Cybersécurité : 12 questions à se poser pour les TPE – PME

Accueil » Cybersécurité : 12 questions à se poser pour les TPE – PME

En juin 2022, à l’occasion des Rencontres Cyber-Sécurité d’Occitanie, nous avons eu le plaisir de participer à la conférence “Cybersécurité : 12 questions à se poser pour les TPE – PME”.

Rémy Daudigny (Délégué à la Sécurité Numérique en région Occitanie – ANSSI) et Sébastien Neumann (Auditeur en sécurité informatique / Pentester – Advens), ont répondu à de nombreuses questions :

Nous avons donc décidé de vous partager leurs bons conseils : bonne lecture !

Qu’est-ce que la cybersécurité ?

La Cybersécurité, c’est avant tout maîtriser vos informations (connaître les données sensibles ou non, que vous possédez).

Les 3 objectifs de la Cybersécurité sont :

Être en sécurité ;
Cyberdéfense ;
Lutte.

La référence nationale pour vous informer dans cette démarche est l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information).

Qui attaque, et pourquoi ?

Qui ?

Plusieurs personnes ou groupes de personnes, sont susceptibles de vous attaquer :

Des États / Nations : pour des raisons géopolitiques ;
Des Terroristes / Activistes : pour une idéologie ;
Crime Organisé : pour de l’argent ;
Les Hackers : passionnés de technologie ;
Une Menace Interne : vengeance ;
Les Scripts Kiddies : à la recherche de sensations fortes (challenge ou pour faire forte impression).

Pourquoi

Leurs objectifs sont tout aussi variés :

Espionnage ;
Déstabilisation ;
Destruction ;
Neutralisation
Gain lucratif ;
Pré-positionnement stratégique (consiste à prendre contrôle à l’avance d’un réseau, sans se manifester, pour faire des dégâts au moment opportun).

Soyez prudent !

Menaces Actuelles

Les Rançongiciels

Logiciel malveillant qui prend en otage des données personnelles (ou bloque les accès), en échange d’argent. Ne leur donnez jamais votre argent. Rien ne vous garantit que vous récupèrerez vos données, bien au contraire, ils en profiteront encore plus.

Le saviez-vous ? 30% des collectivités territoriales ont déjà été victimes d’un rançongiciel.

Les Faux ordres de virement “l’arnaque au président”

L’arnaque au président consiste pour le fraudeur à contacter une entreprise cible, en se faisant passer pour le président de la société mère ou du groupe. Le contact se fait par courriel ou par téléphone. Après quelques échanges destinés à instaurer la confiance, le fraudeur demande que soit réalisé un virement international non planifié, au caractère urgent et confidentiel.

Quels sont les impacts d’une agression cyber ?

Si vous êtes victime d’une cyberattaque, voici ce que vous risquez :

Perte financière
- Perte de CA (arrêt de l’activité, détournement de fonds) ;
- Frais de remise en service (prestation cyber, compensation clients et fournisseurs, frais juridiques, amendes (RGPD), etc.) ;
Perte de réputation (dégradation de la relation avec les clients et fournisseurs)
Perte intangible
- perte de propriété intellectuelle, de données, recherches et développement, portefeuille clients ;
- perte d’un avantage concurrentiel ;
Impacts humains (situation de stress, incertitude sur le devenir de la société, chômage, etc.).

Il est donc important de communiquer, et d’informer vos équipes sur ce sujet. Mais aussi de prévoir les actions à mettre en place en cas de crise.

Comment se protéger pour éviter une cyberattaque ?

Pour se protéger, il existe de nombreuses actions à mettre en place, plus ou moins accessibles selon vos connaissances. Mais plus vous les appliquerez, moins vous aurez de risques (bien que le risque 0 n’existe pas).

Voici donc les 12 questions à se poser en cybersécurité :

1. Connaissez-vous bien votre parc informatique ?

Pour commencer à vous protéger, il faut savoir quoi protéger et ne rien oublier.

Faites un inventaire de :

Tous les équipements et services ;
Les logiciels utilisés ;
Données et traitements de données ;
Les accès ;
Connexions internes et externes.

