Article de l’actualité de RF COMPTABILITE

 

Douze règles essentielles pour sécuriser les équipements numériques

La Confédération générale des petites et moyennes entreprises (CGPME) et l’Agence nationale de la sécurité des systèmes d’information (ANSSI) ont élaboré conjointement un « Guide des bonnes pratiques informatiques », à l’attention des PME. Ce guide présente 12 recommandations pratiques issues de l’observation et de l’analyse des cyberattaques « réussies » contre des PME et de leurs causes.

Le développement du numérique fait désormais partie intégrante des usages à la fois professionnels et personnels mais introduit de nouveaux types de risques pour les entreprises : essor des cyberattaques avec leur cohorte de conséquences néfastes (pertes d’exploitation, dégradation de l’image des entreprises etc.), risques de pertes de données sensibles en cas de vol d’ordinateurs, de smartphones et de tablettes. Pour limiter les risques encourus, des solutions peu onéreuses, voire gratuites, sont à la portée de toutes les entreprises, en particulier des PME qui sont régulièrement visées. Les 12 recommandations recensées par la CGPME et l’ANSSI sont les suivantes.

1. Choisir avec soin ses mots de passe

Les mots de passe sont encore trop souvent faciles à « craquer » pour des cybercriminels et constituent des portes d’entrée de choix vers les données sensibles des entreprises. Pour rendre les mots de passe complexes à trouver, il existe bien sûr des outils automatisés (mots de passe système alphanumériques choisis par randomization, mais, bien souvent, les utilisateurs changent ces mots de passe pour plus facilement se les rappeler. Deux méthodes simples permettent pourtant d’élaborer des mots de passe complexes mais faciles à retenir :

-la méthode phonétique. Par exemple « j’ai acheté 7DVDs pour 100 € cet après-midi » qui devient « ght7dvds%E7am » ;

-la méthode des premières lettres. Par exemple « Allons enfants de la patrie, le jour de gloire est arrivé » qui peut devenir « ae2lp,LJ2GEA ».

Idéalement, il est préférable de définir un mot de passe unique pour chaque service sensible (à ne pas réutiliser par d’autres services).

2. Effectuer des mises à jour logicielles régulières

Ces mises à jour proposées par les éditeurs de logiciels visent à corriger les vulnérabilités détectées sur les systèmes d’exploitation. Il est recommandé de configurer les logiciels de l’entreprise pour que les mises à jour s’installent automatiquement.

3. Bien connaître ses utilisateurs et gérer précisément les droits d’accès

Il est important de gérer précisément les arrivées et départs de personnel, en termes de droits d’accès, et déconseillé d’utiliser un compte administrateur pour la navigation Internet (en général, un compte utilisateur suffit pour les collaborateurs).

4. Procéder à des sauvegardes régulières

Les sauvegardes régulières des données de l’entreprise sont indispensables, mais elles doivent être effectuées sur des supports adaptés : un disque dur externe réservé exclusivement à cet usage, un lieu de stockage des sauvegardes distinct afin que ces données soient préservées en cas d’infraction ou d’incendie, par exemple. En cas d’utilisation de l’informatique dite « en nuage », pour mieux assurer la confidentialité des données, il est par exemple recommandé d’utiliser un logiciel de chiffrement avant de copier les données dans le « Cloud ».

5. Sécuriser l’accès wi-fi

Pour ce faire, l’assistance technique du fournisseur d’accès Internet de l’entreprise peut s’avérer fort utile. La borne d’accès Internet doit disposer du protocole de chiffrement WPA2 (qu’il faut activer) ou WPA-AES (ne jamais utiliser le chiffrement WEP qui est « cassable » en quelques minutes par un cyberattaquant lambda).

6. Ȇtre vigilant lors de l’utilisation des outils nomades

Les « ordiphones » (smartphones) sont aujourd’hui très peu sécurisés. Or, il faut se montrer aussi prudent avec son smartphone ou sa tablette qu’avec son ordinateur. À cet égard, il est recommandé, notamment, de vérifier à quelles données une application donne accès (répertoire, etc.) avant de la télécharger.

7. Protéger les données lors des déplacements

En cas de déplacements à l’étranger, des mesures de sécurité s’imposent à la fois avant de partir en mission mais aussi pendant la mission et au retour, pour éviter les vols de données ou la substitution de matériel. Pour ce faire, les voyageurs peuvent, notamment, « marquer » le matériel utilisé lors des missions et le faire systématiquement vérifier par le service informatique au retour de mission.

8. Ȇtre vigilant dans l’utilisation des messageries

Les messageries professionnelles (voire personnelles utilisées au travail) constituent des vecteurs majeurs d’attaques contre les entreprises. Là aussi des règles de sécurité s’imposent, en particulier :

-la vérification des sources et des contenus des messages reçus (cohérence entre l’expéditeur et le contenu du courriel ; ne pas ouvrir les pièces jointes soit issues de contacts inconnus, soit qui ne sont pas attendues par le destinataire) ;

-ne jamais répondre par mail à une demande d’informations personnelles ou confidentielles (risque de « phishing ») et ne pas relayer les chaînes de messages ;

-désactiver l’ouverture automatique des documents téléchargés (idéalement, lancer une analyse anti-virus avant de les télécharger).

9. Télécharger des programmes uniquement sur des sites officiels

Il est notamment recommandé de télécharger les programmes uniquement sur les sites officiels des éditeurs et de désactiver ou décocher les cases proposant d’installer des logiciels complémentaires.

10. Ȇtre prudent lors de paiements en ligne

Lors d’achats en ligne, il faut bien entendu privilégier les sites sécurisés (cadenas sur l’adresse, site « https » et non « http » seulement). Les banques proposent souvent des moyens de paiement sécurisés.

11. Séparer les usages personnels et professionnels

permet également de limiter les vols de données. Par exemple, mieux vaut ne pas faire suivre les messages électroniques professionnels sur une messagerie personnelle et éviter de connecter des périphériques personnels aux ordinateurs professionnels (clés USB, disques durs externes…).

12. Gérer l’empreinte numérique de l’entreprise

Les informations circulant sur Internet et les réseaux sociaux sont parfois de vrais passe-partout pour des attaquants, leur donnant des indices précieux sur l’organisation de l’entreprise et ses failles. Il est ainsi préférable d’avoir plusieurs adresses électroniques dédiées aux différentes activités sur le Web : une adresse pour les activités professionnelles et une autre pour les forums et jeux concours, le cas échéant.

 

http://rfcomptable.grouperf.com/depeches/36981.html

www.cfcaexpert.fr