La sécurité informatique

Les règles de base

Les 10 commandements de la sécurité informatique

Choisir les mots de passe avec soin et prendre garde aux mails reçus, mettre à jour les logiciels et faire des sauvegardes fréquentes, sécuriser l’accès WiFi de l’entreprise, séparer usages privés et professionnels...

Définissez des mots de passe complexes et uniques

L’entreprise doit imposer l’emploi de mots de passe difficiles, composés d’au moins 10 ou 12 caractères mêlant majuscules, minuscules, chiffres et caractères spéciaux. Chaque service jugé essentiel doit disposer d’un mot de passe unique, qui ne sera jamais réutilisé sur d’autres plateformes. Ce mot de passe doit en outre être modifié périodiquement, et ne peut en aucun cas être pré-enregistré sur un navigateur ou un terminal libre d’accès !

Réalisez des mises à jour régulières (ou automatisées)

Permettant de « patcher » les vulnérabilités, les mises à jour proposées par les éditeurs de logiciels et de systèmes d’exploitation doivent être appliquées très rapidement. Pour cela, il convient soit de configurer les correctifs afin qu’ils s’installent automatiquement, soit de charger une personne en interne de les télécharger à partir des sites officiels.

Effectuez des sauvegardes systématiques des données

Les données de l’entreprise peuvent être compromises suite à un vol de terminal, une panne informatique ou un incident impliquant les locaux (incendie, dégât des eaux). Pour éviter toute perte dommageable, il est nécessaire de réaliser des sauvegardes aussi souvent que possible sur des supports mobiles ou un service cloud. L’accès aux sauvegardes les plus sensibles (données vitales à la survie de la PME) sera réservé au manager ou à l’administrateur.

Protégez l’accès WiFi de la PME (et évitez le WiFi public)

Un WiFi mal sécurisé peut permettre l’accès au réseau de l’entreprise, c’est pourquoi il faut éviter les bornes publiques qui sont fort peu protégées, et veiller à protéger la borne privée réservée à l’entreprise. Pensez à modifier le mot de passe et la clé de connexion par défaut de la borne WiFi avant la première utilisation, et à activer son protocole de chiffrement. Chaque terminal doit par ailleurs être protégé par un anti-virus et un pare-feu lors de chaque connexion à Internet.

Redoublez de vigilance en situation de mobilité

Lors d’un déplacement professionnel, les salariés doivent sécuriser les données transportées sur un terminal mobile (qui sera configuré pour se verrouiller automatiquement). Seules les données nécessaires à la mission doivent être enregistrées sur le disque dur, les connexions WiFi/Bluetooth doivent être désactivées si elles ne sont pas indispensables. Évitez aussi de relier le terminal à un appareil appartenant à un tiers, ou de vous servir d’une clé USB qui vous a été offerte.

Méfiez-vous avant de cliquer sur un lien

Deux choses à savoir : les mails constituent l’un des principaux points d’entrée des pirates informatiques et l’identité d’un expéditeur peut être usurpée. Dès lors, ne cliquez jamais sur les liens ou documents de mails provenant de destinataires inconnus, et veillez à lancer une analyse anti-virus sur chaque message reçu (y compris ceux issus des collègues).

Vérifiez un site avant tout paiement en ligne

Lors de tout paiement sur Internet, vérifiez que l’adresse du site web contient la mention « https » (au lieu de « http ») indiquant que le site en question est authentifié et que vos données bancaires sont correctement chiffrées. A chaque fois que c’est possible, modifiez les paramètres du site web pour qu’un code de confirmation vous soit envoyé par SMS avant de valider une commande.

Séparez usages personnels et professionnels

Certains pirates n’hésitent pas à lancer une attaque sur les adresses ou les terminaux personnels d’un salarié pour mieux infiltrer le réseau de l’entreprise. Pour cette raison, il est recommandé de bien séparer usages privés et professionnels. Demandez à vos collaborateurs de ne pas faire suivre des mails d’entreprise sur leur messagerie personnelle (et vice versa), et de ne pas utiliser un équipement domestique pour héberger ou transporter les données de votre PME.

Préservez l’identité numérique des salariés

Des tiers malveillants peuvent utiliser l’ingénierie sociale pour récolter les informations en ligne de vos collaborateurs afin de voler leur identité numérique ou bien déduire leurs mots de passe, pour s’attaquer ensuite à l’entreprise. Il est donc essentiel qu’ils se restreignent dans leurs échanges numériques et qu’ils évitent de partager trop d’informations sur les réseaux sociaux.

Sensibilisez et rédigez une charte informatique

L’entreprise doit veiller à la sensibilisation et la formation de ses employés concernant la sécurité informatique. Idéalement, une charte informatique sera rédigée en interne pour préciser les bonnes pratiques à adapter, et la marche à suivre en cas de vol ou de cyberattaque. Des campagnes de communication peuvent aussi être réalisées périodiquement sur le sujet.

