Cybersécurité : les bonnes pratiques à appliquer
Les petites entreprises n’échappent pas aux cyberattaques, même si elles se croient moins exposées, car moins visibles que les grandes structures. Un guide de l’agence nationale ANSSI préconise de se poser 13 questions. Et apporte des réponses.
Selon l’équipementier de réseau Cisco, 43% des cyberattaques visent des PME (moins de 300 personnes). Et une enquête de Positive Technologies, expert en intrusion de réseaux, conclut que 93% des PME ne résisteraient pas à une cyber-attaque un peu sophistiquée. Dans deux tiers des cas, la pénétration réussit à cause d’une protection insuffisante des informations d’identification.
Les risques sont bien là, à commencer par les attaques d’hameçonnage (phishing) : des utilisateurs ouvrent, par ignorance ou inadvertance, des documents qui libèrent des petits logiciels espions, lesquels vont scruter le poste de travail. Rien qu’aux Etats-Unis, en 2021, on a compté 12 millions d’e-mails de phishing ayant envahi 17 000 organisations de toutes tailles.
Treize questions à se poser
En France, l'ANSSI (Agence nationale de la sécurité des systèmes d’information) vient de publier avec la DGE (Direction générale des entreprises) et la CPME (Confédération des petites et moyennes entreprises et France Num, un guide de 13 bonnes pratiques visant à se protéger contre la cybermalveillance, en distinguant TPE et PME.
La première vérification préconisée concerne le parc informatique : il faut veiller à mettre à jour l’inventaire de tous les postes connectés, y compris les périphériques (imprimantes, box, clés 4G…) ; relever tous les accès par niveaux (administrateur, utilisateurs, invités, prestataires…) et revalider leur filtrage.
Second point : vérifier les sauvegardes. Sont-elles faites au bon rythme - jour, semaine ou mois - en plusieurs copies, après chiffrement ? Il faut tenir compte du niveau de criticité des données et décider de les opérer en interne et/ou sur le Cloud, ou chez un prestataire.
La question 3 concerne les mises à jour : celle des OS (Windows, iOS, Linux, Android…) et des applications métiers. Activer le mode automatique est la bonne décision.
Le point 4 touche aux antivirus et aux logiciels de sécurité. Tous les postes en sont-ils équipés, et les mises à jour actives ? Là aussi le mode automatique est conseillé.
Des mots de passe plus robustes
Vient ensuite la question de la robustesse des mots de passe et de leur renouvellement de façon régulière. Ils doivent mixer des caractères spéciaux, majuscules et minuscules et des chiffres. Jusqu’à 15 caractères pour mieux protéger les dossiers critiques.
La question 6 préconise l’utilisation d’un pare-feu (firewall) sur tous les postes, avec des règles de filtrage par flux. L’intervention d’un expert est bienvenue. Le point suivant vise la messagerie : il faut proscrire la redirection d’e-mails professionnels vers sa messagerie personnelle. Par défaut, le chiffrement TLS doit être activé. Des solutions anti-spam et anti-phishing (anti-hameçonnage) sont recommandées.
Autre question-clé, la séparation entre compte utilisateur (pour naviguer sur Internet) et compte administrateur. Ce dernier doit être très restreint et tenu à jour (cas de départ du collaborateur). Les autorisations peuvent être limitées par application et par niveau d’utilisation.
Le nomadisme ou télétravail pose la question des risques de vols et de réseaux distants non sécurisés. Les modes d’authentification ne doivent pas être enregistrés, mémorisés. Les données doivent être sauvegardées très régulièrement et, pour les données sensibles, chiffrées.
Informer, sensibiliser
En interne, l’information sur les risques et sur les cyberprotections doit être tenue à jour, rafraîchie, répétée. Il faut sensibiliser tous les collaborateurs, notamment les nouveaux venus. En corollaire, on veillera à établir les mesures à prendre en cas de cyberattaque : déconnexion partielle/totale, recours aux sauvegardes, refus de céder au chantage, alertes en cascade, dépôt de plainte… Le guide interroge également sur la couverture d’assurance, et recommande de relire et mettre à jour certaines clauses pour la couverture des cyberattaques.
Enfin le chapitre 13, le dernier, est dédié aux offres Cloud et à la qualification de confiance SecNumCloud. L’authentification à double facteur (mot de passe, puis envoi d’un code) est recommandée, ainsi que le chiffrement et une sauvegarde des données en ligne et hors ligne.
Pierre MANGIN