante car elle permet de garantir qu’en cas d’attaque, les données ne sont pas toutes perdues ou inaccessibles.

Toutes ces règles de sécurité en entreprise peuvent être répertoriées dans une PSSI (Politique de Sécurité des Systèmes d’Information). Une PSSI est un document interne servant à décrire les mesures générales prisent par l’entreprise en matière de sécurité informatique.

Bien souvent, les entreprises ne songent à rédiger une PSSI qu'après avoir été victime de cyberattaque. Cependant, rédiger une PSSI en amont permet justement de limiter les risques et les conséquences d'une cyberattaque par l’imposition d’un cadre et de pratiques de sécurité. Ce document permet également de connaitre la marche à suivre en cas d'incident de sécurité.



2- Installer des logiciels anti-virus, des firewalls etc.


L’installation de solutions logicielles n’est en effet pas une recette miracle, mais cela est pourtant une première étape cruciale. En effet, bien que les solutions logicielles ne fassent pas tout, et bien que les hackers puissent toujours trouver des manières d’exploiter les vulnérabilités de ces dernières, une solution logicielle de sécurité vous offrira un premier rempart non négligeable face aux cyber menaces.

Voici donc quelques-uns des outils incontournables :

  • Un pare-feu (ou firewall en anglais) est un logiciel de sécurité informatique permettant de faire respecter la politique de sécurité déterminée précédemment. Ce dernier analyse, surveille et contrôle tous les types de flux de données, et donne l’alerte lorsqu’un flux semble suspect, et/ou ne répond pas aux exigences de la politique de sécurité (PSSI).

  • Un anti-virus est une solution logicielle vous permettant de vous protéger des virus et malware qui pourraient s’installer sur votre poste de travail.

  • Une solution anti-spam permet, une fois installée sur la boite mail, de filtrer les contenus indésirables, et considérés comme à risque (spam), afin d’éviter toute tentative de hameçonnage.


Au delà de la fonction protection contre les cyber menaces, les solutions logicielles sont également très efficaces pour détecter les incidents ou les anomalies le plus vite possible. Bien souvent, les cyber attaques ne sont détectées que des mois, parfois même des années après. Quelques fois, les organisations ne se rendent compte qu’elles ont été attaquées qu'après avoir découvert qu’elles étaient espionnées depuis plusieurs années !


Même si une solution logicielle ne peut pas vous garantir une protection à 100% contre toutes les cyber attaques, cela vous permet néanmoins de limiter les principaux risques et d’être averti rapidement en cas de suspicion d’attaque ou d’anomalie de fonctionnement.


3- Sensibiliser vos salariés aux différentes techniques de hameçonnage ou de social engineering


Le hameçonnage (ou phishing en anglais) est une technique malveillante visant à inciter l’internaute à communiquer ses informations personnelles (comptes d’accès, mots de passe ou données bancaires). Bien souvent, les techniques de hameçonnage utilisent l’email.

Avez-vous déjà reçu un email des impôts, vous apprenant que ces derniers vous devaient le remboursement d’une coquette sommes d'argent ? Probablement que oui. Cet email est un email de hameçonnage. Les internautes qui cliquent sur lien pour demander le remboursement sont alors redirigés vers une landing page créée de toute pièce par les hackers. L’internaute est alors invité à entrer des informations personnelles (identifiant et mot de passe, IBAN du compte bancaire pour le remboursement, numéros de carte bancaire pour payer les 3 euros de frais de livraison du cadeau que vous avez "gagné" etc.). Toutes les informations entrées sur cette landing page sont alors directement envoyées à l’attaquant qui pourra alors les ré-utiliser pour pirater vos comptes, voler et/ou revendre vos données, et dans des cas plus graves, usurper votre identité.

Le social engineering est une pratique de manipulation psychologique à des fins d’escroquerie. Un exemple très connu de social engineering est l’arnaque au président. Le Directeur Financier de l’entreprise est contacté par le « Directeur du Groupe » qui exige qu’un virement soit effectué au plus tôt sur tel compte bancaire, dans le cadre de la signature d’un gros contrat par exemple. La personne arnaquée est mise sous pression, l’attaquant ne lui laisse ni le temps de réfléchir, ni le temps de répondre, et un peu stressé le directeur financier s’exécute pensant échanger avec un interlocuteur légitime. Le temps de réfléchir, de s'informer, et de joindre le supposé interlocuteur via un autre moyen de communication, l'attaque est passée, et des milliers d’euros se sont envolés.

Il est capital de former et de sensibiliser ses collaborateurs à ces diverses techniques de hameçonnage et de social engineering, afin que ces derniers soient en mesure de reconnaitre ces tentatives d'attaques, et de réagir de façon adéquate si la situation venait à se présenter.

Les attaques de social engineering et de hameçonnage utilisent bien souvent les émotions humaines (la peur, la colère, l’excitation, l’impatience, l'injustice) et visent à mettre la victime dans un état de stress et de précipitation, de manière à ce que cette dernière ne soit pas en mesure de réfléchir tout de suite. Il est indispensable que vos collaborateurs soient en mesure de reconnaitre ces techniques de hameçonnage et de social engineering, afin de ne pas mettre votre entreprise en danger.


