Cybersécurité : les PME sont ciblées et doivent agir

Aujourd'hui, tous les aspects de notre vie économique sont connectés. Il est important que les petites et moyennes entreprises sécurisent les applications et les appareils dont elles dépendent pour ces activités.

Et cela concerne non seulement les ordinateurs, fixes et portables, mais aussi les téléphones mobiles que les employés utilisent. D'après une enquête menée par la CPME (Confédération des Petites et Moyennes Entreprises), 4 entreprises sur 10 de moins de 50 salariés ont déjà subi une ou plusieurs attaques informatiques.

Alors que les PME sont elles aussi la cible de cyberattaques, l’objectif ultime est la protection de leurs actifs – leurs données et appareils – et la prévention de la fraude et de la cybercriminalité en ligne. Pour y parvenir, il est nécessaire de mettre en place des mesures de cybersécurité adéquates ainsi que des pratiques et des comportements adaptés à la présence en ligne.

Ajouter des facteurs d’authentification

L’authentification à deux facteurs (2FA) offre un niveau de protection plus élevé qu’une simple combinaison de nom d’utilisateur et de mot de passe, véritable maillon faible de la sécurité. Elle fonctionne en utilisant deux moyens distincts pour confirmer l’identité présumée d’un individu. En général, la première vérification reste un mot de passe, mais la seconde peut être un identifiant biométrique, tel qu’une empreinte digitale ou un scan de l’iris, ou un dispositif physique tel qu’un authentificateur. Ce dernier peut se présenter sous la forme d’une application ou un dispositif matériel, tel qu’une clé de sécurité. Dans ce cas, les employés enregistrent leur clé sur les applications et les appareils qu’ils utilisent et se voient ensuite demander la clé à chaque connexion ultérieure, ce qui permet d’assurer un niveau de protection plus élevé des réseaux, des applications et des données. Ce dispositif d’authentification peut notamment contribuer à résoudre le problème de la sécurité des téléphones portables.

Sensibiliser et former l’ensemble du personnel à la sécurité

Les cybercriminels qui ciblent les organisations utilisent généralement des liens, insérés dans des emails, et des contenus infectés comme point d’entrée. Si les employés cliquent sur ces liens, téléchargent ou ouvrent ce contenu, ils risquent d’exposer les systèmes de l’entreprise à des logiciels malveillants. La vigilance est essentielle dans toute activité en ligne, ce qui impose de ne pas ouvrir de liens provenant de sources non validées ou ceux qui semblent avoir été compromis. En cas de doute, le plus simple est de ne pas le faire. 

Les mesures de sécurité doivent être pratiques et faciles à mettre en œuvre si l’on veut que le personnel les respecte. Cependant, aucune mesure, aussi forte soit-elle, ne saurait remplacer la nécessité de sensibiliser et de former l’ensemble des employés. Il est ainsi primordial d’assurer une communication régulière sur des sujets de cybersécurité, tels que l’adoption d’un comportement vigilant en ligne et lors de l’utilisation de l’email, non seulement pour veiller à ce que le personnel reste informé – ce qui est en soi essentiel – mais aussi pour développer une culture de la cybersécurité au sein de l’entreprise.

Il est crucial que la formation à la cybersécurité soit intégrée dans les programmes d’initiation et constitue par la suite une exigence permanente pour tout le personnel. De plus, la politique de sécurité IT devrait fournir des orientations claires sur l’utilisation des appareils et des applications ainsi que sur les comportements et les actions souhaités. Il est généralement beaucoup plus facile de convaincre les individus de prendre part aux mesures s’ils comprennent non seulement ce qu’on leur demande de faire, mais aussi pourquoi.

La sécurité en ligne est un impératif pour toute entreprise. Si les organisations ne prennent pas de mesures pour se protéger, elles sont susceptibles d’être victimes de cyberattaques préjudiciables. Afin de réduire le risque de piratage de mots de passe et de violation de données, les entreprises devraient veiller à mettre en place une politique de sécurité IT claire, à ce que leur personnel ait accès aux outils de protection adéquats – et les utilise – et à ce que les procédures fondent les bases propices au développement d’une culture axée sur la cybersécurité. Aucune organisation ne peut se reposer sur ses lauriers. C’est pourquoi il est important que le personnel reçoive régulièrement des communications et des formations sur la protection des actifs de l’entreprise et la cybersécurité.