Les gérants d’entreprises de petite et moyenne taille s’imaginent trop souvent à l’abri des cyberattaques et plus généralement des sujets afférents à la cybersécurité. Et pourtant, en pratique, c’est tout l’inverse qui se produit. D’après une étude réalisée par Verizon en 2018, près de 60% des cyberattaques touchent les petites entreprises. Dans un même temps, les obligations des entreprises en matière de sécurisation de leur système d’information sont de plus en plus drastiques. Le RGPD, qui est entré en vigueur en mai 2018, en est le meilleur exemple.
Comment expliquer cet écart entre perception et réalité ? Trois principales raisons semblent en être la cause :
- Une menace cyber de plus en plus présente
- Un manque de sensibilisation des dirigeants de PME à la cybersécurité
- Une vulnérabilité des PME face à la multiplication des cyberattaques
La cybersécurité est généralement vue comme une dépense de prévention et non comme un facteur de productivité, de compétitivité ou de croissance. C’est la raison pour laquelle les moyens investis dans la sécurité sont très limités, voire inexistants, dans les plus petites entreprises. Ce désintéressement pour la sécurité fait de ces entreprises des cibles de choix pour les attaquants.
Et quand bien même un nombre croissant de PME a assimilé l’intérêt de la cybersécurité dans la stratégie de leur entreprise, trop peu sont celles qui ont mis en place des solutions concrètes pour se protéger.
Pourtant, il existe des bonnes pratiques simples et rapides à mettre en œuvre qui permettent de réduire à la fois la probabilité d’être victime d’une cyberattaque et les risques qu’elles engendrent. Parmi ces “best-practice” de sécurité, certaines sont indispensables, comme :
- La sensibilisation des employés à la cybersécurité
- La mise en place d’une politique de mot de passe forte
- L’installation de mises à jour dès leur disponibilité
- La sauvegarde régulière des données
Mais les solutions sont nombreuses et doivent être adaptées à chaque entreprise et secteur d’activité. C’est notamment pour cela que les PME, qui n’ont pas les moyens d’investir dans une expertise sécurité en interne, doivent se faire accompagner par des entreprises spécialisées.
La sécurité comme pilier de votre stratégie de digitalisation
Toute stratégie de digitalisation doit s’accompagner d’un volet sécurité. Pourquoi ? Car tout développement de votre digitalisation augmente d'autant plus votre surface d’exposition à des personnes malveillantes et à des événements divers pouvant porter atteinte à votre activité. Ainsi, toute nouvelle application, site internet ou campagne de marketing est une porte d’entrée supplémentaire à votre système d’information.
C’est pour cette raison qu’il est de bonne pratique d’identifier les risques de sécurité associés à chaque nouveau chantier de digitalisation. Une méthode courante consiste à :
- Évaluer la valeur des actifs engagés (matériel, données, logiciels, services, ...)
- Identifier les menaces potentielles
- Analyser les vulnérabilités
La première étape d’évaluation de la valeur de vos actifs est certainement la plus importante car c’est principalement elle qui conditionnera l’importance des mesures de sécurité que vous souhaiterez mettre en place. La valeur d’un actif est bien plus que sa simple valeur d’achat. Par exemple, un site web qui génère plusieurs centaines de ventes chaque jour, a bien plus de valeur que le coût cumulé du hardware et software qui le composent.
Dépenser ainsi plusieurs centaines voire milliers d’euros en sécurité pour un actif qui en génère plusieurs dizaines de milliers semble tout à fait cohérent.
L’utilisateur, la première ligne de défense
Contrairement aux idées reçues, la sécurité informatique repose principalement sur les utilisateurs et non sur la technologie. L’aspect humain est très souvent négligé alors que l’utilisateur est en première ligne et peut facilement devenir le meilleur des remparts face aux risques informatiques. Mais ce changement de paradigme passe par une sensibilisation et une formation aux enjeux de sécurité.
Comme le préconise l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), une sensibilisation efficace peut s’appuyer sur de nombreux outils :
- Une charte informatique, pour formaliser et partager les bonnes pratiques ;
- Des sessions d’e-learning, pour que chaque collaborateur évolue à son rythme ;
- Une formation de groupe, pour le partage d’expérience et l’émulation ;
- Des dispositifs ludiques et participatifs, comme les tests façon quiz, les tests d'intrusion en social engineering et autres serious games.
