L’ultra-connectivité et la dématérialisation des services touchent désormais toutes les strates de la société. La crise sanitaire a accéléré un phénomène déjà bien engagé, avec le développement de modèles de travail hybride et l’apparition de technologies toujours plus sophistiquées. De brusques changements dans les pratiques ne sauraient se faire sans quelques failles et ça, les cybercriminels l’ont très bien compris ! Profitant des vulnérabilités des outils et du manque de connaissance des utilisateurs, les menaces en ligne prolifèrent. C’est notamment le cas en entreprise où les TPE et micro-entreprises sont particulièrement touchées. Comment bien se protéger contre les menaces en ligne quand on est entrepreneur ? Nous répondons à cette question dans cet article avec 7 bonnes pratiques à mettre en place.
Quelles sont les menaces en ligne qui pèsent sur les entrepreneurs ?
Petites entreprises : des cibles de choix pour les cybercriminels
Particulièrement vulnérables, les petites structures se pensent pourtant à l’abri des menaces en ligne. Du fait de leur petite taille ou de la nature de leur activité, 54% des TPE/PME sont ainsi convaincues de ne pas être dans le collimateur des cybercriminels (source : ANSSI). Or,le dernier rapport d’activité de la CNIL est sans appel : 69% des entreprises ciblées par des menaces en ligne sont les micro-entreprises et les TPE/PME, contre 25% pour les entreprises de tailles intermédiaires (ETI) et 6% pour les grandes entreprises.
Les cybercriminels ont une organisation digne des plus grandes entreprises et ils ont un seul objectif : faire un maximum de profits en un minimum de temps. La taille d’une entreprise leur importe peu, toutes leurs cibles représentent une trésorerie potentielle et un capital données à exploiter immédiatement. En outre, les petites structures ne mettent généralement pas en place de solides politiques contre les menaces en ligne et rendent ainsi la tâche plus aisée aux pirates informatiques.
Les menaces en ligne et leurs impacts sur les entrepreneurs
> Les menaces les plus courantes pour ces typologies d’entreprises
- Le phishing ou hameçonnage
Cybermalveillance.gouv.fr considère le phishing comme la cybermenace numéro 1 pour les particuliers, mais aussi pour les entreprises. Il s’agit d’une technique frauduleuse basée sur la manipulation des victimes, pour les inciter à révéler leurs informations personnelles ou à cliquer sur un lien contenant un logiciel malveillant. C’est le cas typique du mail ou du SMS nous incitant à payer une amende rapidement, avant majoration. On nous redirige vers un lien pour payer la soi-disant amende, nous poussant ainsi à divulguer nos informations bancaires et donc, à être la cible de futures fraudes.
- Le ransomware
Le ransomware ou rançongiciel talonne de près le phishing. En 2022, un rapport Sophos révèle que 73% des entreprises françaises ont été affectées par un rançongiciel. Il s’agit ni plus ni moins d’un malware (logiciel malveillant) qui parvient à s’insérer dans un système d’information, par le biais du phishing par exemple, et qui va chiffrer certaines données, les rendant inaccessibles. L’auteur d’un ransomware demande à sa victime une rançon en échange de la disponibilité de ses informations.
- Les malwares (logiciels malveillants)
Le malware est un programme malveillant qui exploite les failles qui peuvent exister sur un système : vulnérabilité logicielle ou réseau, erreurs humaines (ouvrir une pièce jointe douteuse), etc. Il peut prendre plusieurs formes et avoir plusieurs objectifs comme on a pu le voir avec le ransomware, mais il peut aussi détruire vos fichiers (chevaux de Troie) ou espionner vos données à votre insu (spyware).
> Des impacts financiers et réputationnels
Les conséquences d’une cyberattaque peuvent être catastrophiques pour une petite entreprise. Citons tout d’abord les conséquences financières directes, c’est-à-dire toutes les pertes d’argents consécutives à l’attaque :
- Un virement fait aux hackers ou une fraude bancaire.
- Les frais de justice si la responsabilité civile ou pénale du dirigeant de l’entreprise est engagée.
- Le coût des dispositifs immédiats de cybersécurité
- Le rachat de matériel, etc.
On trouve ensuite les coûts indirects, comme les pertes sur le chiffre d’affaires, liées au ralentissement, voire à l’arrêt de la production, la destruction de fichiers clients et d’informations stratégiques.
