Cybersécurité : quelques règles simples pour sécuriser une PME
Si le numérique a envahi l’essentiel des espaces professionnels, la sécurité est souvent négligée par les PME. Les nouvelles technologies sont porteuses de nouveaux risques pour les entreprises, en termes de sécurité, de pertes financières, mais aussi de dégradation de l’image de l’entreprise. Ces dangers peuvent toutefois être fortement réduits par un ensemble de bonnes pratiques.
Avec l’explosion des usages, de nouveaux risques sont apparus : indisponibilité de l’informatique, vol et destruction des données, espionnage industriel (fichiers clients, contrats, projets en cours…), escroqueries financières, sabotage de sites de e-commerce… Des données sensibles sont dérobées lors d’intrusions informatiques ou subtilisées avec le vol d’un smartphone, d’une tablette ou d’un ordinateur portable.
Les conséquences peuvent être lourdes, de l’atteinte à l’image jusqu’à la faillite, en passant par des pertes de clientèle. La complexité des menaces, le coût élevé, le manque de temps et de personnel dédié sont les arguments les plus souvent invoqués pour justifier le manque d’intérêt pour renforcer la sécurité informatique dans les PME.
Pourtant, ces risques peuvent être considérablement réduits par un ensemble de bonnes pratiques, peu onéreuses et faciles à implémenter. La sensibilisation des collaborateurs de l’entreprise aux bonnes pratiques informatiques est essentielle et circonscrit largement les dangers.
Imposer des règles strictes pour les mots de passe
Outil d’authentification permettant d’accéder à ses données ou à ses équipements numériques, le mot de passe constitue une mesure de sécurité évidente. Plus il est long et se compose de caractères différents, plus il est difficile à cracker, notamment par des outils automatisés.
Certaines bonnes pratiques augmentent ainsi de manière exponentielle son efficacité :
Définir les règles de choix et de longueur des mots de passe ;
Rappeler régulièrement à ses collaborateurs de ne pas conserver les mots de passe dans des fichiers présents dans le système informatique ;
Modifier ou renouveler les moyens d’authentification proposés par défaut sur les équipements ou par les services divers ;
Changer les mots de passe régulièrement.
2. Créer une séparation entre usages professionnels et personnels
Il est courant aujourd’hui d’utiliser des outils «pro» à des fins privés et vice versa. Ces pratiques de plus en plus répandues dans les PME posent de réels problèmes en matière de sécurité des données. Cela augmente considérablement les risques d’intrusion ou de vol.
Dans ce contexte :
– ne pas faire suivre ses messages électroniques professionnels sur des services de messagerie utilisés à des fins personnelles ;
– ne pas héberger de données professionnelles sur les équipements personnels ou sur les services de stockage en ligne personnels, et vice versa.
3. Analyser régulièrement ses infrastructures
Avant d’enregistrer le contenu d’un support quel qu’il soit sur un ordinateur, il est important de l’analyser avec un anti-virus. Ce geste simple et basique, souvent négligé, permet pourtant de protéger son ordinateur des programmes malveillants pouvant endommager les logiciels et mener à la perte partielle ou totale de données.
4. Mettre en place des sauvegardes automatiques régulières
Ne pas miser pas sur la discipline de chaque collaborateur pour gérer ses sauvegardes ni sur un système manuel pour les sauvegardes du système d’information. L’automatisation et le monitoring sont les seuls vrais garants de la sécurité.
5. Utiliser des solutions de sécurité
Booster la configuration des ordinateurs et utilisez des solutions de sécurité éprouvées (pare-feu, antivirus…). Ces moyens de sécurité sont indispensables pour protéger les outils informatiques de divers programmes malveillants.
Ils bloquent le contenu et les accès dont la source ne peut être vérifiée et protègent vos données des intrusions.
6. Protéger les données lors des déplacements
L’utilisation des équipements nomades (smartphone, ordinateur portable, tablette) facilite les déplacements professionnels, le transport et l’échange des données.
En revanche, en cas de perte ou de vol de l’appareil, l’activité de l’entreprise peut être sérieusement mise en péril. Lors de déplacements, l’appareil doit contenir uniquement les données nécessaires à la mission et, surtout, ne pas être connecté. Le reste doit rester sur le système informatique de l’entreprise, accessible à distance en mode sécurisé.
7. Monitorer son système
Surveiller le système, notamment en utilisant les journaux d’événements, afin de réagir aux actions suspectes (connexions hors des horaires habituels, transferts massifs de données…).
Déterminer les droits d’utilisation en créant des comptes «administrateur» et «utilisateur», et protéger l’accès aux modifications importantes du système informatique. De même, le système d’information doit avoir des droits d’accès bien définis selon le profil de chaque utilisateur.
8. Télécharger les logiciels officiels
Télécharger les logiciels sur les sites officiels des éditeurs. Avant l’installation, il faut désactiver les cases proposant d’installer des logiciels complémentaires et l’ouverture automatique des documents téléchargés. Une fois téléchargés, effectuer immédiatement une analyse antivirus.
Chaque système d’exploitation, application ou logiciel contient des vulnérabilités. Découvertes, elles sont corrigées dans les mises à jour de sécurité qu’il est nécessaire d’installer régulièrement. De nombreux utilisateurs n’effectuent pas ces mises à jour : les failles sont ensuite exploitées par des personnes malveillantes. La solution la plus simple est de mettre en place des mises à jour régulières et automatiques, de façon à gagner en productivité par la délégation de ces tâches chronophages.
9. Rédiger une charte informatique
Rédiger une charte informatique est impératif afin de déterminer les droits et les obligations d’utilisation du système, cadrer le comportement des utilisateurs et prévenir les abus.
La cybersécurité peut aller encore plus loin. Face à la complexité des menaces, chaque entreprise a intérêt à se doter d’une politique de sécurisation de ses systèmes d’information. Déployée par un professionnel, une politique de cybersécurité peut même devenir un facteur de productivité, de compétitivité et de croissance pour les PME.