Cybersécurité : les bonnes pratiques pour protéger votre société en ligne
A une époque où le monde se numérise de plus en plus, la vulnérabilité des entreprises face aux cybercriminels ne cesse de s’accentuer.
Les cyber-attaques sont des tentatives non autorisées d’accéder à des données sensibles d’entreprise, de les corrompre ou de les supprimer.
En tant que propriétaire de petite société, vous pourriez avoir l’impression que les hackers et les cybercriminels ne sont pas intéressés par vos données d’entreprise. Après tout, ce sont les cyber-attaques visant les grandes entreprises qui font généralement les gros titres. Cette perception a pour conséquence que de nombreuses petites entreprises ne disposent d’aucun plan de cybersécurité, ce qui en fait une cible facile pour les criminels en ligne.
Quiconque désire se protéger contre les cyber-attaques a tout intérêt à connaître les bonnes pratiques qui peuvent sécuriser leur entreprise sur le Web.
Quelles sont les principales cybermenaces pour les entreprises ?
Les entreprises doivent pouvoir faire face à un grand nombre de menaces. Parmi elles…
- L’hameçonnage ou « phishing » : les fraudeurs tentent de mettre la main sur des informations sensibles telles que les noms d’utilisateur et leurs mots de passe, des informations concernant les clients ou votre numéro de carte de crédit. Lorsqu’ils communiquent en ligne avec vous, ils se font passer pour quelqu’un que vous connaissez et en qui vous avez confiance.
- Les espiogiciels ou « spyware » : tentatives visant à obtenir des informations à propos d’une personne ou d’une entreprise sans qu’elle en ait conscience. Ces données sont alors éventuellement envoyées à une autre organisation, sans autorisation. Autre possibilité : la prise de contrôle de votre équipement par un individu.
- Les maliciels (« malware ») : logiciels malveillants qui infectent des ordinateurs à l’aide de virus, de vers, de chevaux de Troie ou d’espiogiciels. Ces applications endommagent fréquemment l’équipement et le rendent inutilisable – en tout cas, temporairement.
- Les rançongiciels ou « ransomware » : logiciels malveillants qui prennent l’ordinateur ou les données d’une entreprise en otage et s’en servent pour menacer de les rendre publiques ou de bloquer l’accès si aucune rançon n’est payée.
Une cyberattaque peut-elle exercer une influence négative sur mon entreprise ?
Les entreprises se doivent d’être au courant de l’existence de cybermenaces tels que des virus, des espiogiciels et des maliciels. De la même manière, elles doivent savoir que des personnes peuvent se faire passer pour la société ou pour ses collaborateurs dans le cadre de communications en ligne et d’attaques de rançongiciels.
Outre des pertes matérielles (pertes de données, de fichiers ou de systèmes), les cyberattaques peuvent avoir un impact sur les ressources d’une entreprise dans la mesure où son personnel doit s’atteler à résoudre le problème et à implémenter un nouveau système de protection. Il se peut que les employés ne soient pas en mesure de mener à bien leurs tâches quotidiennes en raison de l’incident. Les attaques peuvent également porter atteinte à la réputation d’une marque tandis que la perte de clients et d’employés a un impact négatif sur la qualité de service de l’entreprise.
Si la cyberattaque se traduit par une fuite de données, les entreprises peuvent encourir d’importantes amendes.
Il est heureusement possible d’éviter les types de cyberattaques les plus dommageables en formant correctement les collaborateurs. Ces derniers doivent apprendre la manière d’éviter des arnaques par hameçonnage, quelle est la meilleure politique en matière de mots de passe, comment faire face à des courriels frauduleux et s’approprier d’autres règles essentielles de cybersécurité.
Quels hyperliens sont exempts de tout risque ?
Même lorsque le lien vous est envoyé par quelqu’un que vous connaissez, vous devez toujours vous demander s’il est fiable. En effet, en cliquant sur un lien malveillant, vous courez le risque d’infecter votre ordinateur avec un virus, un espiogiciel ou un maliciel.
Lorsque vous évaluez la pertinence d’un lien, vous devez faire attention à un certain nombre de signaux d’alerte. Des liens raccourcis sont par exemple souvent utilisés par les diffuseurs de logiciels malveillants ou les adeptes de l’hameçonnage afin de masquer la véritable destination du lien.
Vous avez également tout intérêt à éviter des liens qui comportent une suite de caractères étranges, tels que « % », ou des liens contenus dans des courriels imprévus et non sollicités.