Les cyberattaques ont aussi un impact dévastateur sur la réputation et la confiance envers une entreprise. Des clients, des partenaires et des fournisseurs peuvent mettre fin à des contrats, refroidis par le manque de dispositifs de sécurité ou par la fuite et l’exposition dangereuse de leurs données.
Beaucoup d’entreprises ignorent en effet que les répercussions d’une cyberattaque peuvent durer plusieurs mois, voire plusieurs années. Les TPE et les micro-entreprises, particulièrement fragiles financièrement, peuvent ne jamais se révéler et cesser leurs activités. Le ministre délégué chargé du numérique, Jean-Noël Barrot déclarait dans un post LinkedIn qu’une PME sur deux faisait faillite dans les 18 mois après une cyberattaque.
7 bonnes pratiques pour vous protéger des menaces en ligne
Après, ces éléments contextuels, voici quelques exemples de mesures et bonnes pratiques destinées aux TPE, micro-entreprises et entrepreneurs. La grande majorité de ces mesures sont également des recommandations formulées par l’Agence Nationale de la sécurité des systèmes d’Information (ANSSI) et par Cybermalvaillancegouv.fr.
Obtenez plus de renseignements à ce sujet en contactant nos experts !
1. Faire l’inventaire de l’ensemble de vos actifs numériques
C’est la première, et peut-être la mesure la plus importante dans le cadre d’une stratégie de protection et de sécurisation de votre environnement. Identifier votre matériel, vos logiciels et vos applications et cartographier vos données serviront de bases solides pour initier toutes les autres bonnes pratiques.
Cela vous permettra également de mettre en lumière d’éventuelles failles et vulnérabilités (licences non valides, accès utilisateur indus, données trop exposées, non-conformité, etc.) et de prendre les mesures correctives adéquates.
> Le matériel et les services
Lister tous les terminaux de votre parc informatique (ordinateurs, mobiles, tablettes), les périphériques (imprimantes, box, commutateurs, clés 4G, etc.) les serveurs locaux et les serveurs distants. Ce dernier point concerne entre autres les services de messagerie ou encore les services d’hébergement du site web de l’entreprise.
> Les logiciels et les applications
Il convient non seulement de tous les répertorier, mais d’être également au fait de leur nature et de leurs fonctions au sein de vos activités (quels métiers ont accès à ce logiciel, à quelles fins, etc.) . Posez-vous aussi les questions suivantes :
- Quelles versions utilisons-nous ?
- Les licences d’utilisation sont-elles valides ?
> Les accès
Il convient de lister les utilisateurs qui ont accès à votre système d’information (collaborateurs, partenaires, clients, etc.) et d’en connaître les modalités. À quelle catégorie appartiennent-ils ? S’agit-il d’invités, d’administrateurs ou d’utilisateurs standards ? Une visibilité aussi exhaustive vous permettra de détecter les accès à risque ou qui n’ont plus lieu d’être comme les accès des anciens collaborateurs. En outre, vous serez en mesure de déterminer des règles spécifiques pour chacune de ces catégories.
> Les données
Capital ô combien précieux de votre activité, inventorier, comprendre et cartographier la donnée contribue à une meilleure protection et sécurité de votre environnement, mais permet aussi de répondre aux exigences de conformité.
Là encore, il convient de se poser les bonnes questions :
- Quelles données sont soumises à un cadre réglementaire ou légal (RGPD, NIS LPM) ? Si vous traitez de la donnée à caractère personnel (bases de données clients par exemple), des données de santé et autres catégories sensibles, c’est très certainement le cas.
- Où sont stockées les données métiers les plus stratégiques (finances, comptabilité, BDD, etc.) ?
- Quelles catégories de données affecteraient la continuité et la qualité de l’activité en cas de perte ou de fuite ?
- Quelles sont les données techniques, c’est-à-dire celles liées à la configuration du matériel, aux licences, etc. ? (Elles aussi vous seront très utiles en cas d’incident, Cf. bonne pratique n°7)
- Quelles données sont traitées (c’est-à-dire collectées, enregistrées, stockées) en local ou/et dans le cloud ?
