Cybersécurité et TPE : 5 petits changements qui feront toute la différence

Nous en sommes tous bien conscients : la cybersécurité est un enjeu d’actualité. Le numérique nous apporte autant d’opportunités qu’il nous apporte de dangers. Et les TPE et PME ne sont pas à l’abris du danger.

En décembre 2019, l’AFNIC publiait les résultats de son étude annuelle (librement téléchargeable), réalisée auprès de 3000 répondants : des micro-entreprises (97%), des TPE (8%) et des PME (5%). Parmi les répondants, 92% estiment que leur présence sur internet est indispensable ou utile à leur activité : 76% des entreprises sont présentes sur les réseaux sociaux, 69% possèdent un site internet, et 26% indiquent vendre leurs produits/services en ligne. (1)

Le numérique est donc un levier de développement incontournable pour les petites entreprises. Un levier générateur d’opportunités, mais également de risques. Des risques que ces petites entreprises n’ont pas toujours les moyens de prendre en main. Dans le domaine de la cybersécurité, les plus petites entreprises manquent bien souvent de moyens financiers, de moyens techniques, de moyens humains, et de compétences.

Seulement voilà : la cybersécurité est avant tout un ensemble de bonnes pratiques et de bonnes habitudes. Il s’agit souvent de petits changements organisationnels, de petits changements de routine, qui peuvent faire toute la différence.

Bien sûr, la cybersécurité est un environnement complexe, en constante évolution, qui ne peut être entièrement appréhendé que par des consultants experts. Mais il est tout à fait possible de se protéger contre une multitude de cyber menaces par l’application quotidienne de certaines habitudes de vérification et de sécurité.

Si vous êtes dirigeant d'une TPE, d'une PME, et que vous souhaitez initier la sécurisation de votre activité à votre rythme, et sans dépenser trop d’argent, alors voici 5 conseils qui feront toute la différence.

1- Cartographiez votre parc informatique

Car on ne peut pas protéger ce que l’on le connait pas. Dressez la liste de tous les équipements et services numériques que vous utilisez au quotidien dans votre activité : ordinateurs (et ses périphériques tels que les clés USB), tablettes, serveurs locaux, serveurs distants (hébergement de site internet, messagerie, etc.) ainsi que tous les autres périphériques pouvant être connectés les uns aux autres (box, commutateurs, clés 4G, imprimantes etc.).

Listez également tous les logiciels que vous utilisez : assurez-vous de leurs versions, de leurs bonnes mises à jour, de leur date de validité et assurez vous également de disposer des licences d’utilisation valides.

Mais au delà des différents outils et services numériques, cartographier son parc informatique signifie également cartographier ses flux.

Ainsi, dressez une liste des accès au système d’information de votre entreprise : qui y accède ? Sous quel statut (administrateur, utilisateur, invité) ? Par quel moyen d’accès (connexion locale, distante) ? Etc. Posez-vous toutes ces questions et ainsi inventoriez les interconnexions entre vos collaborateurs et votre système d’information.

Mais inventoriez également les interconnexions qu’il pourrait y avoir entre votre système d’information et l’extérieur (vers un prestataire, un partenaire par exemple).

Dressez ainsi la liste de tous les outils et services qui composent votre parc informatique, ainsi que la liste des différents flux depuis et vers votre parc informatique.

Vous aurez ainsi une vue d’ensemble de tous les éléments à protéger.

2- Séparer les usages informatiques

Le principal objectif de cette mesure est de limiter la propagation d’un éventuel virus ou d’une éventuelle infection en cas d’attaque.

Séparer les usages informatiques passe par plusieurs aspects :

• La création de comptes utilisateurs aux autorisations plus ou moins limitées en fonction des besoins de vos collaborateurs. Créez des comptes utilisateurs pour chacun de vos collaborateurs en veillant à n’accorder que les autorisations nécessaires à chacun d’entre eux. Demandez-vous : de quoi ont-ils besoin pour réaliser leur travail quotidien ? Ont-ils besoins d’accéder à des informations plus ou moins sensibles ? Etc. Veiller à la bonne utilisation des comptes utilisateurs permet notamment de limiter l’impact et le périmètre en cas d’attaque. Par exemple, le premier conseil en terme de création de comptes utilisateurs serait : “seuls les comptes utilisateurs/invités doivent être utilisés pour naviguer sur internet”. En effet, de nombreuses cyber attaques sont causées par une navigation risquée effectuée depuis des comptes à privilèges élevés. Au besoin, créez deux ou plusieurs comptes utilisateurs à vos collaborateurs en fonction de leurs besoins.
  