Vous avez la possibilité de passer les liens aux rayons X en utilisant des outils en ligne gratuits tels que Norton Safeweb, URLVoid ou ScanURL afin de vérifier s’ils ne présentent aucun risque.
Est-il possible d’être infecté par un virus en ouvrant des courriels ?
Bien qu’il soit parfois possible qu’un ordinateur soit infecté par un courriel qu’on a ouvert, ce sont plutôt les pièces jointes qui représentent un risque bien plus élevé. Le fait de cliquer sur des pièces jointes ou sur des liens peut avoir pour effet d’activer des virus, des chevaux de Troie ou des vers.
N’ouvrez jamais une pièce jointe provenant d’un expéditeur inconnu. Lorsque vous recevez un courriel accompagné d’une pièce jointe venant d’une adresse mail connue alors que vous ne vous attendiez pas à le recevoir, mieux vaut prendre contact avec l’expéditeur afin de vérifier la validité du courriel. Il est facile aux pirates de se ménager un accès à des boîtes de messagerie pour ensuite envoyer des messages vérolés à la liste de contacts de l’utilisateur.
L’utilisation du WiFi public est-elle sûre ?
Aujourd’hui, un nombre croissant d’employés travaillent à distance, par exemple à partir d’un café, d’un espace de coworking ou d’autres sites publics équipés d’un WiFi gratuit.
On constate malheureusement que les attaques de type « homme du milieu » ou « intercepteur » (« man in the middle ») sont fréquentes sur des réseaux WiFi publics non sécurisés. Ces attaques consistent pour les criminels à intercepter vos données personnelles lorsque ces dernières sont envoyées de votre ordinateur vers un site Internet. Sur de tels réseaux, il est dès lors préférable de n’envoyer, de ne recevoir, voire même de ne traiter aucune information professionnelle sensible. La tactique utilisée peut être comparée à de l’espionnage en ligne. Lorsque vous travaillez dans un espace public, vous devez avoir recours à une connexion VPN (réseau privé virtuel) ou à une connexion 4G afin de profiter d’une connexion sécurisée.
Des conseils pour préserver sa sécurité en ligne
Une bonne protection en ligne ne doit pas nécessairement être difficile ou onéreuse à mettre en œuvre. Une série de mesures de protection simples ont la faculté de mieux protéger votre entreprise contre les cybercriminels et de vous permettre d’utiliser l’Internet sans entraves.
Voici plusieurs mesures simples que toute société peut inclure dans sa politique de cybersécurité.
Le cloud vous protège
Les technologies cloud permettent aux membres de l’équipe qui travaillent à distance de partager, d’envoyer et d’accéder en temps réel aux données. Et ce, à partir de n’importe quel endroit et à tout moment. Elles donnent également la possibilité aux entreprises d’automatiser des tâches administratives telles que la gestion des salaires ou la facturation, ce qui leur fait gagner du temps et de l’argent. Comme c’est le cas pour toute plateforme en ligne, il est important d’avoir conscience des exigences de cybersécurité lorsqu’on utilise le cloud.
Afin d’éviter la plupart des menaces de sécurité associées au cloud, les entreprises doivent élaborer une charte en matière d’accès des collaborateurs et de chiffrement des données. Elles doivent par ailleurs encourager la vigilance et prévoir suffisamment de formations dans ce registre.
Les avantages du cloud sont innombrables mais l’un des plus utiles est la faculté de garantir que les données sont correctement protégées et restaurées. Cela a en effet pour conséquence de limiter sensiblement les durées d’indisponibilité non planifiée.
Choisissez un mot de passe robuste
Bien que la plupart des gens soient conscients du danger que représentent des mots de passe faibles, ils n’optent pas pour autant pour des combinaisons plus robustes. Les bonnes pratiques nous enseignent qu’il faut changer fréquemment nos mots de passe et qu’il ne faut jamais utiliser le même mot de passe pour plus d’un compte.
Selon Google, un mot de passe robuste consiste en une combinaison de lettres, de chiffres et de symboles. Vous pouvez également remplacer des lettres par des symboles ou des chiffres. Un exemple : get to work deviendra G8t2wOrk. Autre option : pensez à une phrase et composez votre mot de passe à l’aide des initiales de chaque mot. Un exemple : Les Troupes du Duc d’York Comptaient 10 Milles Hommes devient LTdDdYC10MH.