2. Ne jamais négliger les mises à jour de vos logiciels et antivirus
> Les mises à jour des antivirus et des antimalwares
L’utilisation de ces logiciels est une première barrière efficace contre les menaces en ligne (virus et autres malwares). Il analyse les fichiers présents dans votre système et les compare à sa base de signatures malveillantes connues. S’il détecte des similitudes, il vous alerte et supprime le fichier ou le malware suspect. Pour assurer cette protection de base, il est important d’en installer sur l’ensemble de votre parc informatique.
Il convient ensuite de les mettre très régulièrement à jour pour qu’ils continuent à alimenter sa base de signatures. Aujourd’hui, on estime que des centaines de milliers de logiciels malveillants apparaissent chaque jour !
Le saviez-vous ? Tous les systèmes d’exploitation (Windows, Mac) ont désormais pré-installé et activé un paramétrage automatique de pare-feux locaux (logiciels qui bloquent les attaques provenant du réseau et d’Internet). N’hésitez pas à vous pencher sur les règles de filtrage de ces outils.
> Les mises à jour de l’ensemble de la flotte logicielle
La régularité dans les mises à jour s’étend à toutes vos solutions logicielles et applicatives et pas seulement aux antivirus. C’est un point essentiel parce que les cyberattaquants exploitent de plus en plus rapidement les vulnérabilités qui apparaissent sur ces solutions (messageries, ERP, etc.). Les mises à jour vous garantissent ainsi l’intégration rapide des mesures visant à corriger ces vulnérabilités.
- Assurez-vous d’utiliser du matériel et des logiciels dont les conditions de sécurité sont encore à jour et garanties par les constructeurs et les éditeurs. Cela implique de renoncer à des outils obsolètes.
- Activez les options de mise à jour automatiques de tous vos logiciels et matériels lors de leur configuration.
Notre conseil : Téléchargez toujours vos logiciels et applications sur les sites officiels des éditeurs
Obtenez plus de renseignements à ce sujet en contactant nos experts !
3. Mettre en place une politique de sauvegarde solide et régulière
Effectuer des sauvegardes, définir un rythme régulier et établir des process en fonction de la criticité de la donnée vous permet de ne pas interrompre votre activité en cas de panne du système ou pire, d’attaque.
En principe, vous avez défini quelles étaient les données les plus importantes pour la poursuite de votre activité parmi les données métiers et les données techniques (Cf. bonne pratique n°1). Il convient donc de définir un processus de sauvegarde pour ces données.
> Définir une fréquence de sauvegardes
Le rythme que vous allez instaurer dépend du volume de données que vous produisez et que vous traitez sur un temps donné. Si votre valeur marchande et votre cœur d’activité tournent autour de services numériques, des sauvegardes hebdomadaires, voire quotidiennes, sont à envisager. En revanche, si vous êtes dans un secteur comme l’artisanat, vous ne créez pas autant de données numériques, donc une fréquence mensuelle sera plus appropriée.
> Choisir les bons supports de sauvegarde sous la règle des 3-2-1
La sauvegarde en ligne, c’est-à-dire sur le cloud ou sur des disques réseau, est recommandée pour la simplicité et l’agilité que cela apporte. Toutefois, les sauvegardes connectées présentent l’inconvénient d’être davantage exposées à des cyberattaques, à l’instar des ransomwares puisque ce sont des systèmes connectés au réseau et à Internet. Par conséquent, il est impératif d’ajouter un système de sauvegarde déconnecté comme un serveur ou un disque dur physique. Notez que certains services cloud proposent aussi des systèmes de sauvegarde hors ligne.
Pour garantir la disponibilité de la donnée, l’ANSSI conseille d’appliquer la règle des 3-2-1 : 3 systèmes de sauvegarde sur 2 supports différents, dont 1 hors ligne.
Notes :
– Si vous effectuez des sauvegardes en ligne, vous pouvez opter pour le chiffrement de certaines catégories de données. Il s’agit d’une méthode d’encodage des informations. Pour pouvoir y accéder et pour les déchiffrer, il faut un code ou une clé de chiffrement. Cela peut constituer une protection supplémentaire en cas d’attaque.
– Si vous êtes soumis à un cadre légal ou réglementaire, certaines données peuvent demander des mesures de protection spécifiques, notamment dans les processus de sauvegarde. C’est le cas des données à caractère personnel et de son texte de référence, le RGPD.
