Sécurisez le système informatique de votre PME réunionnaise avec ces 9 mesures

Un coffre-fort : c’est la vision que toute entreprise devrait avoir de son système informatique et de ses data. Malheureusement, la plupart des PME réunionnaises sont peu conscientes de la convoitise que peut susciter un tel trésor, et négligent de le fortifier. Pour les pirates, leur système informatique ressemble plutôt à une caverne d’Alibaba en libre–service. Ils n’ont aucune peine à y organiser intrusions, vols de données et autres cyberattaques.

Et aujourd’hui, nul besoin d’être un as de la cybersécurité pour pirater une entreprise : il existe des plateformes sur le dark-web pour aider les apprentis-pirates à lancer des cyberattaques par ransomware (logiciel malveillant destiné à vous soutirer une rançon) très sophistiquées, même sans aucune connaissance. Et ce dont ils raffolent, ce sont bien sûr les systèmes informatiques des PME peu sécurisées ! Alors si vous êtes dans cette situation, ne commettez pas l’erreur de ne rien faire : appliquez ces 9 mesures les plus essentielles pour assurer la sécurité informatique de votre entreprise réunionnaise au quotidien.

Votre système informatique est votre trésor

Bien sûr, ce n’est pas forcément ce qui vous vient à l’esprit lorsque vous allumez votre ordinateur au début de votre journée de travail, mais le système informatique de votre entreprise est le véritable trésor de votre entreprise.

En effet il contient toutes les richesses qui assurent votre prospérité au quotidien : vos emails, avec les commandes que vos clients vous ont transmises, les fichiers importants que vous avez scannés, votre logiciel de comptabilité et toute votre facturation, vos logiciels métiers, les données de contact de vos clients, et l’accès au back-office de votre site internet, a minima.

Et si vous avez un ERP ou un CRM, vous pouvez y ajouter l’historique de vos affaires, avec le détail de ce qui a marché ou moins marché, pour vous permettre d’améliorer votre compétitivité au fil du temps.

Lorsqu’il est question de cybersécurité, la première chose qui vient à l’esprit, c’est souvent un piratage au moyen d’un logiciel malveillant tel qu’un ransomware téléchargé involontairement dans un email de phishing. Mais en réalité, les cyberattaques peuvent prendre de très nombreuses formes, souvent bien plus discrètes, mais tout aussi dévastatrices pour une PME réunionnaise.

Un vol de données commerciales (les tarifs que vous avez consentis à certains de vos clients, ou leurs coordonnées, les dessins d’un prototype, le détail de vos marges, l’accès à vos comptes bancaires, ou même le CV des candidats que vous avez reçus dans le cadre d’un recrutement : tout ceci peut se monnayer. Et parfois, très très bien, même.

Si cela fait 5 ans que vous planchez sur un nouveau brevet, imaginez ce que vous ressentirez en découvrant lors du lancement de ce produit sur le marché qu’une entreprise chinoise vous a devancé et propose la même chose pour beaucoup moins cher ? Ou que votre pire concurrent démarche vos propres clients avec des offres beaucoup plus intéressantes que les vôtres ?

Verrouillez donc la porte à ces menaces et prenez dès à présent des mesures élémentaires pour assurer la protection de votre système informatique.

coffre fort informatique : protégez vos données

1) Sécurisez votre système informatique

a. Équipez-vous avec des outils de protection

Un pare-feu est un appareil ou un logiciel destiné à filtrer le trafic entrant et sortant de votre entreprise et à bloquer les échanges qui ne respecteraient pas des normes de sécurité pré-paramétrées.

Il sécurisera ainsi les connexions que vous-mêmes et vos collaborateurs sont amenés à établir avec des réseaux externes à l’entreprise potentiellement dangereux (y compris Internet).

Vous devez aussi vous doter d’un antivirus et vous assurer qu’il soit constamment à jour. Ne lésinez pas sur les prix, et optez pour le meilleur. Au besoin, faites-vous conseiller et veillez à ce qu’il intègre une protection contre la plupart des logiciels malveillants, y compris les logiciels-espions.

b. Mettez à jour vos logiciels

Les mises à jour des logiciels publiées par les éditeurs contiennent souvent des patches de sécurité, c’est-à-dire, des lignes de code destinées à éliminer une vulnérabilité. Souvent, ces vulnérabilités ont été exposées lors d’un piratage. Pire, la publication des mises à jour avertit d’autres pirates de l’existence de ces failles… Il est donc essentiel d’installer ces mises à jour dès que vous avez connaissance de leur lancement.

