Les infections de logiciel sont toujours plus variées. Comment s’en protéger? Dix conseils pratiques.
Choix des mots de passe, sécurité des lieux physiques, mise à jour des systèmes, chiffrement des données sensibles…. Les comportements à suivre pour se protéger de tentatives de hacking au sein de son parc informatique sont cruciaux. Voici quelques conseils à suivre pour éviter toute mauvaise surprise.
Sensibiliser le personnel
Selon Alexandre Karlov, professeur en sécurité informatique à l’Institut des technologies de l’information et de la communication à la HEIG-VD, la sensibilisation du personnel aux cyber-risques peut se faire via de courtes formations en ligne ou des workshops. Il est également utile de vérifier régulièrement si les employés restent attentifs. On peut par exemple simuler une attaque en envoyant des emails avec des liens malveillants afin de constater combien de personnes tombent dans le piège.
Mettre à jour les systèmes
Il convient de s’assurer fréquemment que les systèmes – au niveau des postes, des serveurs comme des applications – bénéficient des dernières mises à jour de sécurité. Limiter la consultation de certains sites en fonction des activités de l’entreprise peut également se révéler judicieux.
Déployer un système de monitoring et chiffrer les données sensibles
En fonction de la taille et du budget de l’entreprise, Alexandre Karlov conseille de déployer un système de monitoring du réseau afin de détecter des attaques, ainsi que des tentatives d’exfiltration des données. La société peut aussi faire appel à un SOC (Security Operation Center) externe. L’expert recommande par ailleurs de chiffrer les données sensibles sur les serveurs et les postes client (données financières, RH, etc.).
Choisir des mots de passe forts
Un bon mot de passe doit être long et complexe, par exemple 10 caractères avec au minimum une minuscule, une majuscule, un chiffre et un caractère spécial. De même, le mot de passe ne doit pas être basé sur un mot (nom commun, prénom, nom de famille, lieu), car il pourra alors être trouvé à l’aide d’une attaque par dictionnaire. Il est recommandé de choisir des "phrases de passe". Il s’agit d’accoler plusieurs mots sans rapport avec le compte protégé. Il peut s’agir par exemple de "vache, guitare, volet, sentir" ou "fleur, espoir, graffiti, voiture". Ces phrases permettent de remplir les conditions de complexité tout en étant faciles à mémoriser.
Ne pas réutiliser ses mots de passe
Il est important de ne pas utiliser le même mot de passe sur les différents comptes. Idéalement, chaque compte devrait compter un mot de passe différent et unique, qu’il s’agisse de messagerie, e-banking, forums ou sites de réservation. Par ailleurs, il faut s’assurer que les mots de passe par défaut sont mis à jour régulièrement sur les routeurs et autres périphériques. Il faut changer les mots de passe à des intervalles réguliers sur les services et les postes de travail que les employés utilisent.
Ne pas négliger la sécurité physique des lieux
La sécurité informatique d’une entreprise passe aussi par une bonne sécurisation du matériel et de l’accès aux locaux. Alexandre Karlov recommande d’établir une liste des règles à suivre, comme par exemple verrouiller l’écran lorsqu’on quitte le poste ou fermer la porte à clé lorsque personne ne reste dans les locaux. Il faut aussi s’assurer que le réseau WiFi soit protégé avec un protocole de type WPA.
Ne jamais interagir avec le contenu d’e-mails suspects
Aucun employé ne doit cliquer sur les liens contenus dans des e-mails non-sollicités (tels que les spam) ou suspects, ni ouvrir les fichiers attachés.
Effectuer des tests réguliers
Pour Philippe Oechslin, chargé de cours en informatique et systèmes de communication à l'EPFL, quelques mesures simples peuvent éviter de gros soucis de sécurité informatique, tout comme une bonne hygiène dentaire peut éviter les caries. "Une de ces mesures est le test régulier de la sécurité des systèmes, affirme-t-il. Une vérification du bon fonctionnement des sauvegardes permet par exemple d'éviter une mauvaise surprise le jour où les données de l'entreprise sont chiffrées par un rançongiciel. De même, des applications sensibles, comme par exemple une application permettant de faire des paiements, peuvent être mise à l'épreuve d'un test d'intrusion réalisé par des pirates éthiques pour détecter d'éventuelles failles."
Définir un processus de réponse
Définir une réponse efficace aux incidents de sécurité informatique et nommer des personnes responsables s’avère également utile. Dès 5 à 7 employés, il convient de nommer un responsable de la sécurité informatique, en établissant une liste de responsabilités et de tâches à effectuer.
Établir une politique de gestion de risques
En fonction de la taille et du budget de la société, on devrait commencer à établir une politique de gestion de risques de sécurité informatique en suivant des frameworks (ou cadres d'applications) connus tels ISO 27001 ou Octave. Enfin, pour les grandes entreprises, il convient de définir une politique de sécurité présentant les différents niveaux de sensibilité de documents et de données, ainsi que la politique de leur traitement.
Informations
Sur le thème
Les PME suisses sont de plus en plus exposées à la cybercriminalité
Selon un sondage de la Haute école spécialisée de Lucerne (HSLU) daté de novembre 2017, environ 40% des entreprises helvétiques ont subi une cyberattaque, qu’il s’agisse d’hameçonnage de courriels ou de méfaits d’un logiciel malveillant. Deux tiers des sociétés ayant participé à l’étude autorisent leurs employés à utiliser leurs appareils privés pour envoyer ou consulter leurs e-mails professionnels. Un tiers permet aux salariés d’accéder à l’ensemble des applications informatiques de l’entreprise depuis l’extérieur.
Liens
Suisse Digital - Internet Security Awareness
Dernière modification 02.05.2018
