La cybersécurité constitue un enjeu de plus en plus important pour les entreprises, quel que soit leur taille, leur secteur d’activité ou leurs objectifs. Le mois d’octobre 2018 a été désigné par les autorités européennes comme le mois de la cybersécurité. L’idée est de transmettre des clés et sensibiliser les utilisateurs aux risques liés à la cybermalveillance.

Le phénomène de digitalisation des entreprises a offert à ces dernières, une plus grande flexibilité et donc plus d’efficacité, avec de nouveaux modes de travail, plus mobiles et plus collaboratifs.

Ces usages rendent la frontière entre le personnel et le professionnel encore plus mince. Il convient alors de sensibiliser et diffuser largement quelques bonnes pratiques qui permettront de cadrer davantage ces usages pour limiter les risques et assurer que la cybersécurité de votre entreprise n’est pas compromise.

Les attaques de ransomwares sont de plus en plus nombreuses : selon une étude de l’entreprise Altospam d’ailleurs, 20 000 ordinateurs sont touchés par ce type d’attaque tous les mois. 52% des entreprises françaises ont déjà été victimes de ransomwares et 34% ont été obligées de payer la rançon. Sans même le savoir, beaucoup d’employés effectuent des actions qui peuvent porter atteinte à la sécurité de leurs données et celles de leurs employeurs. Quelles sont les mesures de sécurité à adopter au quotidien ?

Voici 11 conseils pour la cybersécurité, autrement dit, pour assurer la sécurité de votre entreprise et de vos données.

1. Attention aux mots de passe !

Notre premier conseil concerne les mots de passe, leur choix.

1- Bien choisir ses mots de passe

La majorité des données professionnelles nécessite une protection par un mot de passe, lequel doit d’ailleurs être changé de manière régulière. Exit les mots de passe de type 123456, ou encore les dates de naissance, prénoms, surnoms, le nom du chat de la famille, « password », …. Il vaut mieux avoir un mot de passe qui soit difficile à deviner mais facile à mémoriser : dans l’idéal, un code de sécurité efficace doit compter au moins douze caractères et contenir des minuscules, des majuscules, des chiffres ainsi que des signes de ponctuation (ou caractères spéciaux).

Pour le retenir, vous pouvez utiliser un moyen mnémotechnique. Bien entendu, un mot de passe est strictement confidentiel et ne doit jamais être communiqué à qui que ce soit. Pour créer un mot de passe infaillible et mémorisable, il est conseillé d’opter pour une phrase entière, dont on ne garde que les initiales. Par exemple : Est-ce que le chat a mangé 1 ou 2 poissons ? Qui devient : E-cqlcam1o2p ?

C’est une méthode simple d’obtenir un mot de passe très difficile à deviner mais si vous trouvez cela compliqué, il existe aussi des générateurs automatiques qui font le travail à votre place. Et pour éviter les trous de mémoire, il existe des password managers permettant de stocker et gérer les mots de passe en toute sécurité.

Bien entendu, une fois le bon mot de passe trouvé, il s’agit d’adopter les bons gestes de sécurité, comme d’éviter de l’enregistrer automatiquement sur l’ordinateur de travail ou pire encore, sur un post-it ou un document de travail. Dans tous les cas, les bonnes pratiques de gestion de mot de passe ne doivent pas être négligées afin de garantir la cybersécurité.

2- Penser à différencier les mots de passe

Lorsqu’un utilisateur fait un usage numérique personnel depuis son matériel et le réseau d’entreprise, il est vivement conseillé de ne jamais renseigner ses identifiants et mots de passe professionnels. Ces informations pourraient en effet être récupérées par un cyberpirate qui aurait alors accès aux données d’entreprise.

