L'hygiène de cybersécurité ? Comme l'hygiène personnelle, elle ne se voit pas quand elle est bien faite, mais son absence se remarque immédiatement. Et les conséquences peuvent être bien plus embarrassantes qu'on pourrait le croire.
Nous allons, dans cet article, traiter des points qui nous semblent cruciaux à mettre en place dans toute entreprise, quelle que soit sa taille.
Connaissez-vous vraiment tout ce qui se connecte à votre réseau ? Les smartphones des collaborateur-trice-s, ce serveur installé il y a trois ans "pour tester" et sur lequel les mises à jour ne se font pas, vous les avez sur votre radar ?
Notre première recommandation : établissez un inventaire exhaustif de votre infrastructure IT. Chaque équipement connecté (PC, tablettes, smartphones, caméras, etc.) doit être répertorié et maintenu à jour. C'est comme tenir un carnet d'adresses : on ne peut pas protéger ce qu'on ne connaît pas. Il est également possible d'utiliser des outils spécialisés pour découvrir ce que vous ne voyez pas nécessairement. Votre réseau est simple ? Tant mieux, ça ira plus vite !
Cette démarche vous permettra de répondre rapidement à des questions essentielles : "Combien d'appareils utilisent encore Windows 10 ?" ou "Quels appareils ne devraient pas y être connectés ?". Sans inventaire, vous naviguez à l'aveugle.
Dans l'actualité, on ne cesse de trouver des exemples d'entreprises ayant été piratées à cause d'un logiciel ou d'un système qui n'était pas à jour. Le dernier au moment d'écrire ces lignes concerne une marque de pare-feu pour laquelle un patch a pourtant été mis à disposition il y a plus d'un an. Malheureusement, ce cas est loin d'être isolé.
Les mises à jour ne concernent pas seulement Windows ou macOS. Pensez aux logiciels (navigateurs, lecteurs PDF, logiciels métier spécifiques, suite bureautique, etc.), aux équipements réseau (routeurs, switches, imprimantes, caméras, etc.) et bien sûr à votre antivirus.
Notre conseil : automatisez ce qui peut l'être, planifiez le reste. Basez-vous sur votre inventaire pour contrôler que vous avez bien fait le tour de tous vos équipements. Vous trouverez davantage d'astuces et d'instructions dans notre précédent article.
Vous pensez peut-être "J'ai un bon mot de passe et je lui change un caractère çà et là, ça suffit !". Malheureusement, ce n'est pas le cas. Même le mot de passe le plus complexe peut être compromis (phishing, fuite de données, etc.). Si votre mot de passe comporte des éléments de logique, c'est même pire : un acteur malveillant peut tenter de le deviner. Un mot de passe réutilisé partout compromet davantage votre position et celle de votre entreprise.
L'authentification multifacteur (MFA) ajoute une couche de sécurité indispensable. Activez-la au minimum sur vos accès VPN, votre webmail, vos accès administrateur, et tous les services accessibles depuis l'extérieur.
Les solutions de MFA modernes sont devenues simples d'utilisation. Une notification sur smartphone, un code SMS, une clé USB spéciale ou une application dédiée : quelques secondes d'effort pour votre tranquillité d'esprit. Il est également bon de savoir que ces solutions sont la plupart du temps supportées par les bons gestionnaires de mots de passe. L'occasion de faire d'une pierre deux coup en en adoptant un pour votre usage personnel ou professionnel.
Lorsque l'on s'intéresse aux données sauvegardées chez nos nouveaux clients, nous nous apercevons bien souvent que ce point est négligé. Disposer d'un NAS pour stocker vos données ne vous dispense pas de le sauvegarder dans le cloud ou sur un disque dur externe que vous branchez périodiquement.
Une sauvegarde efficace respecte la règle 3-2-1 :
Sauvegarder des données peut s'avérer complexe, car la fréquence et le type de sauvegarde varie en fonction de vos besoins, de vos attentes et de vos risques. Cela dit, si vous n'avez pas d'idée précise, réaliser une sauvegarde quotidienne de vos données semble être un bon point de départ. Pour les systèmes informatiques (ordinateurs, serveurs, etc.), une sauvegarde mensuelle est souvent suffisante.
