4 réflexes à adopter en entreprise pour rester en sécurité sur Internet
Alors que le risque de cyberattaque ne cesse d'augmenter, touchant toutes les entreprises quel que soit leur secteur d'activité, quelques réflexes et règles simples permettent de s'en prémunir.
Chaque année
sabotages, espionnages industriels et vols de données affectent les
entreprises, quel que soit leur secteur. Selon un baromètre réalisé par le
CESIN auprès de plus de 200 entreprises et administrations françaises, 81% [1]
d’entre elles ont été visées par une cyberattaque au cours de l’année 2015.
Les criminels profitent aujourd’hui de la grandissante économie des réseaux; le
risque de cyber-attaque ayant augmenté de 35% dans le monde et de 51% en France
en 2015 [2].n Au delà de l’impact sur la réputation, les dommages liés à ces
attaques entament les résultats économiques de ces entreprises. Elles peuvent
notamment viser les données relatives au savoir-faire et à l’expertise propres
à l’organisation. Une étude de NTT Com Security révèle qu’il faudrait en moyenne
neuf semaines pour se remettre d’une cyber-attaque, avec un coût moyen
avoisinant les 800 000€ [3].
Si toutes les entreprises représentent une cible potentielle de pirates informatiques, Symantec indique dans son rapport annuel que ce sont les TPE et PME qui sont néanmoins les plus vulnérables [4]. Moins équipées, moins informées, elles sont la cible privilégiée des hackers. Bien que la sécurité absolue n’existe pas, quelques règles et certains réflexes simples permettent toutefois de se prémunir des risques, à la fois internes et externes, et d’en réduire considérablement les conséquences.
1/ Eduquer les collaborateurs sur les enjeux de sécurité
La guerre contre la cybercriminalité ne se gagnera pas uniquement par la technologie. L’élément clé de n’importe quelle mesure de sécurité en entreprise reste le collaborateur même, qui reste la cible favorite des cybercriminels [5]. Face à un environnement professionnel de plus en plus flexible, l’importance de la prévention auprès des employés croît de manière proportionnelle. Ces derniers étaient à l’origine de 34% des incidents de cybersécurité en 2015 [6]. Dès lors, il convient d’éduquer les collaborateurs sur les risques liés à la sécurité informatique pour les entraîner à se protéger eux-mêmes. En les incitant par exemple à utiliser un VPN fourni par l’entreprise ou en prévenant les pratiques de “phishing”, et surtout en les informant sur la notion de données sensibles pour l’entreprise. L’objectif étant que l’organisation entière bénéficie de ce processus de protection individuelle et de participation à l’effort collectif.
Même le plus développé des systèmes de sécurité ne pourra pas empêcher la perte de données si l’un d’eux décide de les sauvegarder sur une clé USB non sécurisée, ou s’il ne change tout simplement pas fréquemment son mot de passe ou utilise le même pour plusieurs services.
Un mot de passe non sécurisé peut vite devenir un billet d’entrée vers un compte dont l’accès devrait être restreint. Il doit être composé d’au moins 12 caractères, inclure à la fois des majuscules et des minuscules, des chiffres mais aussi des caractères spéciaux. Pour plus de sécurité, il ne doit pas être composé de suite logique de mots ou de séquences numériques du clavier. Les hackers utilisent des outils qui génèrent automatiquement des combinaisons de caractères ou l’ensemble des mots du dictionnaire, en fournissant une succession de combinaisons aléatoires.
Il est également impératif de disposer d’un mot de passe différent pour chacun des services et outils utilisés et, surtout, de les changer régulièrement. La gestion de ces nombreux mots de passe peut être facilité par l’utilisation d’outils dédiés, tels que 1password. Ces outils stockent non seulement tous les mots de passe dans un coffre-fort numérique accessible via un identifiant unique, mais assistent également l’utilisateur dans la création de mots de passe complexes dédiés à chaque compte ou service.
2/ Renforcer les mécanismes d’authentification
Toujours plus mobiles, les collaborateurs multiplient les usages à partir des terminaux et des appareils mobiles (tablettes ou smartphones par exemple). Pour certaines applications clés comme les boîte de messagerie ou les grandes bases de données mais aussi pour les personnes travaillant à partir de plusieurs appareils à la fois il est recommandé d’avoir recours à un système de double facteur d’authentification : pour se connecter, en plus de son mot de passe, l’utilisateur a besoin de renseigner un code généré directement sur son smartphone (ou n’importe quel autre appareil) afin de vérifier son identité.