• L’utilisation d’un matériel informatique propre à la pratique professionnelle. Car dans l’idéal, la séparation des usages c’est ça : séparer les usages personnels et professionnels, et cela passe par les équipements. Exiger de vos collaborateurs qu’ils travaillent sur des postes de travail et sur le matériel de votre entreprise vous garanti une bien meilleure maîtrise de votre parc informatique (retour au premier conseil). De plus, et comme il s’agit du matériel de votre entreprise, vous serez alors en mesure d’exiger l’installation des logiciels anti-virus adaptés.
  

• Et le dernier aspect de la séparation des usages passe par la création de différentes boites mail en fonction des usages, et ainsi, par la création de la boite email professionnelle. Exiger de vos collaborateurs qu’ils échangent depuis une boite email professionnelle et sécurisée vous permet non seulement d’avoir votre mot à dire sur la qualité et la sécurité de la solution utilisée, mais cela permet également de tenir bien loin de vos systèmes d’information toutes les tentatives de phishing auxquelles votre collaborateur peut être soumis depuis sa boite email personnelle.

3- Implémentez une politique de mots de passe forts

Implémenter une politique de mots de passe robuste est indispensable dans la sécurisation de vos comptes utilisateurs sur les différents services utilisés.

Et cela passe par l’application de quelques règles simples :

• Un mot de passe robuste c’est 10 caractères minimum (plus si possible !) contenant des majuscules, des minuscules, des caractères spéciaux, et des chiffres. Dites vous que la plupart des attaques par force brute qui visent vos mots de passe sont lancées par des algorithmes qui ont la capacité de tester des milliers de combinaisons différentes à la minute ! Alors vous imaginez bien qu’un mot de passe trop simple est très facilement deviné par les attaquants et leurs logiciels.

• Un mot de passe robuste ne contient jamais d’informations personnelles. Dates de naissance, prénoms des enfants, des conjoints etc. : ces informations sont très facilement accessibles pour des attaquants qui vous viseraient personnellement. Peut-être en ligne, dans des registres communaux accessibles au public, ou peut-être que ce sont des informations que vous avez vous même publiées sans penser à mal sur vos comptes réseaux sociaux. Ainsi, et par prudence, n’incluez jamais aucune information personnelle dans vos mots de passe.

• Un mot de passe robuste est unique. Car oui, une politique de mots de passe forts passe par l’utilisation d’un mot de passe différent sur chaque service en ligne nécessitant une authentification. Ainsi, en cas d’attaque sur l’un de vos comptes, vos autres comptes, utilisant des mots de passe différents, ne seraient alors pas compromis.

• Un mot de passe robuste n’est certainement pas écrit sur un post-it collé à votre écran. Ce point parait bien souvent évident et pourtant : cela veut également dire qu’un mot de passe ne doit pas être inscrit sur une note posée sur votre bureau ou dans un quelconque calepin même si vous le pensez à l’abris des regards. Il est effectivement difficile d’appliquer les trois conseils précédents sans jamais noter ses mots de passe nul part : mais il existe une solution. De nombreux “coffre-forts” en ligne et autres logiciels vous permettent de garder vos mots de passe en sécurité. Ne retenez plus qu’un seul mot de passe complexe : celui pour déverrouiller votre coffre-fort, et notez tous les autres dedans. Certains “coffres-forts” peuvent même s’ajouter en extension sur votre navigateur et vous permettent de générer rapidement des mots de passe uniques et sécurisés, et de vous connecter de manière automatique et sécurisée aux sites que vous aurez enregistrés.

• Un mot de passe robuste ne se communique jamais. Ne jamais communiquer son ou ses mots de passe, même à vos collaborateurs, quelqu’en soit la raison. Même en contexte professionnel, un mot de passe c’est personnel. Et n’oubliez pas que le principe de l’ingénierie sociale utilise la manipulation pour inciter les utilisateurs à dévoiler leurs mots de passe.

4- Utilisez des anti-virus

Même si l’utilisation d’anti-virus n’est pas magique, cette solution est intéressante lorsqu’on a un budget limité à investir dans la détection et la prévention de cyber menaces.

Mais attention, un anti-virus pour être efficace doit être déployé sur tous les équipements, en priorité sur ceux connectés à internet.