Mais cela ne s'arrête pas là : testez régulièrement ces sauvegardes en essayant de restaurer tout ou partie de leur contenu. Une sauvegarde non testée équivaut à pas de sauvegarde du tout.
Notre recommandation : automatisez le processus et vérifiez son bon fonctionnement chaque semaine. C'est votre filet de sécurité en cas de problème majeur, mieux vaut vous assurer qu'il n'est pas troué.
Il y a quelques années, on parlait d'antivirus. Aujourd'hui, dans le monde professionnel, on préfère parler d'EDR (Endpoint Detection and Response). Un EDR est une solution de cybersécurité conçue pour surveiller, détecter et répondre aux menaces sur les terminaux tels que les ordinateurs et serveurs. Contrairement à un antivirus traditionnel qui se contente de bloquer les virus connus, l'EDR observe en permanence et centralise les informations concernant de potentielles menaces. Il est également capable de procéder à une mise en quarantaine (bloquer l'accès au réseau) automatique en cas de menace avérée.
Un bon EDR vous protège contre davantage que des virus. Il vous protège également contre les menaces encore inconnues, les infections ne vivant qu'en mémoire volatile et tout acte malveillant pouvant mettre en péril votre travail.
Le prix d'une telle solution ? Plus bas que perdre vos données face à un ransomware, c'est certain. Des solutions à prix abordable existent pour tout type d'entreprise.
Les meilleures technologies du monde ne remplacent pas des collaborateur-trice-s conscient-e-s des enjeux. Un clic malveillant peut mettre en péril votre entreprise, malgré vos investissements dans des mesures techniques.
Organisez des sessions de sensibilisation régulières. Abordez des sujets concrets à l'aide d'exemples clairs : reconnaître un email de phishing, utiliser un gestionnaire de mots de passe, garantir sa sécurité en télétravail ou encore apprendre à réagir en cas de situation inhabituelle. Les tests de phishing (avec bienveillance) et des modules de formation courts et fréquents permettent de mesurer l'efficacité de vos formations.
Lorsque vous envisagez de tester vos collaborateur-trice-s, faites attention à ne pas glisser sur la pente de la négativité et de la peur : une bonne sensibilisation se fait avec bienveillance, dans l'optique d'augmenter la compréhension de vos équipes, et si possible sans afficher des chiffres qui font peur. Tout le monde sait déjà que la sécurité est importante. Pas besoin de rajouter une couche de culpabilité.
Une assurance cyber couvre certains risques liés aux incidents de sécurité informatique. Si vous vous référez à notre article sur le sujet, vous comprendrez que toutes les assurances ne se valent pas : certaines prennent en charge les frais de restauration, d'autres les pertes d'exploitation, l'assistance juridique ou encore les coûts liés à la communication de crise. Il est essentiel de bien réfléchir à votre niveau de protection actuel et de conclure judicieusement une assurance en fonction de vos mancos.
L'avantage des bonnes assurances cyber consiste à vous accompagner et à prendre en charge les frais suivant une attaque réussie contre votre entreprise. Là où un professionnel en cybersécurité actif dans la prévention pourra travailler à réduire les risques, une assurance cyber et une équipe d'intervention en cas de crise vous aident à récupérer le plus rapidement possible votre capacité de travail, et à minimiser les dégâts d'image. C'est une approche totalement complémentaire.
L'hygiène cyber ne se construit pas en un jour. Commencez par l'inventaire, les mises à jour automatiques et un antivirus professionnel (si possible, un EDR). Ajoutez progressivement la double authentification, puis gérez et testez vos sauvegardes. En parallèle, développez la culture sécurité de vos équipes en les gardant informées à l'aide de contenu à jour et varié.
Chaque petite amélioration compte. Et comme pour l'hygiène personnelle, la régularité prime sur la perfection. Une routine simple mais constante protège mieux qu'un grand nettoyage annuel.
Des questions sur ces bonnes pratiques ? Vous souhaitez être accompagné dans cette démarche, étape par étape ? Contactez-nous dès aujourd'hui (sans engagement) pour des conseils et outils adaptés à vos équipes.