Lorsque c’est possible, programmez vos logiciels pour que ces mises à jour se déclenchent automatiquement. Et n’oubliez pas non plus les micrologiciels (ou firmwares) de vos imprimantes, écrans, haut-parleurs, et autres périphériques que vous utilisez. Ces appareils souvent oubliés sont des cibles de choix pour les pirates les plus astucieux.

c. Adoptez la cryptographie

Derrière ce terme un peu barbare se cache une notion bien connue : le chiffrement (codage) de vos informations, de telle sorte qu’elles deviennent brouillées et illisibles en cas d’interception.

Par exemple, certains éditeurs proposent des messageries électroniques chiffrées : les emails que vous transmettez ou recevez seront inexploitables pour les pirates qui tenteront de les récupérer au moment de la phase d’envoi ou de réception.

Certaines applications de téléconférence ou de chat proposent désormais la cryptographie par défaut. Préférez-les aux applications qui ne l’offrent pas, et lors du choix d’un logiciel, n’hésitez pas à opter pour la version chiffrée, s’il en existe une.

données cryptées

2) Sécurisez vos connexions

a. Les mots de passe

Tout le monde sait que les mots de passe sont cruciaux pour assurer la sécurité des comptes et des systèmes informatiques, pas vrai ? Et pourtant, même encore aujourd’hui, les mots de passe les plus basiques tels que “password” ou 00000 sont encore les champions en termes de fréquence d’adoption.

Ne cédez donc pas à la facilité et comprenez qu’il y a peu de différence entre un tel mot de passe et rien. Les pirates ne tentent pas d’hacker les comptes en essayant de deviner eux-mêmes le mot de passe : ils confient cette tâche à un logiciel capable de tester des milliers de combinaisons possibles en moins d’une seconde. Et bien sûr, les premières combinaisons essayées sont celles qui ressortent en tête des mots de passe les plus utilisés !

C’est pour ces raisons que vous devez vous doter de mots de passe forts (au moins 8 caractères incluant des minuscules, majuscules, chiffres et caractères spéciaux), uniques (afin qu’un hacker parvenu à accéder à l’un de vos comptes ne puisse pas en compromettre d’autres). Vous devrez aussi en changer régulièrement (au moins tous les trimestres pour les comptes les plus sensibles, tels que votre compte Paypal, par exemple).

Pour vous simplifier la vie, vous pouvez confier toutes ces tâches à un gestionnaire de mot de passe tel que LastPass, Dashlane, Bitwarden, etc. Il s’agit d’une application qui se chargera de créer vos mots de passe et de les conserver en sécurité. Il ne vous restera plus qu’à mémoriser un unique mot de passe : celui du gestionnaire de mots de passe !

b. L’authentification à double facteur

L’authentification à double facteur (2FA) consiste à durcir l’accès à vos comptes et vos appareils en vous réclamant, outre votre mot de passe, un autre élément d’identification. Ce peut être :

  • Un code qui vous aura été communiqué préalablement par SMS ou email ;

  • Une reconnaissance biométrique : votre visage, une empreinte, votre voix, etc. ;

  • Une clé de sécurité certifiée U2F par la FIDO. Il s’agit d’une clé USB que l’on connecte pour s’identifier.

Ainsi, optez pour cette couche de sécurité additionnelle dès qu’elle vous est proposée.

c. La gestion des privilèges

La gestion des privilèges vous permet de déterminer le périmètre de prérogatives qu’un utilisateur (vos collaborateurs et vous-même) peut avoir vis-à-vis de votre système d’information.

Les privilèges et les plus basiques portent sur la consultation simple des documents (sans modification), tandis que les plus étendus permettent de gérer les privilèges des autres utilisateurs.

Un pirate qui parvient à accéder à un compte administrateur, c’est-à-dire, doté des habilitations les plus étendues, devient maître de votre système informatique. Il peut accéder à toutes vos données, exécuter le logiciel (malveillant) de son choix, ou potentiellement effectuer un virement de votre compte bancaire.

