De nos jours, quasiment toute votre activité passe par les ordinateurs et smartphones. Internet et les nouvelles technologies ont rendu les activités professionnelles dépendantes du numériques.
D’autre part, les petites entreprises ne sont plus épargnées. Parmi les attaques les plus fréquentes, on trouve les cryptologiciels et les rançongiciels. Si notre contrat de protection numérique vous protège en cas de dommages et pertes, il est important de prendre des mesures pour prévenir les risques.

Comment prévenir les cyber-risques ?

Vos données sont-elles sensibles ? Votre système d’information au sein de l’entreprise est-il sécurisé ? A quel niveau une attaque cyber impacterait votre activité professionnelle ? Vos données peuvent-elles intéresser des tiers ? Ce sont autant de questions à se poser pour l’analyse de votre exposition aux risques cyber.

La sécurité de vos données est un enjeu majeur. Elle passe par une analyse complète de votre dispositif. Le but est de mieux comprendre pour anticiper les risques et potentielles failles de sécurité de votre système.

Ensuite, il faudra mettre en place une charte informatique pour limiter les risques de hameçonnage. Mandatez une personne au sein de l’entreprise pour porter le projet ! Après analyse, elle devra établir la politique de prévention pour :

1/ Sensibilisez
2/ Scindez
3/ Sécurisez
4/ Sauvegardez
5/ Continuez

1/ Sensibilisez pour une action collective

Afin de se prémunir des risques, il est essentiel de former vos équipes internes. Cela passe par toutes les strates de collaborateurs : du stagiaire temporaire au salarié en CDI depuis plusieurs années. Ils n’en seront que plus vigilants. Vous augmentez ainsi le niveau de surveillance pour repérer toute anomalie ou alerte même mineure. En cas de suspicion de mails frauduleux, prévoyez des consignes claires pour l’ensemble des employés.

En second lieu, dans la vie privée comme professionnelle, il est important de contrôler et vérifier auprès de qui vous transmettez des données à caractère personnelles. Renseignez-vous sur l’utilisation qui en sera faite. Enfin, assurez-vous que la transmission de ces données est indispensable pour votre activité.

Vos sous-traitants et fournisseurs, sans le vouloir peuvent également ouvrir une brèche dans votre système d’information. Informez-les sur votre politique de sureté afin qu’ils prennent conscience des risques. Vous pouvez également partager vos bons réflexes pour qu’ils adoptent les bonnes pratiques de leur côté.

2/Scindez la vie professionnelles de la vie personnelle

Bien que la pratique du AVEC (Apporter Votre Equipement personnel de Communication) (BYOD – Bring You Own Device), soit très répandue, elle pose de gros problèmes de confidentialité. Si cela n’est pas toujours évident, il est également important de scinder vie professionnelle et vie personnelle.

Le degré de protection sur vos outils personnels n’est pas le même que sur vos appareils et applications professionnels.

De ce fait, n’hébergez pas de données professionnelles sur vos appareils personnels. De même, ne transférez pas de messages professionnels sur votre messagerie personnelle. Enfin, ne connectez pas d’outils personnels amovibles (clés USB, disque dur…) sur votre ordinateur professionnel.

3/ Sécurisez votre système d’information

Tout d’abord, une bonne gestion des droits d’accès et mots de passe est primordiale pour protéger votre activité. Évaluez les besoins de vos collaborateurs afin qu’ils aient le niveau d’accès adapté à leurs besoins.

Administrateurs
Les comptes dits « administrateurs » seront réservés à une minorité de personnes, de préférence restreint au service informatique s’il existe. D’autre part, il est conseillé de renforcer l’accès de ces comptes avec une authentification à 2 facteurs.

Mots de passe
Les mots de passe doivent garantir un bon niveau de complexité pour être difficile à trouver. Par exemple, n’hésitez pas à mélanger majuscules, minuscules, chiffres et caractères spéciaux et de préférence n’ayant aucun lien avec vous. On utilisera un mot de passe individuel par application, outil ou service. De cette manière si un mot de passe est piraté, cela n’entravera pas la sécurité des autres comptes.