Par exemple, Monsieur X profite de sa pause déjeuner pour réserver un hôtel en vue de son futur week-end. Cet usage est le plus souvent toléré en entreprise. En revanche lors de sa réservation, si le site support est piraté et que Monsieur X, par souci pratique, utilise son adresse mail et son mot de passe professionnels pour son identification : ses informations bancaires et personnelles peuvent être volées, mais sa société court également un grand risque.

2. Demander des mises à jour régulières sur votre poste de travail

Normalement, la mise à jour des ordinateurs dans une entreprise est confiée au service informatique pour que les employés n’aient pas à s’en soucier. D’ailleurs, de plus en plus d’organisations proposent une procédure pour faire en sorte à ce que la démarche soit facile et automatisée.

Il ne faut pas oublier la mise à jour des applications, logiciels, pare-feux et antivirus de manière régulière. En utilisant les dernières versions des logiciels, les risques d’intrusion diminuent grandement car les éditeurs proposent de nouvelles versions pour chaque nouveau danger et toujours assurer la sécurité numérique des structures.

3. Utiliser « en bon père de famille » l’internet au travail

Si les réseaux internet sont souvent libres d’accès par les utilisateurs, il convient néanmoins de ne pas consulter des sites dits « à risque ». Une utilisation non adaptée pourrait d’ailleurs être reprochée à l’utilisateur concerné s’il commet des actes répréhensibles : téléchargement illégal, atteinte aux droits d’auteurs … En plus de potentiellement mettre en danger l’individu, il s’agit aussi de risques qui peuvent porter atteinte à la cybersécurité de l’entreprise.

Pour résumer, les utilisateurs ne doivent pas utiliser internet pour des fins qui ne devraient pas être connues de leur entreprise.

A lire : Cybersécurité : c’est quoi le phishing (ou hameçonnage) ?

4. Vérifier l’expéditeur de vos emails

Il faut vous méfier des expéditeurs inconnus, en vérifiant systématiquement l’adresse mail de l’expéditeur. Il faut utiliser un logiciel de protection des emails efficace qui offre une bonne protection contre les virus, les ransomwares, les spams…

Même si c’est autorisé par l’entreprise, il vaut mieux éviter de naviguer sur des sites inconnus ou non sécurisés. Ne téléchargez jamais les pièces jointes suspectes et ceux dont vous ne connaissez pas l’origine. Ce sont autant de failles qui ouvrent la voie aux hackers pour obtenir vos contacts, vos informations et codes confidentiels.

5. Eviter l’amalgame des messageries

Encore une fois, l’usage d’une messagerie professionnelle à titre personnel est toléré. Il est cependant vivement conseillé aux utilisateurs de spécifier « PERSO », « PERSONNEL », ou « PRIVE » dans l’objet du message envoyé. Les administrateurs de la messagerie ne pourront alors pas consulter le message et cela facilitera les démarches en cas de départ d’un collaborateur qui souhaite faire exercer son droit à l’oubli (dans le cadre du RGPD).

Il est tout même conseillé aux utilisateurs d’utiliser une messagerie personnelle pour tout échange hors du cadre professionnel. Ceci pourrait éviter des erreurs de destinataires ou même l’infection par un malware de la boîte de messagerie professionnelle due à la réception de spams toujours présents dans des échanges personnels.

6. Sauvegarder régulièrement les données

La sauvegarde est très importante pour la sécurité et la bonne gestion de vos données et de celles de l’entreprise. En effet, en cas de défaillance du système d’information (SI), la possibilité de restaurer les données permet de préserver l’activité de la PME. La possibilité de restaurer les données professionnelles (sur les serveurs et sur les postes de travail) est une des protections les plus efficaces contre les logiciels malveillants comme les ransomwares.

Ainsi, avec la possibilité de récupérer les données mises à jour régulièrement, l’activité de l’entreprise ne sera pas totalement paralysée en cas de cyberattaque. Il faut cependant veiller à ce que les sauvegardes soient stockées à l’extérieur de l’entreprise, qu’on appelle également solutions de sauvegarde externalisée, pour pallier le cryptage en cas d’attaque.