2. Effectuez-vous des sauvegardes régulières ?

En cas de perte de vos données, vous devez toujours, avoir un moyen de les récupérer :

Identifiez les données à sauvegarder ;
Déterminez la fréquence de vos sauvegardes (minimum 2 fois par mois, à tous les jours en cas d’activité importante) ;
Déterminez les supports pour vos sauvegardes (un disque dur + un stockage en ligne par exemple) ;
Respectez le cadre juridique.

3. Faites-vous régulièrement les mises à jour ?

Beaucoup de personnes ont peur des mises à jour. Pourtant, elles renforcent la sécurité du logiciel (protection contre de nouvelles menaces, correction de bugs ou failles de sécurité).

Activez les mises à jour automatiques ;
Si quelqu’un gère les mises à jour : vérifiez qu’il fait son travail !

4. Avez-vous un antivirus ?

Quand on vous dit antivirus, vous pensez “sur ordinateur”, mais tous vos appareils sont susceptibles d’êtres piratés !

Protégez aussi vos téléphones et tablettes (et activez la mise à jour de l’antivirus bien sûr) !

5. Avez-vous systématiquement des mots de passe robustes ?

À titre d’exemple :

Un mot de passe de 12 chiffres peut être cracké en 2 secondes ;
Un mot de passe complexe de 10 caractères peut être cracké en 5 mois ;
Pour un mot de passe complexe de 18 caractères, vous êtes tranquille, il faudrait 438 billions d’années à l’algorithme pour le retrouver.

Pour avoir un mot de passe robuste, il doit donc a minima contenir :

12 à 14 caractères ;
Des chiffres et des lettres ;
Des signes de ponctuation et autres caractères spéciaux (%, #, ?, @…) ;
majuscules et minuscules.

Pour connaitre toutes nos astuces (à faire et ne pas faire, retenir, applications utiles et double sécurité) lisez “Optimiser la sécurité de votre mot de passe”.

Pour éviter de devoir retenir tous vos mots de passe et de les écrire quelque part, utilisez Keepass (coffre-fort de mot de passe simple et gratuit).

6. Avez-vous un pare-feu ? Est-il bien paramétré ?

Activez le pare-feu sur vos appareils, il protégera votre réseau local des intrusions extérieures.

Il s’agit d’une barrière de protection et de sécurité, empêchant la fuite de certaines informations en dehors du réseau informatique. Il permet de gérer, de contrôler, d’analyser, et de sécuriser le réseau de votre entreprise.

Vérifiez quelles applications sont autorisées à avoir des connexions entrantes, n’autorisez que celles qui sont nécessaires et auxquelles vous avez confiance. Contrôlez-le tous les ans.

Activez votre pare-feu :

Pare Feu Windows

Coupe Feu Mac

7. Sécurisez-vous votre messagerie / boite mail ?

Qui n’a jamais reçu un mail frauduleux ? Il est très important de sécuriser votre messagerie, très convoitée des pirates puisqu’elle donne accès à vos nombreux comptes et applications (identifiants, réinitialisation du mot de passe, données personnelles, etc).

N’autorisez jamais les redirections de la messagerie vers des adresses mail personnelles !
Si possible, ayez un système d’analyse antivirus en amont des boîtes aux lettres des utilisateurs pour prévenir la réception de fichiers infectés ;
Activez la double authentification sur votre messagerie ;
Attention au hameçonnage, renseignez-vous et informez vos équipes.

Quelques réflexes permettent de se prémunir des tentatives de hameçonnage :

L’expéditeur est-il connu ?
Une information de sa part est-elle attendue ?
Le lien proposé est-il cohérent avec le sujet évoqué ?
En cas de doute, une vérification de l’authenticité du message par un autre canal (téléphone, SMS, etc.) auprès de l’émetteur est nécessaire.

8. Comment séparez-vous vos usages informatiques ?

La connexion des outils informatiques avec Internet présente certains risques (exfiltration de données confidentielles, intrusions, usurpation d’identité, etc).