Mettez à jour régulièrement les droits des utilisateurs pour fermer les accès en cas de départs de certains collaborateurs de l’entreprise.

Il faudra aussi alerter le personnel sur les risques de stockage des mots de passe. On évite de le laisser en évidence sur un post-it ou préenregistré dans les navigateurs, surtout en cas de connexion sur un ordinateur public ou partagé.

Pare-feux
Les logiciels que vous utilisez sont autant de points d’entrée dans votre système d’information. Il est important de s’assurer de leur protection en utilisant des anti-virus mais également des pare-feux qui serviront de filtres. Il existe également des outils de détection qui vont étudier les comportements de vos fichiers téléchargés et détecter des activités suspectes.

Mises à jour
Cela parait anodin mais il est important de mettre à jour régulièrement les systèmes d’exploitation, logiciels et applications pour conserver une version à jour sécurisées. Les mises à jours permettent de corriger les failles. Vous pouvez également gagner du temps et activant la mise à jour automatique. Veillez à n’utiliser que les sites officiels des éditeurs pour vos mises à jour et téléchargements.

Réseaux
Sécuriser son parc machine c’est bien, protéger sa connexion c’est mieux !
Les données entrantes et sortantes sont des portes disponibles pour les hackers. Bluetooth, Wifi et tout objet connecté sont des failles à exploiter. Renseignez-vous auprès de votre fournisseur d’accès à internet (FAI) pour configurer votre borne d’accès.

Tout d’abord, modifiez la clé de connexion initiale (inscrite sur le boîtier), activez les fonctions de pare-feux et désactivez votre borne d’accès lorsqu’elle n’est pas utilisée.
Evitez au maximum les connexions sur des réseaux publics et ne partagez pas votre connexion.

De manière générale, lorsque vous êtes en déplacement, restez vigilants et n’utilisez que votre matériel. Ne vous connectez que lorsque cela est nécessaire. Le reste du temps, coupez vos accès wifi et Bluetooth.

4/ Sauvegardez vos données

Il est primordiale de sauvegarder vos données quotidiennement et de tester les restaurations de contenus pour vérifier leur bon fonctionnement. Une double-sauvegarde vous garantit de meilleures chances de récupérer vos données.

En ligne
Vous pouvez effectuer une sauvegarde de vos données sur un serveur à distance. Cependant, vérifiez les conditions de générales en cas de faille de leur système et de risque pour la confidentialité de vos données. Cette option stockage cloud vous permet d’avoir une sauvegarde en dehors de vos locaux (si un sinistre venait à se déclarer) mais chaque système peut comporter des failles. Pour limiter le risque, faites appel à un logiciel de chiffrage des données pour en rendre la lecture impossible par les personnes non autorisées.

Hors ligne
Le mieux reste encore un système dit « hors ligne ». Utilisez un disque dur uniquement réservé à cet usage et stocké à distance de votre ordinateur en cas de vol. Veillez à vérifier son état de fonctionnement régulièrement.

5/ Continuez votre activité même en cas d’attaque

Le plan de reprise d’activité en cas de cyberattaques doit vous permettre d’anticiper au mieux le redémarrage de votre système d’information. Pour mettre en place un plan de continuité efficace, vous devez au préalable qualifier et hiérarchiser vos données et outils. Quel est le risque en cas de vol de cette donnée ? Comment faire si cet outil est piraté ? Quels sont les services essentiels au bon fonctionnement de chaque entité et métier ? Vous devez avoir une vision claire de votre système d’information.

Le plan de relance comprend également une procédure pour gérer la crise étape par étape. Il définit les rôles de chacun pour mettre en place les mesures d’urgence et être le plus réactif possible.

Que faire en cas de cyber-attaque ?

Vous êtes un établissement scolaire ? Evaluez vos risques avec Fides Assurances

Vous avez tout fait pour vous prémunir mais malheureusement le risque zéro n’existe pas. Dès que vous vous rendez-compte que vous êtes victime d’un hacker, il est impératif de porter plainte et de contacter dès les premiers instants votre assureur qui pourra vous aiguiller sur les démarches à suivre.

C’est également le moment de mettre en action votre plan de relance !

Source de l’image : Istock

Partagez cet article !