En complément, il est recommandé de vérifier régulièrement les paramètres de sécurité, notamment en cas de perte ou vol de vos appareils. Si malheureusement cela devait arriver, changez immédiatement les mots de passe de vos comptes et applications associés à l’appareil et, s’il s’agit d’un outil de travail, alertez immédiatement les services informatiques de votre entreprise. Par ailleurs, certains services en ligne permettent de déconnecter les appareils égarés (ce qui évite que les données ne continuent à se synchroniser sur le terminal perdu). Mais aussi proposent la suppression à distance des données contenues sur un appareil égaré.
3/ Supprimer les autorisations d’accès au départ d’un collaborateur
Lors du départ d’un collaborateur, les procédures mises en place peuvent se révéler cruciales pour la sécurité des données de l’entreprise. En effet, en 2015, les anciens collaborateurs sont à la source de 28% [7] des incidents de cybersécurité. La norme veut que quand un employé quitte l’entreprise, il restitue ses moyens d’accès et les appareils qui lui étaient fournis. En revanche, l’attention portée aux données internes de l’entreprise fait trop fréquemment l’objet de plus de légèreté. Les identifiants et les autorisations d’accès aux espace virtuels tels que l’intranet, le serveur ou tout simplement la messagerie électronique, doivent pourtant impérativement être coupés immédiatement lors du départ du collaborateur. Il est également primordial d’avoir une connaissance détaillée des outils et services utilisés dans son activité professionnelle quotidienne afin que tous les points d’accès pertinents puissent être verrouillés automatiquement.
4/ Localiser les failles et prendre les mesures appropriées
Le logiciel parfait n’existe pas. En conséquences, les moteurs de recherche, les systèmes d’exploitation ou les programmes anti-virus sont continuellement mis à jour. De telles mises à jour sont essentielles car les développeurs corrigent régulièrement les bugs et colmatent les brèches potentielles du système de sécurité. Si un pirate vient à s’introduire dans une de ces brèches, les dégâts peuvent parfois se révéler désastreux.
Les experts recommandent d’utiliser des logiciels permettant de localiser les attaques et de vérifier constamment le système. Parfois, les entreprises affectées par des tentatives d’intrusions ne sont même pas au courant et ne peuvent donc pas réagir de manière appropriée et développer une meilleure stratégie de sécurité. Ceux que l'on nomme communément les "white hat hackers" qui conseillent les entreprises sur les questions de sécurité observent une forte croissance de la demande. A travers des tests dits “de pénétration” ils simulent une attaque extérieure sur les serveurs ou les réseaux afin de localiser des failles et de développer les contre-mesures appropriées. L'utilisation de ces partenaires permet de renforcer les capacités de réaction de l’entreprise en temps réel. Mais bien entendu, le pilotage de ces initiatives est à la fois complexe et sensible. Il convient donc de référencer ces partenaires avec des audits éthiques significatifs et de les piloter avec des équipes particulièrement aguerries et rompues à ces exercices.
Il est
tentant de réduire le problème de sécurité sur internet à un problème
strictement technique. Cela permet de donner au management notamment un
sentiment de contrôle autour d’un risque considéré aujourd’hui comme majeur.
Cependant, c’est bel et bien l’aspect humain qu’il faut également privilégier
pour obtenir les résultats les plus probants à court terme. Les comportements
agrégés adéquats de chaque collaborateur demeurent à ce jour la meilleure
défense des organisations. Êtes-vous convaincus de la qualité des formations
actuellement en place pour l’intégralité de vos équipes ?
[1] 1er
baromètre annuel du Club des experts de la sécurité de l'information et du
numérique réalisé avec OpinionWay, 2015
[2] « The Global State of Information Security® Survey 2016 », PwC
[3] Etude Risk:Value de NTT Com Security, Novembre 2015
[4] Rapport annuel de Symantec, 2014
[5] “The Human Factor”, ProofPoint 2016
[6] « The Global State of Information Security® Survey 2016 », PwC
[7] « The Global State of Information Security® Survey 2016 », PwC