Dix conseils pour garantir la sécurité informatique de sa PME

Les infections de logiciel sont toujours plus variées. Comment s’en protéger ?

Dix conseils pratiques.

Choix des mots de passe, sécurité des lieux physiques, mise à jour des systèmes, chiffrement des données sensibles…. Les comportements à suivre pour se protéger de tentatives de hacking au sein de son parc informatique sont cruciaux. Voici quelques conseils à suivre pour éviter toute mauvaise surprise.

 

Sensibiliser le personnel

Selon Alexandre Karlov, professeur en sécurité informatique à l’Institut des technologies de l’information et de la communication à la HEIG-VD, la sensibilisation du personnel aux cyber-risques peut se faire via de courtes formations en ligne ou des workshops. Il est également utile de vérifier régulièrement si les employés restent attentifs. On peut par exemple simuler une attaque en envoyant des emails avec des liens malveillants afin de constater combien de personnes tombent dans le piège.

 

Mettre à jour les systèmes

Il convient de s’assurer fréquemment que les systèmes – au niveau des postes, des serveurs comme des applications – bénéficient des dernières mises à jour de sécurité. Limiter la consultation de certains sites en fonction des activités de l’entreprise peut également se révéler judicieux.
Déployer un système de monitoring et chiffrer les données sensibles.

En fonction de la taille et du budget de l’entreprise, Alexandre Karlov conseille de déployer un système de monitoring du réseau afin de détecter des attaques, ainsi que des tentatives d’exfiltration des données. La société peut aussi faire appel à un SOC (Security Operation Center) externe. L’expert recommande par ailleurs de chiffrer les données sensibles sur les serveurs et les postes client (données financières, RH, etc.).

 

Choisir des mots de passe forts

Un bon mot de passe doit être long et complexe, par exemple 10 caractères avec au minimum une minuscule, une majuscule, un chiffre et un caractère spécial. De même, le mot de passe ne doit pas être basé sur un mot (nom commun, prénom, nom de famille, lieu), car il pourra alors être trouvé à l’aide d’une attaque par dictionnaire. Il est recommandé de choisir des « phrases de passe ». Il s’agit d’accoler plusieurs mots sans rapport avec le compte protégé. Il peut s’agir par exemple de « vache, guitare, volet, sentir » ou « fleur, espoir, graffiti, voiture ». Ces phrases permettent de remplir les conditions de complexité tout en étant faciles à mémoriser.

 

Ne pas réutiliser ses mots de passe

Il est important de ne pas utiliser le même mot de passe sur les différents comptes. Idéalement, chaque compte devrait compter un mot de passe différent et unique, qu’il s’agisse de messagerie, e-banking, forums ou sites de réservation. Par ailleurs, il faut s’assurer que les mots de passe par défaut sont mis à jour régulièrement sur les routeurs et autres périphériques. Il faut changer les mots de passe à des intervalles réguliers sur les services et les postes de travail que les employés utilisent.

 

Ne pas négliger la sécurité physique des lieux

La sécurité informatique d’une entreprise passe aussi par une bonne sécurisation du matériel et de l’accès aux locaux. Alexandre Karlov recommande d’établir une liste des règles à suivre, comme par exemple verrouiller l’écran lorsqu’on quitte le poste ou fermer la porte à clé lorsque personne ne reste dans les locaux. Il faut aussi s’assurer que le réseau WiFi soit protégé avec un protocole de type WPA.

 

Ne jamais interagir avec le contenu d’e-mails suspects.

Aucun employé ne doit cliquer sur les liens contenus dans des e-mails non-sollicités (tels que les spam) ou suspects, ni ouvrir les fichiers attachés.

 

Effectuer des tests réguliers.

Pour Philippe Oechslin, chargé de cours en informatique et systèmes de communication à l’EPFL, quelques mesures simples peuvent éviter de gros soucis de sécurité informatique, tout comme une bonne hygiène dentaire peut éviter les caries. « Une de ces mesures est le test régulier de la sécurité des systèmes, affirme-t-il. Une vérification du bon fonctionnement des sauvegardes permet par exemple d’éviter une mauvaise surprise le jour où les données de l’entreprise sont chiffrées par un rançongiciel. De même, des applications sensibles, comme par exemple une application permettant de faire des paiements, peuvent être mise à l’épreuve d’un test d’intrusion réalisé par des pirates éthiques pour détecter d’éventuelles failles. »

 

Définir un processus de réponse.

Définir une réponse efficace aux incidents de sécurité informatique et nommer des personnes responsables s’avère également utile. Dès 5 à 7 employés, il convient de nommer un responsable de la sécurité informatique, en établissant une liste de responsabilités et de tâches à effectuer.

 

Établir une politique de gestion de risques.

En fonction de la taille et du budget de la société, on devrait commencer à établir une politique de gestion de risques de sécurité informatique en suivant des frameworks (ou cadres d’applications) connus tels ISO 27001 ou Octave. Enfin, pour les grandes entreprises, il convient de définir une politique de sécurité présentant les différents niveaux de sensibilité de documents et de données, ainsi que la politique de leur traitement.

Anciennement —->>>> Source Portail PME pour petites et moyennes entreprises

Vous êtes invités à ne pas suivre les Nouvelles Tendances proposés par les Damnés ( Copiez/collez le lien dans votre navigateur pour visiter )  ici —>>> https://www.kmu.admin.ch/kmu/fr/home/faits-et-tendances.html#

Ensuite soyez prudent avec les liens internet et ne cliquez pas sur n’importe quel lien et faites un contrôle immédiat :

Autant en surfant qu’en consultant vos e-mails.

Exemple : Sur un mail non sollicité ( Ne cliquez jamais sur un des lien proposé ), mais déposez la souris sur ces liens internet et voyez/contrôlez si les noms de domaines (Tiennent la route). On peut rapidement avoir l’information d’un lien dans le bas au fond à gauche de votre écran ( PC )

D’autres informations sur la cybercriminalité :

Diverses exemples et types d’arnaques en vidéo

Dans la rubrique Aide de ce site ou en cliquant sur ce lien : ► Aide    

 

Des informations sur un site internet de la Police : ►►► Votre Police    

 

Signaler une fraude ou une arnaque à Fedpol : ►►► Toutes les informations ici !