En matière de cybersécurité, Il faut voir la technologie comme un support et un facilitant et non systématiquement comme un prérequis.
Prenons l’exemple du mot de passe. Lorsqu’il s’agit de définir un mot de passe pour accéder à une application ou un site web, le choix est donné à l’utilisateur. Cependant, avec les années, les systèmes se sont renforcés afin de contraindre l’utilisateur dans le choix de son mot de passe. Des systèmes et algorithmes ont ainsi été mis en œuvre pour obliger les utilisateurs à définir des mots de passe respectant certaines contraintes de longueur et de complexité dans les types de caractères utilisés. Mais, le choix final est laissé à la main de l’utilisateur, et la façon d’utiliser et de conserver le mot de passe ne dépend que de sa sensibilité envers la sécurité.
Ainsi, il est important que tous les employés d’une entreprise, quelle que soit leur activité, comprennent les enjeux de la cybersécurité et les intègrent dans leur quotidien.
Imposer une politique de mot de passe sécurisée
Lorsque l’on évoque la cybersécurité, il nous vient généralement à l’esprit le mot de passe. La raison en est simple : c’est le facteur d’authentification le plus utilisé pour sécuriser l’accès aux différents systèmes, applicatifs et données que nous utilisons dans notre vie privée ou professionnelle. Le mot de passe fait ainsi partie de notre quotidien. C’est la raison pour laquelle, une bonne gestion des mots de passe est devenu un enjeu majeur dans la sécurité de l’entreprise.
Pour améliorer et faciliter la gestion des mots de passe, des bonnes pratiques et outils ont été mis au point. Que ce soit la complexité des mots de passe, leur période de validité, en passant par leur stockage et leur réinitialisation en self-service, de nombreuses solutions s’offrent à vous pour que le mot de passe ne soit plus considéré comme le point noir de votre sécurité numérique.
Pour aller plus loin, vous pouvez même utiliser l’authentification à double facteur, aussi appelée authentification forte, qui consiste à fournir un second élément d'authentification au système afin de prouver votre identité.
S’assurer de la mise à jour des systèmes pour fermer un maximum de portes d’entrées
Dans tout système d’exploitation, logiciel ou application, des vulnérabilités existent. Dans ce contexte, une grande bataille est menée entre éditeurs, qui proposent des mises à jour de sécurité régulières, et attaquants, qui exploitent ces vulnérabilités pour mener à bien leurs opérations.
Ainsi, l’installation des correctifs dès leur disponibilité est une pratique de sécurité indispensable pour éviter un grand nombre d’attaques. Mais pour cela, il convient de mettre en place certaines règles :
- Anticipez la mise à jour de vos logiciels pour détecter les éventuels impacts que cela pourrait avoir sur leur fonctionnement ou leur interaction avec les systèmes adjacents;
- Configurez vos logiciels pour que les mises à jour de sécurité s’installent automatiquement si cela est possible;
- Utilisez exclusivement les sites Internet officiels des éditeurs.
En dernier recours, la sauvegarde de vos données vous sauvera la mise
Base de clients, données personnelles, informations bancaires, produits de vente, site web, contenus multimédias, toutes ces informations représentent aujourd’hui le nerf de la guerre. Elles sont à la fois le support de votre activité et la convoitise de nombreuses personnes malveillantes ou de concurrents. D’après les économistes, elle représentent le nouvel or noir du XXIème siècle.
Le vol, la compromission, la suppression ou l’indisponibilité de ces données représentent un risque important pour toute activité. Sans même parler d’attaque informatique, les arrêts de service et les pertes de données peuvent être la conséquence d’une erreur humaine, d’un dysfonctionnement technique ou d’une catastrophe naturelle.
Pour répondre à tous ces cas de figure, la sauvegarde représente un palliatif en cas de défaillance ou d’attaque réussie qui affecterait vos données. Une reprise sur sauvegarde vous permet alors de récupérer vos données telles qu’elles étaient avant l’incident.
Les stratégies de sauvegarde des données sont nombreuses. La fréquence, le support de sauvegarde et le plan de reprise d’activité post-incident sont par exemple des caractéristiques et processus de votre stratégie de sauvegarde qu’il vous faudra définir en fonction de vos besoins et de vos exigences en termes de sécurité et de coût.