Il doit être régulièrement maintenu à jour : vous devez donc effectuer aussi rapidement que possible les mises à jour logicielles lorsqu’elles vous sont proposées, mais également les mises à jour de la base de données de signatures. En effet, les anti-virus sont destinés à vous protéger contre les centaines de milliers de codes malveillants créés chaque jour : sans mise à jour régulière de cette base de données de signatures, de nombreux codes malveillants seront alors inconnus de votre anti-virus et ce dernier perdra en efficacité.

La majorité des anti-virus vous proposent de paramétrer les mises à jour automatiques ou encore des scans automatiques de vos espaces de stockage : l’activation de ces paramètres est fortement recommandée. Lors de l’achat d’un anti-virus de nombreux éditeurs de logiciels vous proposent également d’autres fonctionnalités intéressantes, qu’il serait utile de considérer en fonction de vos usages : pare-feu, filtrage Web, VPN, outils anti-hameçonnage ou de renforcement de sécurité bancaire, etc.

5- Veillez à la sécurité de vos données

Au delà des cyber attaques, un autre aspect de la cybersécurité qui représente un vrai danger pour les organisations est celui de la sécurité de leurs données.

En effet, toutes les organisations quelles qu’elles soient récoltent, traitent et/ou stockent des données. C’est même parfois le coeur de métier des entreprises.

Ainsi il est capital de veiller à la sécurité des données de votre entreprise, aussi bien des données organisationnelles que des données concernant vos collaborateurs, vos clients ou vos partenaires.

Pour assurer la sécurité de vos données :

• Là encore, cartographiez les données traitées par votre entreprise : cartographiez tout d’abord les données que vous récoltez et traitez, le reste viendra dans un second temps. Quelles données collectez-vous ? De quelle manière ? Dans quel but ? Quelles sont les données susceptibles d’affecter ou d’interrompre l’activité en cas de perte ou d’altération ? Y-a t-il des données soumises à des obligations légales ?

• Inventoriez ensuite les traitements de données : cette étape vous permettra d’identifier les personnes impliquées dans le traitement des données et ainsi de prendre les précautions nécessaires, et éventuellement de les former à cette mission.

• Vient ensuite la question du stockage des données : où vos données sont-elles stockées ? Sur quel support ? Il est recommandé d’effectuer des sauvegardes de données régulières (quotidiennes, hebdomadaires, mensuelles) en fonction des besoins de votre activité, et également d’en réaliser des copies. Ainsi, en cas de perte ou d’altération de vos données sur un tel support, elles resteraient toujours disponibles et à jour sur un autre support. En cas de stockage de vos données sur le Cloud, veillez à vous assurer de la qualité, de la fiabilité et de la sécurité de la solution utilisée. Quoi qu’il en soit, et malgré la sécurité de la solution de stockage utilisée, réaliser des sauvegardes régulières et des copies de vos données reste indispensable.

Au delà du cadre sécuritaire, cette question de sécurité des données relève aussi parfois du cadre légal (RGPD).

Bien évidemment, cette liste n’est pas exhaustive : la sécurisation d’un système d’information est plus complexe que cela.

Alors si ce n’est pas encore le cas : inscrivez la prise en compte des aspects de cybersécurité à l’ordre du jour dans votre entreprise. Investissez dans la sécurisation de votre activité au plus tôt, pour assurer sa pérennité.

En attendant, vous pouvez appliquer ces quelques conseils qui vous permettront dans un premier temps de limiter votre exposition, ainsi que celle de vos collaborateurs, aux cyber risques.

Dans le cadre de la sécurisation de vos activités, CyberSecura vous accompagne aussi bien sur les aspects cybersécurité que protection des données et conformité au RGPD.

Sources :

(1) "Les chiffres clés sur la présence sur Internet des TPE PME en 2019", France Num.

(2) "La cybersécurité pour les TPE/PME en douze questions", ANSSI.

Vous avez apprécié cet article de blog ?

Retrouvez plus de contenus en rapport avec la cybersécurité et la conformité réglementaire au RGPD sur le blog de CyberSecura !

Nous avons besoin de vos réponses !

En répondant à cette enquête, vous nous permettez de mieux comprendre vos interactions avec notre site ainsi que vos potentiel besoins.

Vos réponses sont anonymes, et à moins que vous ne demandiez à être re-contacté(e) par nos équipes, aucune information personnelle ne vous est demandée !

Merci pour vos réponses !

Vous souhaitez être informé(e) de nos actualités, et recevoir nos derniers articles de blog directement dans votre boite mail ? Abonnez-vous à notre newsletter mensuelle !

Vous souhaitez discuter de vos difficultés, de vos besoins, de nos offres ? Demandez à être contacté, gratuitement et sans engagement, par l'un de nos expert en cybersécurité !