3 étapes pour contrôler la sécurité du système informatique de votre TPE/PME

140.404 dollars. C’est la somme moyenne payée par les PME victimes d’un rançongiciel, ou ransomware en anglais. Il s’agit d’un type de logiciel malveillant programmé pour bloquer le système d’information (SI) d’une organisation et obliger l’entreprise à payer une rançon aux cyberpirates en échange de sa remise en service. 

Votre entreprise pourrait-elle payer cette somme si elle était confrontée à ce type de risque informatique ? Et ce, alors qu’une étude de Sophos montre qu’en moyenne, les PME qui en ont fait les frais ne peuvent récupérer que 65 % de leurs données après le paiement de la rançon ? Ces 2 statistiques vous rappellent qu’il est capital pour votre société de prendre des mesures proactives en matière de sécurité informatique pour éviter de vous retrouver dans une telle situation.

Les TPE/PME ne peuvent négliger leur sécurité informatique

Très souvent, on pense que les risques les plus importants auxquels le S.I. d’une entreprise est exposé viennent de l’extérieur. Et pour cause, les virus, tentatives d’usurpation d’identité, vols de données et autres demandes de rançon sont hélas devenus monnaie courante. Mais en pratique, les dangers encourus par le système d’information d’une PME découlent le plus souvent d’agissements en interne, qui se font complices délibérément ou non de cyber-menaces externes.

Par exemple, les attaques par rançongiciel que nous avons citées en introduction se produisent souvent lorsque des employés téléchargent à leur insu le logiciel malveillant en ouvrant les pièces jointes d’un email, ou en cliquant sur le lien qui y était inclus.

Parfois, ces erreurs sont aggravées par des vulnérabilités du système informatique de l’entreprise. Une architecture ou des équipements vieillissants, des logiciels non mis à jour créent des multitudes d’opportunités de crash informatique et/ou d’interruption de service qui peuvent être fatales pour votre entreprise, surtout si vos sauvegardes ne sont pas irréprochables.

En tant que décisionnaire, vous êtes déjà accaparé par de nombreuses préoccupations, et il est naturel de se sentir démuni face à ces défis très techniques. Il peut être tentant d’adopter une attitude fataliste et de considérer que ce sont des risques contre lesquels une PME ne peut pas grand-chose.

Mais cette posture comporte en elle-même une menace pour votre activité : car vous avez toujours le devoir de sécuriser les données de vos clients, fournisseurs, partenaires et salariés. Votre SI doit demeurer conforme au Règlement Général de la Protection des Données (RGPD). En cas de négligence, c’est votre réputation, et donc votre activité, qui risque d’être compromise.

Dressez un état des lieux de votre SI

Il est donc nécessaire pour votre entreprise de reprendre le contrôle de votre sécurité informatique. Vous le ferez en réalisant un état des lieux de votre SI, assorti d’un plan d’actions pour minimiser la vulnérabilité de votre entreprise à l’égard de ces risques.

Voici les étapes à suivre pour réaliser un audit de votre système informatique afin d’identifier les plus grandes menaces auxquelles votre PME est confrontée :

1/ Déterminez quelles sont les activités essentielles pour votre entreprise.

Vous devez identifier les processus, employés et applications critiques de votre entreprise. Ces éléments sont ceux dont les interruptions de service pourraient menacer la survie de votre société. En parallèle, vous devez également estimer combien de temps vous pourriez maintenir votre activité en cas de dysfonctionnements ou absence de ces éléments. Il serait également utile d’évaluer le coût potentiel d’un tel sinistre, y compris les dégâts non financiers, tels que la dégradation de votre réputation, par exemple.

Grâce à ce travail, vous pourrez dresser la liste des menaces qui pèsent sur ces éléments individuels (maladie pour les employés, virus pour les logiciels, pannes pour les matériels, et ainsi de suite…).

2/ Quelles sont les mesures de sécurité informatique déjà appliquées par votre entreprise ?

A ce stade, vous devez faire l’inventaire des mesures de sécurité déjà adoptées. Bien sûr, il faut inclure toutes celles qui ont été prises pour sécuriser votre système informatique (existence de logiciels anti-virus et anti-spam, d’un pare-feu, d’un VPN, de mesures d’authentification plus poussées, de mesures de sécurité spécifiques et de sauvegardes exhaustives et régulières). Mais vous devez aussi penser à la redondance des employés-clés ou à l’existence de procédures écrites, de la gestion des droits des utilisateurs et des éventuelles restrictions d’accès portant sur certaines activités, des exercices de simulation…

Enfin, à La Réunion plus qu’ailleurs, il est primordial d’envisager de potentiels dégâts sur des équipements suite à des catastrophes d’origine naturelle (incendie, inondation, coupures de courant…).

3/ Déterminez un plan d’action pour éliminer les risques les plus importants

Ces menaces sont celles qui sont les plus susceptibles de se produire en raison de la situation propre de votre entreprise (localisation géographique, secteur d’activité sensible…) ou qui auraient le plus d’impact sur votre activité en cas de survenance.

Votre audit a mis en évidence que vos employés utilisent des plateformes en ligne non sécurisées pour stocker leurs fichiers de travail afin d’y avoir accès lorsqu’ils sont en déplacement ? Communiquez sur les risques qu’ils font courir à la société avec ces pratiques et trouvez-leur une alternative. Il est peut-être temps d’envisager une solution cloud sécurisée, par exemple.

Vos sauvegardes sont encore réalisées manuellement et ne sont pas régulières ? Faites l’acquisition d’un logiciel qui automatisera ces procédures, ou déléguez ces activités à un prestataire informatique qui se chargera de stocker vos données en sécurité. Vous serez assuré de les restaurer plus facilement et de remettre votre système informatique en service plus rapidement en cas de catastrophe ou d’acte malveillant.

Bien sûr, vous aurez sans doute des dépenses à engager, ce qui n’est jamais très agréable. Mais il sera toujours moins coûteux pour votre société de sécuriser ses activités que d’assumer le stress, les dégâts et les pertes en cas de sinistre.

Youtell est reconnu pour sa compétence en matière de sécurité informatique par Cybermalveillance.gouv, le programme gouvernemental de lutte contre les cybermenaces. Nous pouvons vous accompagner pour vous aider à optimiser votre SI et sa sécurité tout en maîtrisant votre budget. Pourquoi ne pas nous contacter dès à présent pour que nous effectuions nous-même cet audit ?