→ Pour aller plus loin, découvrez en détail le Guide des bonnes pratiques de l’informatique de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Piratage informatique

Les idées reçus à vite oublier

Qu’est-ce que le piratage informatique ?

Le piratage informatique est le fait pour une tierce partie de rentrer sans autorisation dans le système informatique d’une entreprise. On recense plusieurs techniques :

L’intrusion directe des ordinateurs via l’exploitation d’une faille de sécurité causée par un défaut de mise à jour ou par une protection trop laxiste.
L’intrusion indirecte rendue possible par la complicité involontaire des employés qui vont télécharger un logiciel malveillant semblant légitime à première vue ou cliquer sur un lien frauduleux reçu dans la boîte email ou la messagerie instantanée.
Cette intrusion peut se traduire par l’installation d’un cheval de Troie qui va récupérer les mots de passe et les données bancaires en transmettant au pirate les informations tapées sur le clavier, par l’usurpation de l’adresse IP de l’ordinateur pour s’infiltrer dans le reste du système de l’entreprise, par le blocage des serveurs internes via un envoi massif et répétitif de données, ou encore par le détournement des sites web et des services de télécommunication.

Petite histoire du piratage informatique

Le piratage est né en même temps que les premiers systèmes informatiques et s’est massivement développé avec la démocratisation des ordinateurs personnels dans les années 1990. Depuis lors, le phénomène n’a cessé de s’amplifier à l’échelle mondiale. Rien qu’en France, on enregistre plusieurs dizaines d’incidents par jour et des pertes financières qui se chiffrent en millions d’euros.

Alors que les attaques informatiques étaient autrefois concentrées sur les grandes entreprises, les pirates se focalisent désormais sur les petites structures comme les PME, réputées pour avoir une sécurité défaillante… et ne pas porter plainte.

Le hacker a des intentions malveillantes

Tous les hackers ne cherchent pas à détruire et à voler des informations ou à soutirer de l’argent. Nombreux sont les pirates qui attaquent des systèmes informatiques pour le « plaisir » parce qu’ils y voient un défi à relever. Certains vont même jusqu’à attaquer une entreprise afin de prouver à ses dirigeants que leur système est défaillant… dans le but de se faire embaucher pour le sécuriser ! Pour distinguer ces différentes populations de pirates, on utilise souvent les termes de « cracker » ou de « chapeau noir » afin de désigner spécifiquement un hacker aux intentions criminelles.

Seuls les hackers professionnels piratent

De nos jours, nul besoin d’être un expert ou d’avoir des connaissances pointues pour pirater. On trouve sur le web des logiciels prêts à l’emploi accessibles aux débutants scannant les sites des entreprises pour dénicher les vulnérabilités les plus courantes : les ports TCP/IP non protégés, les failles de logiciels n’ayant pas été mis à jour. Par ailleurs, la majorité des pirates ne sont pas installés à l’étranger, et tendent à agir localement dans leur propre pays ou région.

La sécurité est une question technique

Une sécurité aussi sophistiquée soit-elle sera toujours mise en échec par un salarié non sensibilisé qui va télécharger un code malicieux par mégarde ou qui va dialoguer sur des forums en ligne lorsqu’il fait face à un problème informatique révélant ainsi aux hackers son adresse IP et les caractéristiques du système de l’entreprise. D’où le besoin d’un accompagnement en interne

Votre entreprise n’est pas une cible

Ce n’est pas parce que vos ordinateurs contiennent peu de données sensibles que votre entreprise est pour autant épargnée par le phénomène. Par exemple, les pirates peuvent cibler votre système dans le seul but d’accéder aux données de vos clients pour mieux les attaquer par la suite. Dans ce cas de figure, le défaut de sécurité de votre société peut avoir de sérieuses répercussions économiques ou judiciaires et causer des dommages irréparables.

Se protéger est trop onéreux pour une PME

S’il est vrai que certaines solutions de protection destinées aux grands groupes peuvent réclamer beaucoup de ressources, ce n’est pas le cas de tous les dispositifs de sécurité. Certains produits conçus spécifiquement pour les PME sont très abordables, tout en restant fiables et performants. Attention toutefois à ne pas vous limiter à un simple anti-virus ou pare-feu : ce n’est pas une garantie suffisante. Une protection complète est nécessaire couvrant à la fois les fichiers, les courriels, les connexions, les contenus, les logiciels, les périphériques…

YOUTELL

Comment pouvons nous vous aider ?

N'hésitez pas à nous expliquer en détail votre demande

Coordonnées

Téléphone
(262) 2 62 81 82 00

Adresse
116 rue Joseph Hubert
97435 Saint-Paul
La Réunion

Email
contact [@] youtell.re