7 conseils de base concernant la sécurité informatique des PMEs

By 15 avril 2017BLOG
7 conseils de base concernant la sécurité informatique des PMEs

Sans être alarmiste, mais de façon très factuelle, les PME n’ont jamais autant été exposés aux risques de l’informatique. Cela est dû plusieurs facteurs : explosion de l’usage d’Internet et des applications hébergées, nécessité d’interconnecter les systèmes d’information, reconversion de groupes mafieux dans la cybercriminalité. Dans les années à venir, toutes les PME seront victimes d’un acte délictueux touchant à leur système d’information.

Pour être bien protégé il convient d’identifier clairement ces risques : le pirate surdoué s’introduisant seul dans un système informatique est un risque quasi inexistant, voir un mythe pour la majorité des PME. Les vrais risques sont les rançongiciels (ransomware), l’hameçonnage (phishing), l’ingénierie sociale (« fraude au président »), et les actes malveillants internes à l’entreprise.

Se protéger contre ces risques n’est pas une tâche titanesque, cela demande de la méthode et du professionnalisme. Il convient aussi de ne pas être excessif, et de trouver le bon équilibre entre contraintes de sécurité et contraintes opérationnelles, et c’est au dirigeant d’arbitrer.

Voici 7 conseils de bases qui s’appliquent à toutes les PME :

  1. Un système de sauvegarde fiable: le système de sauvegarde est un élément obligatoire dans une politique de sécurité, c’est l’assurance de retrouver ses données quoi qu’il arrive. Les sauvegardes doivent se faire à minima quotidiennement, une copie doit être externalisée et elles doivent être testées régulièrement.
  2. Des systèmes d’exploitation à jour et navigateurs web: quasiment tous les virus exploitent des failles Windows, et le plus souvent ces failles ont été corrigés par Microsoft, mais les entreprises n’ont pas appliqué les bonnes mises à jour. Même si l’impact est moindre, cela vaut aussi pour les autres logiciels, notamment les navigateurs Internet.
  3. Un antivirus à jour : un antivirus à jour est important, cependant les dernières attaques montrent que les antivirus ont toujours un temps de retard, et il leur faut plusieurs jours pour contrer les nouveaux virus. L’expérience montre que la mise à jour des systèmes d’exploitation est beaucoup plus importante que l’antivirus.
  4. Une formation des utilisateurs : une erreur humaine est quasiment à l’origine de toutes les attaques : ouverture d’une pièce jointe suspecte, divulgation d’un mot de passe sur un site d’hameçonnage, divulgation d’information qui serviront pour de l’ingénierie sociale, etc. Une formation des utilisateurs limitera de façon importante les risques. On ne parle pas de formation de plusieurs jours, mais de petites formations régulières, qui peuvent se faire par email.
  5. Une politique de mot de passe adaptée et rigoureuse : obliger les utilisateurs à changer de mot de passe tous les mois n’a plus de sens aujourd’hui. Par contre il faut mettre en place une politique de mot de passe adaptée : interdire le partage de mot de passe entre collègue, bannir les logins mutualisés, mettre en place une double authentification pour les logiciels Cloud, éviter l’usage d’un même mot de passe sur plusieurs systèmes, et enfin sensibiliser et aider les utilisateurs dans la gestion de leurs mots de passe, un humain ne peut pas raisonnablement retenir 20 mots de passe complexes.
  6. Respecter les règles de l’art en matière d’infrastructure : accès internet protégé par un firewall, relecture régulière des règles du firewall, réseau wifi protégé, changement des mots de passe « par défaut » de tous les éléments réseau, etc.
  7. Une gestion des droits d’accès : Plus une personne aura des droits limités, plus les impacts d’un virus, du vol d’un mot de passe ou de sabotage seront limités. Cependant une entreprise ne doit pas être étouffé par une gestion des droits trop stricte, il faut trouver le bon équilibre.