4. Implémenter une solide politique de mots de passe
Selon une récente étude Hive Systems, il faut à peine 5 minutes à un cyberattaquant pour décrypter un mot de passe de 8 caractères (avec des chiffres, des lettres en minuscule et en majuscule et même des symboles spéciaux). Et pour les mots de passe comme les dates de naissance ou les noms de vos animaux de compagnie, il lui faut quelques secondes à peine.
Aujourd’hui, un grand nombre d’attaques réussissent à cause de la faiblesse des combinaisons choisies. Un pirate va tenter des combinaisons standards comme les fameux 0000, 1234, azerty, etc. ou bien essayer des combinaisons grâce aux informations obtenues vous concernant sur les réseaux sociaux ou par la publication d’un fichier mal protégé comprenant vos identifiants.
L’ANSSI préconise ainsi quelques règles à mettre en place.
- Créer des mots de passe avec au moins 17 caractères pour les services qui donnent accès à de l’information critique et 9 caractères pour les accès aux données non critiques
- Utiliser un mélange de lettres en majuscules et minuscules et des caractères spéciaux
- Proscrire les informations personnelles, mais privilégier le recours aux passphrases ou phrases entières.
- Utiliser des mots de passe différents pour chaque application ou chaque service nécessitant une authentification.
- Utiliser un coffre-fort certifié pour générer et mémoriser vos mots de passe.
- Activer l’authentification multifacteur quand vos services (de messagerie par exemple) vous le proposent. Le MFA repose sur au moins deux facteurs de vérification pour accéder à vos ressources. Ce sont des codes à usages uniques reçus par e-mail ou par SMS.
Obtenez plus de renseignements à ce sujet en contactant nos experts !
5. Utiliser les services cloud de manière éclairée et sécurisée
C’est un fait, la révolution cloud a drastiquement modifié nos manières de travailler et de collaborer avec les équipes, les fournisseurs et les prestataires. Les services cloud apportent une agilité et une immédiateté encore jamais atteinte et ouvrent notamment la voie au travail à distance. Enfin, elles séduisent pour leur faible coût et leurs promesses de sécurité. Mais rappelez-vous toujours que le risque zéro…n’existe pas !
Migrer ses données de manière trop aléatoire vers le cloud et utiliser des services qu’on ne connaît qu’à moitié présentent certains risques : exposition des informations et des outils métier, non-conformité réglementaire, perte de contrôle sur sa donnée, pannes de service, etc. Il convient alors d’analyser attentivement les avantages et les inconvénients de chaque offre en matière de prestations et de sécurité. N’hésitez pas à faire appel à un prestataire pour vous accompagner dans vos choix.
> Demandez-vous si vos besoins fonctionnels et vos exigences en termes de sécurité sont en adéquation avec les services cloud que vous convoitez. Fort de l’inventaire de tous vos actifs (Cf. bonne pratique n°1) répondre à cette question sera aisée.
> Fiez-vous à des fournisseurs cloud qui disposent de certifications et de label de sécurité comme le SecNumCloud, qualification initiée par l’ANSSI.
> Identifiez les services qui proposent des fonctionnalités comme :
- Le MFA
- Des mécanismes de sauvegarde en ligne et hors ligne
- Des systèmes d’alertes en cas de connexions suspectes ou inhabituelles
- Le chiffrement des communications grâce au protocole HTTPS
> Formez, sensibilisez vos collaborateurs aux usages du cloud
6. Redoubler de prudence en télétravail et en déplacement
Le temps du travail exclusif entre les quatre murs sécurisés de l’entreprise est désormais révolu. Place au modèle hybride où le télétravail s’est largement généralisé depuis la crise sanitaire de 2020. Aujourd’hui, à l’aide d’un ordinateur portable, d’un smartphone et d’une tablette, il est possible de travailler depuis n’importe quel endroit, y compris dans l’espace public : café, gares, etc.
Or, le télétravail, comme le nomadisme, fait courir davantage de risques à l’environnement et au système d’information de votre entreprise. Ainsi, 47% des télétravailleurs ont déjà été victimes d’un hameçonnage, selon le rapport d’activité 2022 de la CNIL.