Pour s’en prémunir :

Créez des comptes utilisateurs dédiés à chaque employé (et sans privilèges d’administration) ;
Seuls les comptes utilisateur doivent être utilisés pour la navigation sur Internet (et non administrateur).
Si un collaborateur quitte l’entreprise, faites l’inventaire de ses accès et supprimez-les ;
Si possible, ayez un ordinateur et téléphone professionnel (sans usage personnel et familial). Sinon, créez des comptes utilisateur pour chaque usage.

9. Maitrisez-vous le risque lors des missions et déplacements professionnels ?

Avant de partir :

Sauvegardez vos données pour les retrouver en cas de perte ou de vol des équipements ;
Équipez vos équipements d’écrans de confidentialité ;
Vérifiez que vos mots de passe ne sont pas préenregistrés ;

Pendant la mission :

Gardez vos appareils, supports et fichiers avec vous ;
Informez votre entreprise en cas de perte ou de vol de votre matériel ;
Refusez la connexion d’équipements appartenant à des tiers à vos propres équipements (téléphone, clé USB, disque dur, etc.).

Après la mission :

N’utilisez jamais les clés USB qui peuvent vous avoir été offertes lors de vos déplacements : très prisées des attaquants, elles sont susceptibles de contenir des programmes malveillants.

10. Informez / sensibilisez-vous vos équipes / collaborateurs ?

Comme dit plusieurs fois ci-dessus, sensibilisez régulièrement vos équipes et collaborateurs aux différentes menaces et techniques de hacking, mais aussi aux bonnes pratiques à adopter et à celles à bannir.

11. Avez-vous évalué la couverture de votre assurance au risque Cyber ?

Les sociétés d’assurance proposent de plus en plus des clauses permettant de se prémunir de certains risques d’origine numérique afin d’accompagner les entreprises victimes de cybermalveillance ou de cyberattaques.

L’assurance fournit, en cas de sinistre, une assistance juridique ainsi qu’une couverture financière du préjudice (matériel, immatériel, etc.).

12. Savez-vous comment réagir en cas de cyberattaque ?

Se préparer

Identifiez les personnes à contacter (et leurs coordonnées) en cas de cyberattaque (sur un carnet papier), vous pouvez aussi vous rendre sur la plateforme Cybermalveillance.gouv.fr.

Après avoir réalisé un diagnostic en ligne, vous accèderez à des conseils personnalisés vous permettant de résoudre votre problème. (Vous pouvez également être mis en relation avec des professionnels de proximité pour vous assister).

N’hésitez pas à vous rapprocher de votre chambre des métiers (CMA) ou de votre chambre du commerce (CCI) : leurs experts peuvent vous orienter vers une assistance appropriée.

En cas de cyberattaque

Déconnectez votre équipement infecté d’Internet (afin d’éviter la propagation de l’attaque et la fuite de données) ;
N’éteignez pas et ne modifiez pas l’équipement, il sera utile aux enquêteurs ;
En cas de rançon demandée : ne payez jamais la rançon. Il existe des solutions pour récupérer les données chiffrées par l’attaque, et si vous avez suivi nos conseils, vous aurez normalement une sauvegarde de vos données ;
Ouvrez une main courante (l’heure et la date de l’action ou de l’événement, le nom de la personne à l’origine de cette action ou ayant informé sur l’événement, la description de l’action ou de l’événement). Une main courante régulièrement alimentée tout au long de l’incident va considérablement faciliter l’intervention du prestataire et la résolution du problème.
Communiquez sur l’incident à vos équipes et collaborateurs.
En cas de fuites de données personnelles, il est obligatoire de faire une déclaration auprès de la CNIL, et portez plainte.

Ce qu’il faut retenir : s’informer régulièrement et se préparer est la meilleure des protections.

Nous vous recommandons d’appliquer les consignes dès maintenant, car quand l’attaque arrive, il est déjà trop tard.

Tous ces conseils sont issus du guide de l’ANSSI, pour avoir plus d’informations, vous pouvez le consulter ici.

À lire ensuite, pour vous protéger au quotidien :