… mais les hackers ne peuvent toucher une cible que si elle est vulnérable. Or, la première faille de sécurité informatique d’une entreprise vient de ses employés.blés..
1 – Mettre en place une politique de sécurité
Résumer dans un document écrit et accessible à tous les règles de sécurité du système d’information de l’entreprise :
- Les bonnes pratiques de sécurité́ de la téléphonie, du web et de la messagerie électronique
- Les règles concernant le téléchargement et/ou l’installation de nouveaux logiciels
- Comment bien choisir ses mots de passe, etc.
- Les vulnérabilités du système informatique
2 – Sensibiliser le personnel aux risques encourus
On ne le dira jamais assez : Il faut en parler aux employés, aux partenaires, aux clients, aux fournisseurs, etc. La sensibilisation des collaborateurs aux risques de la cybercriminalité est primordiale ! Les conséquences financières d’une cyberattaque peuvent être catastrophiques pour une entreprise, et sa première arme est l’éducation de ses employés. Pour cela, le dispositif gouvernemental Cybermalveillance.gouv a diffusé un Kit de Sensibilisation à la Cybersécurité à destination des PME et de leurs employés. Diffusez-le autour de vous, mieux vaut prévenir !
3 – Sauvegarder ses données informatiques
Le patrimoine numérique d’une société est le socle de son activité. Les données capitales d’une entreprise doivent être centralisées et sauvegardées quotidiennement sur un serveur local (pour plus de contrôle) et distant en cas de sinistres physiques (vols/incendies/intempéries).
4 – Sécuriser le réseau d’entreprise
Les cyberattaques (ransomwares, malwares, phishing et autres virus) sont des agressions extérieures qu’il faut pouvoir bloquer avec un pare-feu et un proxy qui protègent les connexions web. La cybersécurité d’une entreprise passe aussi par la protection du réseau local, des accès wifi, de la messagerie électronique ainsi que de tout accès distant.
5 – Protéger les terminaux mobiles
- Ordinateurs portables / tablettes : Avec un antivirus adapté et mis à jour
- Smartphones : Il existe aujourd’hui des antivirus et des anti-malwares pour mobiles. Il faut également penser à activer le verrouillage automatique pour empêcher toute utilisation frauduleuse en cas de perte/vol
6 – Protéger les données personnelles
Le nouveau Règlement Européen de Protection des Données Personnelles (RGPD) exige la mise en place d’une politique de protection de la vie privée. Il faut donc intégrer une clause de confidentialité dans les contrats de sous-traitance informatique avec les prestataires informatiques et fournisseurs Cloud (surtout depuis le vote du Cloud Act).
7 – Gérer les données sensibles
Les fichiers confidentiels d’une entreprise doivent à minima être :
- encryptés lors de leur sauvegarde (le chiffrement des données considérées comme sensibles au regard de la loi est obligatoire)
- à accès limité aux personnes habilitées (connexion grâce à une authentification personnelle).
8 – Sécuriser les locaux
Les locaux d’une entreprise restent son point névralgique. L’accès physique des bureaux et serveurs informatiques doit absolument être sécurisé : Accès fermé et contrôlé avec digicodes et autres badges nominatifs pour les personnes habilitées.
9 – Faire des tests de sécurité
Tout comme les exercices d’évacuation, les tests de restauration des données (fichiers, images système, serveurs et systèmes d’exploitation) sont nécessaires pour se préparer aux prochaines cyberattaques.
10 – Assurer la continuité d’activité en cas de cyberattaque
Si malgré toutes ces mesures l’entreprise est victime d’une cyberattaque, il est possible de reprendre son activité dans encombres et sans payer de rançon. La solution ? L’anticipation ! Mettre en place un Plan de Reprise d’Activité grâce à un logiciel de sauvegarde spécialisé permet de restaurer toutes les données perdues ou encryptées en quelques heures !