4- Pour les petites entreprises du numérique et les start-ups : faire appel à des professionnels pour travailler la cybersécurité par design de votre produit/solution/application


En effet, c’est un des aspects les plus souvent négligé par les petites entreprises développant des produits numériques. Très souvent concentrées sur le développement de leur produit, beaucoup en oublient qu’un jour, ces solutions viendront à être commercialisées, et qu’elle représenteront un vrai risque pour leurs utilisateurs si la cybersécurité n’a pas été prise en compte.

Le principe de cybersécurité par design, imposé par le RGPD, consiste à prendre en compte les aspects de cybersécurité du produit dès sa genèse. Cela permet non seulement de garantir un produit numérique à l’architecture fiable et sécurisée, mais cela permet également de gagner du temps, de l’argent et de l'énergie sur ces étapes de développement. Prendre en compte les aspects de cybersécurité à la fin du développement d’un produit est contre-productif, puisqu’en cas de problème de sécurité, tout est à refaire, ce qui risque d’occasionner une perte de ressources considérable.

De plus, la cybersécurité des produits et applications numériques est aujourd’hui un véritable argument commercial. Les clients et utilisateurs de solutions numériques sont aujourd’hui largement sensibilisés et conscients des cyber risques qui pèsent sur eux et sur leurs données personnelles. Garantir un produit à l’architecture fiable et sécurisée est donc un véritable avantage concurrentiel.

Mais au delà de la demande des utilisateurs, les investisseurs et autres business angels, bien conscients des enjeux économiques et sociétaux liés à l'utilisation du numérique, exigent également des preuves de sécurité et de protection des données personnelles dans le cadre du développement d'un produit numérique ou d'une application.


La cybersécurité par design devient alors un avantage concurrentiel indiscutable sur le marché, un véritable facteur clé de succès pour votre entreprise, mais également un argument incontournable pour rassurer utilisateurs, clients et investisseurs quant à la pérennité votre produit sur le marché.


5- Profiter des subventions régionales et nationales pour initier la cybersécurité de son organisation

Au niveau national, comme aux niveaux régionaux, de nombreuses aides financières et subventions sont accordées aux plus petites entreprises.

Le Plan France Relance notamment, a été évoqué pour la première fois par le Président de la République Emmanuel Macron en juillet 2020. L’objectif était de permettre la relance de l’économie française, ralentie par la crise sanitaire, en investissant dans les domaines les plus porteurs. Ce plan France Relance comprend un volet de cybersécurité piloté par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). Ce plan de relance s’adresse aux administrations, collectivités, établissements de santé et organismes publics souhaitant établir un état des lieux de l’état de leur cybersécurité et des actions à déployer, ou souhaitant mener à bien un projet de digitalisation nécessitant de la sécurité. Ces offres sont subventionnées par l’état (entre 70% et 100%), et peuvent être une occasion à ne pas rater pour initier la sécurisation de son activité.

Découvrez-en plus sur le Plan France Relance parcours cybersécurité.



Pour les entreprises, les régions proposent également ces types de subventions financières. La région Auvergne-Rhône-Alpes par exemple a récemment lancé 4 programmes Ambition Région, dont l’un concerne la cybersécurité des TPE et PME. Ce programme Ambition Région sur la cybersécurité des TPE et PME est particulièrement intéressant pour les plus petites entreprises, n’ayant pas de gros moyens financiers à dépenser auprès d’un prestataire de services, mais ayant tout de même des besoins importants. Cette subvention régionale permet aux plus petites entreprises d’accéder à des consultants experts tout en maîtrisant leurs coûts. Ces subventions sont généralement accordées aux plus petites entreprises (entreprises jeunes avec peu de collaborateurs) dans le but de les sensibiliser aux enjeux de cybersécurité, et de les accompagner dans cette première étape d'initiation, difficile et pourtant cruciale. Il serait dommage de passer à côté de ces aides si vous y êtes éligibles.

Découvrez-en plus sur ce programme Ambition Région Auvergne-Rhône-Alpes



Les autres régions de France proposent très probablement le même genre de subventions : n’hésitez pas à vous rapprocher de votre CCI, ou de votre CPME ou autre groupement ou associations d'entreprise : ils sauront vous diriger.


Pour conclure


Ces conseils permettent de réduire les risques de cyber-attaques, et d’en limiter les conséquences si elles ont lieu. Malheureusement, ces bonnes pratiques ne suffisent pas à elles seules à se prémunir contre les attaques malveillantes. Lorsqu’on n’est pas spécialiste en matière de sécurité informatique, le recours à un professionnel devient alors indispensable. La question de la cybersécurité ne doit pas être relayée au second plan : le budget alloué aux services informatiques doit ainsi prendre en compte la sécurité afin de mettre toutes les chances de son côté pour se protéger des attaques.




Nos ressources (presque toutes) gratuites :




Pour aller plus loin:


 

Vous souhaitez être informé(e) de nos actualités, et recevoir nos derniers articles de blog directement dans votre boite mail ? Abonnez-vous à notre newsletter mensuelle !



Vous souhaitez discuter de vos difficultés, de vos besoins, de nos offres ? Demandez à être contacté, gratuitement et sans engagement, par l'un de nos expert en cybersécurité !



 

s

61 vues