Un guide pour les TPE/PME
Les mauvaises pratiques et un trop faible niveau de protection technique rendent les TPE/PME vulnérables aux cyberattaques.
Contrairement aux grandes entreprises, les TPE/PME ne sont pas toujours en mesure d’investir des compétences et de l’argent dans la sécurité de leurs solutions informatiques. Ainsi, selon un récent sondage réalisé par Ipsos pour le compte de Navista en septembre dernier, 50 % des 300 PME interrogées ne se protègent pas contre les actes de malveillance. Pire, 90 % d’entre elles (PME de 1 à 99 salariés) autorisent l’accès Internet à des sites potentiellement dangereux et 70 % échangent des documents avec leurs clients sans mettre en place de mesures de confidentialité. Pourtant, selon la même étude, neuf PME sur dix ont conscience des risques courus.
Fortes de ce constat, la CGPME et l’Agence nationale de la sécurité des systèmes informatiques (Anssi) viennent de publier un guide, téléchargeable gratuitement (
12 règles
Pédagogique, ce guide de 44 pages invite les TPE/PME à respecter 12 règles. Chacune d’elle est illustrée par un cas réel anonymisé qui permet de prendre conscience des risques courus. Les « bonnes pratiques » mises en lumière dans ce guide sont sommairement contextualisées puis détaillées sous la forme d’une liste de recommandations simples et précises.
Les 12 règles essentielles pour sécuriser ses équipements informatiques selon la CGPME et l’ANSSI | |
1 | Choisir avec soin son mot de passe |
2 | Mettre à jour régulièrement ses logiciels |
3 | Contrôler l’attribution des droits d’utilisation des machines (droits d’utilisation et droits d’administration) |
4 | Effectuer des sauvegardes régulières des données |
5 | Sécuriser l’accès au réseau wi-fi interne de l’entreprise |
6 | Etre aussi prudent avec son smartphone qu’avec son ordinateur |
7 | Protéger les données stockées sur un portable (chiffrement, sauvegarde) lors d’un déplacement |
8 | Etre très prudent dans la gestion de ses courriels (phishing, malwares...) |
9 | Ne télécharger des logiciels que sur des sites de confiance |
10 | Etre vigilant lors d’un paiement sur Internet (vérification de la sécurité du site) |
11 | Séparer les usages personnels des usages professionnels |
12 | Protéger son identité numérique (éviter de communiquer ses coordonnées à tous les sites...) |
Gérer sa sécurité
Outre la mise en œuvre de ces 12 règles « d’hygiène informatique », les rédacteurs de ce guide convient les dirigeants de TPE/PME à renforcer la politique de sécurité de leur équipement en confiant, par exemple, à un collaborateur la responsabilité de son application.
À charge pour lui de sensibiliser ses collègues, notamment en rédigeant une charte informatique présentant les bonnes pratiques, de veiller au bon équipement des machines (pare-feu, antivirus…) ou encore de surveiller les flux de données pour détecter plus facilement les éventuelles intrusions.
En cas de contamination
Enfin, en cas d’incident, les auteurs du guide proposent aux entreprises de suivre une liste de recommandations pour, notamment, limiter les conséquences de l’attaque. Cela va de l’indispensable déconnexion des réseaux de la machine infectée au formatage de cette dernière (avant réinstallation des logiciels) en passant par l’analyse de tous les ordinateurs de l’entreprise et l’éventuel dépôt de plainte.
La situation française en termes de sécurité informatique
Les entreprises françaises font partie des cibles favorites des hackers du monde entier.
À en croire l’éditeur Symantec, la situation de la France en termes de sécurité informatique s’est encore dégradée en 2014. Notre pays occupe désormais la 14
Vous avez dit « rançongiciel » ?
Un rançongiciel, également appelé « ransomware », est un logiciel malveillant qui a pour objet de permettre à un pirate de bloquer l’accès à des données présentes sur un support de stockage distant (disque dur d’un terminal ou d’un serveur, clé usb, espace de stockage en ligne…). Pour débloquer les données, la victime est « invitée » à verser une somme d’argent au pirate (virement, appels ou SMS surtaxés, clics sur des publicités en ligne…). Certains de ces malwares se contentent de bloquer l’accès à la machine infectée. Soit ils affichent clairement une demande de rançon en menaçant de détruire les données, soit ils se font passer pour un éditeur de logiciel ou un service public (gendarmerie, commission Hadopi…). Dans cette seconde hypothèse, la victime est sommée de payer une amende ou de régulariser sa situation (utilisation sans droit d’un logiciel, téléchargement illicite de films ou de musiques…).
La technique du chiffrement
D’autres rançongiciels, les plus récents, plutôt que de bloquer l’accès à une machine, vont chiffrer tout ou partie des fichiers présents sur ces supports de stockage. Ces malwares, à l’image du CTB-Locker qui a sévi en France en ce début d’année, sont beaucoup plus dangereux dans la mesure où, sauf si les éditeurs d’antivirus ont réussi à identifier la clé de chiffrement, il sera très difficile de récupérer les données cryptées. Bien entendu, payer la rançon dans l’espoir d’obtenir ladite clé est illusoire. Comment imaginer, en effet, qu’un hacker prenne le risque de se faire identifier en communiquant à sa victime une information alors qu’il a déjà obtenu le paiement de la rançon…
Mieux vaut prévenir que guérir
Les rançongiciels se propagent comme la plupart des malwares. Il convient donc de ne pas ouvrir les pièces jointes associées à des courriels non désirés et de mettre à jour ses antivirus et autres antispywares. En outre, pour limiter les risques d’être victime d’une faille de sécurité lors d’une ballade sur un site Web, il est impératif d’activer les mises à jour automatiques des programmes permettant la navigation (système d’exploitation, navigateur, Java…). Enfin, effectuer des sauvegardes régulières constitue la seule garantie de récupérer toutes ses données intactes suite à l’attaque d’un rançongiciel.
Copyright : Les Echos Publishing 2015