C’est donc un scénario à éviter à tout prix, et c’est pourquoi vous devez mettre en place une gestion très fine des privilèges. Vous limiterez ainsi les prérogatives de vos collaborateurs au strict minimum par rapport aux tâches qu’ils sont amenés à réaliser.

Par exemple, il est inutile a priori de donner à votre employé chargé de la maintenance du site accès à votre logiciel de comptabilité. Et au sein de votre équipe financière, il n’est pas forcément pertinent de donner la possibilité à tous les employés d’effectuer des virements de tous montants.

Vous devez donc recenser l’ensemble des tâches assurées par vos collaborateurs, et leur attribuer les autorisations d’accès aux logiciels et fonctionnalités correspondantes, et uniquement ces fonctionnalités.

Les collaborateurs chargés d’intervenir sur le système informatique pour ouvrir de nouveaux comptes, modifier les règles de sécurité, et étendre les habilitations d’un collègue, etc.) devront disposer de 2 comptes :

  • un compte d’administrateur auquel il se connecteront spécifiquement pour ces tâches ;

  • un compte utilisateur avec des prérogatives plus limitées pour effectuer les tâches moins sensibles du quotidien.

En cas de départ d’un collaborateur, vous devrez veiller à ce que toutes ses habilitations soient immédiatement désactivées.

Vous redoutez la complexité de cette mesure ? Confiez-la à un prestataire réunionnais.

3) Sécurisez vos arrières

a. Les sauvegardes

Les sauvegardes sont le b.a.-ba de la sécurité informatique, parce qu’elles permettent de conserver une copie que vos fichiers que vous pourrez réinstaller (“restaurer”) en cas de crash d’un disque dur, de suppression erronée de fichiers importants ou de compromission de vos données suite à l’intrusion d’un malware.

Effectuez des sauvegardes régulières (au moins une fois par semaine, bien plus si vos données se renouvellent rapidement) sur plusieurs supports différents (disques durs externes – dont l’un devra être conservé à l’extérieur de l’entreprise pour plus de sécurité -, NAS, plateforme de stockage telle que OneDrive, ou Cloud).

Attention ! En dépit de leur apparente simplicité, les sauvegardes sont très exigeantes et réclament beaucoup de rigueur. Pour être certain de réaliser des sauvegardes efficaces, téléchargez notre guide, ou, mieux, appelez-nous !

b. Le plan de reprise d’activité

Un plan de reprise d’activité est une feuille de route destinée à organiser les actions à entreprendre en cas de sinistre (incendie, infection du système informatique par un virus) limiter les dégâts, protéger ce qui est resté indemne, et assurer la reprise des activités normales le plus rapidement possible.

Cette procédure devra avoir été testée, et devra être formalisée auprès d’une équipe dédiée, afin d’être réellement applicable, le cas échéant.

Ainsi, elle réclame une certaine expérience des désastres informatiques, et pour cette raison, vous devrez confier le soin de sa réalisation à un prestataire externe si vous ne disposez pas des compétences en interne.

c. La formation des collaborateurs

Le plus grand facteur de risque, c’est le facteur humain.

Malheureusement, vous ne pourrez jamais éviter les maladresses telles que le clic malvenu sur un lien nuisible dans un email, le téléchargement d’une pièce jointe infectée par un virus, l’emploi de mots de passe bien trop simples, le stockage de documents sensibles sur des plateformes externes non sécurisées les faisant échapper à vos sauvegardes, le travail sur des documents sensibles au moyen d’une connexion wi-fi non sécurisée dans un aéroport, ou encore, la connexion de clés USB provenant de sources peu fiables.

Pour limiter la fréquence de ces aléas, formez vos collaborateurs. Ils doivent connaître les cybermenaces les plus courantes. Ils doivent aussi apprendre à se méfier des emails suspects, à se montrer rigoureux à l’égard des mots de passe et à respecter la confidentialité de leurs documents de travail.

Tout ceci vous semble bien trop compliqué pour être faisable à votre échelle ? Qu’à cela ne tienne : blindez votre système informatique en confiant sa sécurisation à un spécialiste IT reconnu pour ses compétences en cybersécurité, comme Youtell à La Réunion. Nous établirons un plan d’action adapté à votre entreprise et ses spécificités, et vous pourrez vous concentrer sur votre cœur de métier sans aucune inquiétude.

Vous êtes à la recherche d'accompagnement pour votre entreprise ?