En déplacement, vous utilisez également des connexions WiFi à la sécurité variable, ouvrant de très dangereuses voies d’accès à des logiciels malveillants. Citons les redoutables spywares qui espionnent vos activités confidentielles et autres keyloggers qui enregistrent à votre insu ce que vous tapez sur votre clavier.
Enfin, le classique, mais néanmoins courant vol de matériel est également un bon moyen d’exposer votre entreprise lorsque vous êtes en déplacement.
Voici comment renforcer les mesures de sécurité sur ces terrains :
- Sécurisez la connexion à distance à l’aide de VPN (Virtual Private Network). Il s’agit de réseaux privés virtuels qui vont crypter les données et les rendre difficilement accessibles aux intrus. Les VPN permettent aussi d’isoler les ordinateurs distants et leurs activités, des télécommunications publiques.
- Dissocier les activités personnelles des activités professionnelles, en utilisant exclusivement les ordinateurs paramétrés et sécurisés par l’entreprise pour l’activité professionnelle. Vous pouvez également autoriser la création de sessions utilisateur dédiées à titre exceptionnel.
- Ne jamais connecter votre matériel à des équipements qui ne sont pas fiables (prise USB en libre-service, portails actifs de commerces ou hôtels) ou qui appartiennent à des tiers
- Ne jamais laisser vos équipements sans surveillance et encouragez vos collaborateurs à placer un filtre écran pour préserver la confidentialité.
- Configurez un verrouillage automatique sur les terminaux
Obtenez plus de renseignements à ce sujet en contactant nos experts !
7. Avoir les bons réflexes quand une cyberattaque se produit
Les menaces en ligne, nous l’avons vu plus haut, atteint des pics alarmants depuis quelques années déjà. Face à une telle omniprésence, il est plus avisé de se demander quand une attaque va se produire plutôt que de se demander si elle va se produire. L’idée n’est pas non plus de tomber dans la psychose ni dans la paranoïa, mais plutôt d’être conscient des risques.
> Comment bien se préparer ?
Si vous avez suivi nos précédentes recommandations, vous avez effectué des sauvegardes régulières, hors de portée des menaces en ligne (Cf. bonne pratique n°3). Vous avez mis en place des règles strictes en matière de données critiques, mais aussi pour les données techniques, à savoir les configurations des équipements, les licences logicielles, etc.
Donc, en cas d’attaques ou autres dysfonctionnements, vous avez en votre possession des backups qui assureront la continuité de vos activités.
Nos conseils :
- Renseignez-vous sur les organismes ou plateformes officiels qui seront en mesure de vous accompagner étape par étape lors de la survenue d’un incident. C’est le cas de Cybermalveillance.gouv qui après avoir établi un diagnostic, vous donnera des conseils adaptés à la situation. Vous pouvez aussi lister et vous renseigner sur les prestations des entreprises locales dédiées à la cybersécurité.
- Vérifiez que votre assurance dispose d’une clause pour vous prémunir en cas de risques numériques.
Voici maintenant quelques pistes qui vous aideront à avoir les bons réflexes en cas d’attaque avérée :
- La première chose à faire est de déconnecter ses équipements (accès WiFi, prises réseau) ou si cela vous concerne, le système d’information (SI) de votre entreprise.
- N’éteignez jamais les équipements affectés, cela permettra de mieux comprendre la nature de l’incident et d’établir un diagnostic
- En cas de ransomwares, il ne faut jamais payer la rançon exigée. Il est même question d’un projet de loi prochain qui vise à sanctionner les organismes qui cèdent à ce chantage.
- Ouvrez une main courante afin de bien tracer et documenter le cours des événements et de résoudre au plus vite le problème.
- Si la taille de votre entreprise l’impose, faites appel à un dispositif de communication afin de relayer des messages aux collaborateurs, aux partenaires, sur les réseaux sociaux et également auprès de la presse.
Conclusion
Au-delà de ces bonnes pratiques :
- Restez au fait des nouvelles mesures et pratiques relatives aux menaces en ligne
- Soyez toujours vigilant et donnez une place plus centrale aux sujets cyber et numériques
- N’hésitez pas à vous faire accompagner par des prestataires dédiés
- Formez, sensibilisez vos collaborateurs à l’aide d’ateliers de formations, de mises en situation ou même sous une forme ludique