7. Ne pas envoyer de données sensibles par email

Les codes confidentiels, les informations personnelles… Autant de types de données qu’il faut éviter d’envoyer par mail. En effet, vous ne pouvez pas être sûr que ce courrier électronique ne sera pas intercepté par des personnes malveillantes.

Il faut savoir que chaque point d’accès Internet de l’entreprise, que ce soit au siège ou dans chaque site distant, est un passage potentiel dont un pirate peut se servir pour accéder au système informatique de l’entreprise, et donc compromettre la sécurité de votre infrastructure.

8. Ne pas envoyer des documents confidentiels vers un compte personnel

Il faut impérativement éviter d’envoyer des documents confidentiels, concernant l’activité de l’entreprise vers un compte personnel. En effet, ce dernier ne bénéficie pas des mêmes protections que les comptes de l’entreprise et est exposé à plus de menaces.

Pour éviter ce genre de comportement pouvant compromettre la sécurité, l’entreprise peut mettre en place une charte informatique à laquelle tous les employés doivent se conformer et qui rappelle tout ce qui est autorisé ou non.

9. Différencier les utilisations professionnelles et personnelles

1- Eviter de stocker des informations professionnelles sur un Cloud personnel

Les entreprises sont de plus en plus concernées par le fait que les employés recourent aux solutions de stockage libres d’accès sur le web pour stocker des informations. Le problème est que l’employeur ne peut absolument pas contrôler les fichiers qui y sont déposés, et aucun moyen de savoir si les informations qui y sont stockées sont accessibles ou non au public.

La plupart du temps, ces plateformes sont hébergées aux USA, ce qui pose un problème juridique s’il s’agit de données nominatives. Les entreprises doivent donc faire particulièrement attention à la sécurité des applications.

De plus, ces espaces privés sont bien moins sécurisés que les espaces professionnels. Sauf autorisation expresse de l’entreprise, et de mesures sécuritaires accrues, les espaces de stockage à usage personnel ne sont pas à utiliser pour les documents professionnels, il en va de la sécurité des données d’entreprise.

2- Eviter de stocker les informations du travail sur l’ordinateur personnel

Le travail est une chose, les loisirs en sont une autre. Une des règles que tout membre du personnel doit respecter est d’éviter l’utilisation des outils professionnels pour des raisons personnelles, ou l’inverse.

Il faut éviter de stocker des données de travail sur l’ordinateur personnel et utiliser un accès privé sécurisé au réseau de l’entreprise pour l’envoi de fichiers ou les mails professionnels.

10. Eviter les réseaux publics ou inconnus

De manière générale il est déconseillé d’utiliser des réseaux Wifi publics ou inconnus. Il est préférable de privilégier les clés 4G ou le partage de connexion sécurisé. Un réseau Wifi public ou inconnu peut héberger certains virus. Si le risque est élevé pour une utilisation personnelle, il l’est d’autant plus quand les usages numériques sont confondus avec les usages professionnels.

11. Sensibiliser vos collaborateurs

Il est important de diffuser et sensibiliser vos collaborateurs à ces questions de cybersécurité, afin de les prévenir et de les informer sur les choses à faire et à ne pas faire, et les points d’attention. Il convient également de partager ces quelques « bonnes pratiques » afin d’éviter au maximum que les risques personnels ne se propagent à tout le réseau informatique d’une entreprise.

Pour en savoir plus, vous pouvez vous renseigner sur le site mis en place par notre gouvernement, vous y trouverez un kit de sensibilisation à la sécurité de vos systèmes informatiques.

Les cyberattaques concernent de plus en plus d’entreprises françaises et pour s’en prémunir, les employés doivent adopter certains gestes de sécurité. Il est conseillé de faire appel à un professionnel pour bénéficier d’un système de sécurité informatique plus performant, tel que MIXconcept.