Si vous êtes un dirigeant de PME cherchant à renforcer rapidement, mais surtout efficacement, la cybersécurité de votre entreprise, vous êtes au bon endroit. Lorsqu’on gère une entreprise, il est courant de privilégier d’autres aspects plutôt que la cybersécurité – c’est particulièrement vrai pour les PME.
Pourtant, en cas d’attaque, les PME sont les plus vulnérables et ont moins de possiblités de s’en remettre. Les conséquences peuvent être financières, opérationnelles et même toucher la réputation de l’entreprise, au point de mener à une fermeture quelques mois après l’incident.
Un rapport alarmant de la National Cyber Security Alliance révèle que 60 % des petites entreprises ferment dans les six mois suivant une cyberattaque, notamment en cas de violation de données.
Mettre en place une stratégie de cybersécurité solide prend du temps, et il peut s’écouler des mois avant qu’elle ne soit pleinement opérationnelle. C’est pourquoi nous avons rassemblé une liste de bonnes pratiques simples que vous pouvez appliquer dès maintenant pour protéger votre entreprise.
I. Politique de gestion des mots de passe
Les mots de passe forts sont la première étape pour sécuriser votre entreprise. Il est essentiel que tous vos employés choisissent des mots de passe complexes et différents à chaque fois qu’un nouveau mot de passe est requis.
Un bon mot de passe doit être difficile à deviner:
- Contenir au moins 12 caractères
- Inclure un mélange de lettres majuscules et minuscules, de chiffres et de caractères spéciaux
Pour générer ces types de mots de passe sans avoir à les mémoriser, utilisez des gestionnaires de mots de passe qui les créeront automatiquement et les stockeront en toute sécurité.
II. Authentification à deux facteurs (2FA)
Pour sécuriser l’accès aux informations sensibles et aux systèmes de votre entreprise, mettez en place l’authentification à deux facteurs (2FA) partout où c’est possible. Cela renforcera la sécurité de votre entreprise en exigeant deux formes d’identification lors d’une connexion via:
- Un code reçu par SMS
- Une application d’authentification comme Microsoft Authenticator ou Google Authenticator
Idéalement, ce second facteur ne doit pas être un téléphone personnel mais un téléphone professionnel, afin de limiter les risques. En effet, les smartphones peuvent être une faille de sécurité, surtout si leur usage est à la fois personnel et professionnel.
III. Sauvegardes régulières
Mettez en place une politique de sauvegarde dans votre entreprise. Vos équipes doivent sauvegarder les données quotidiennement et les stocker dans un endroit sécurisé. Cette mesure peut paraître simple mais c’est l’une des mesures les plus rapides à mettre en place pour se protéger des ransomwares.
En effet, certaines entreprises sauvegardent leurs données uniquement dans le cloud. Or, les services cloud peuvent aussi être vulnérables aux cyberattaques.
Les ransomwares représentent la deuxième plus grande menace pour les PME.
Il est fréquent de voir des entreprises faire faillite après une attaque de ce type. Par exemple, une PME existant depuis 150 ans a fermé en seulement trois mois après une attaque par ransomware, selon un récent article du Times.
Une sauvegarde fréquente réduit considérablement les risques, car vous pourrez récupérer vos données en cas de perte d’accès.
IV. Limitation des accès (physiques et numériques)
Seul un nombre restreint et autorisé de collaborateurs devrait avoir accès à :
- L’infrastructure critique de votre entreprise
- Vos sauvegardes
- Vos systèmes sensibles
En matière d’accès numérique : - Les privilèges administrateurs doivent être limités aux personnes de confiance, idéalement l’équipe IT
- Les employés ne doivent avoir accès qu’aux informations nécessaires à leur travail
V. Mises à jour régulières
Assurez-vous que tous vos logiciels sont toujours à jour. Les mises à jour et correctifs sont publiés pour corriger des failles de sécurité détectées.
Activez les mises à jour automatiques pour gagner du temps, mais vérifiez régulièrement leur bon déroulement.
Exemple d’attaque évitable : En 2017, le ransomware WannaCry a infecté plus de 200 000 ordinateurs dans 156 pays. Pourtant, Microsoft avait publié un correctif un an avant l’attaque. Les entreprises qui ne l’avaient pas installé en ont été les principales victimes.
VI. Plan de continuité et de reprise d’activité
Pour sécuriser votre entreprise, vous devez également vous préparer au pire scénario.
Comment votre entreprise pourrait-elle continuer à fonctionner en cas de cyberattaque ? Nous avons répertorié les principales menaces pour les PME. Chacune d’entre elles peut avoir des conséquences différentes ; que feriez-vous dans chaque cas pour assurer la continuité de votre activité ? Suite à l’attaque de WannaCry, par exemple, le National Health System britannique a revu son plan de continuité d’activité et l’a mis à jour afin de mieux anticiper l’impact qu’une telle attaque pourrait avoir sur ses opérations.
En complément, mettez en place un plan de reprise d’activité. Quelles mesures devez-vous prendre pour restaurer vos systèmes et récupérer vos données en cas d’attaque ? Assurez-vous que l’ensemble de l’entreprise connaisse ces étapes afin de pouvoir reprendre les opérations le plus rapidement possible.
VII. Sensibilisation et formation des employés
Une étude menée par IBM a révélé que 95 % des failles de sécurité impliquent une erreur humaine.
Les attaques de phishing sont la menace numéro un pour les PME, et elles reposent sur une seule chose : l’erreur humaine.
Pour renforcer la vigilance de vos employés, vous pouvez :
- Expliquer régulièrement les bonnes pratiques de cybersécurité
- Organiser des formations sur les mots de passe sécurisés, la navigation web, etc.
- Simuler des attaques de phishing pour tester leurs réactions
- Mettre en place des ateliers sur la gestion des incidents de cybersécurité
VIII. Vérifiez que tout est sécurisé
Enfin, assurez-vous que chaque partie de l’infrastructure de votre entreprise est protégée. Cela passe en partie par une vérification régulière de l’efficacité de vos mesures de cybersécurité : les sauvegardes sont-elles effectuées quotidiennement ? Votre plan de continuité d’activité est-il à jour ? Vos employés sont-ils sensibilisés aux tentatives de phishing ?
En plus de ces bonnes pratiques, il est essentiel de sécuriser vos ordinateurs, smartphones et tablettes contre les cyberattaques. Une solution End Point Detection & Response (EDR) vous protégera contre toutes les menaces auxquelles les PME sont confrontées, y compris celles générées par l’IA qui ne sont pas encore connues. Nous proposons l’EDR le plus abordable du marché, spécialement conçu pour les PME.
A découvrir ici : https://tehtris.com/en/platform/edr-endpoint-detection-response/
Pour sécuriser le reste de votre infrastructure (vos smartphones et appareils mobiles), une solution Mobile Threat Detection (MTD) vous aidera à les gérer tout en les protégeant contre les menaces.
Toutes les informations ici : https://tehtris.com/en/platform/mtd-mobile-threat-defense/