De tels codes ont non seulement pour effet de renforcer votre mot de passe mais aussi d’être plus faciles à mémoriser. Pour inciter vos collaborateurs à utiliser exclusivement des mots de passe robustes, il est recommandé d’associer équipements et logiciels professionnels à des contraintes de mot de passe.
En plus de critères spécifiques de mot de passe, vous pouvez également recourir à l’authentification à deux facteurs (2FA) afin de protéger vos comptes d’entreprise. Dans ce cas, un code sera envoyé vers un appareil sûr, tel qu’un GSM. Vous introduisez ensuite ce code afin d’obtenir un accès au système ou au compte, ce qui rend pratiquement tout piratage impossible.
Utilisez des logiciels anti-virus
Tous les appareils doivent être équipés de logiciels anti-virus. Cela permet aux utilisateurs d’être protégés contre les arnaques, les maliciels, les espiogiciels et les rançongiciels. Certains programmes procèdent même à la sauvegarde de documents importants, tant et si bien qu’il devient plus facile de restaurer vos données en cas de besoin.
Pour choisir le meilleur anti-virus possible, vous devez tenir compte de l’envergure de votre réseau, du nombre d’appareils pour lesquels vous désirez prendre une licence, des caractéristiques des différents logiciels et d’autres exigences que pourrait avoir votre société.
Les entreprises qui possèdent plus de dix appareils doivent envisager d’investir dans une solution de cybersécurité à l’échelle de l’organisation toute entière afin de pouvoir assurer la protection de l’ensemble du réseau. Il est toujours conseillé d’opter pour un logiciel anti-virus payant plutôt que pour une version gratuite.
Evitez les « pop-ups »
Dans le meilleur des cas, les « pop-ups » – ou fenêtres surgissantes – sont empoisonnantes. Au pire, elles sont dangereuses. Il arrive souvent que des utilisateurs peu méfiants cliquent ainsi sur un lien dangereux ou téléchargent des fichiers infectés. Certaines pop-ups, tels des « scareware » (littéralement logiciels alarmants), peuvent même faire croire qu’elles ont détecté un virus sur votre ordinateur et exigent un paiement pour l’éliminer.
Si vous acceptez ce service, vous risquez en réalité d’installer un maliciel supplémentaire sur votre ordinateur. Afin d’éviter de cliquer accidentellement sur un lien non sécurisé et de devoir paramétrer votre navigateur Internet de telle sorte qu’il bloque toutes les fenêtres surgissantes, il est conseillé de toujours fermer les pop-ups en utilisant pour ce faire les boutons de raccourci de votre clavier.
Procédez à des sauvegardes et chiffrez vos données
Il est impératif de procéder à une sauvegarde régulière de toutes les données de l’entreprise. Ce faisant, vous êtes toujours en mesure de consulter des informations essentielles lorsque votre ordinateur a été contaminé, bloqué ou infecté par un virus ou un maliciel. Il est préférable de conserver vos données dans un environnement sécurisé, telle qu’une blockchain, une solution cloud, ou sur un dispositif non connecté.
Que faire si vous avez été victime d’une cyberattaque ?
Si vous soupçonnez avoir subi une fuite de données ou une cyberattaque, vous devez réagir rapidement. Le facteur temps est crucial en cas de violations de données. Si vous réagissez avec lenteur, votre entreprise encourt des risques sévères à long terme. Contactez votre support IT dès les premiers signes d’une cyberattaque. Ce service est le mieux placé pour analyser la situation, identifier la source du problème et élaborer un plan afin de résoudre la situation ou de limiter les dégâts.
Si la violation subie a pour résultat une fuite d’informations personnelles portant sur les clients, vous avez l’obligation de le déclarer. Les violations doivent faire l’objet d’un rapport à l’autorité de protection des données ou à toute autre instance concernée. La gravité de l’incident déterminera également si les clients doivent être tenus au courant.
Si vous décidez que la violation ne doit pas être signalée, vous êtes néanmoins obligé de documenter les circonstances et de fournir des preuves suffisantes afin d’étayer votre décision.
Après que la violation ait été résolue et, le cas échéant, signalée, vous devez analyser soigneusement les plans de cybersécurité de votre entreprise. Dans la plupart des cas, vous devrez améliorer votre protection en ligne et mieux former vos employés afin de vous protéger contre de futures cyberattaques.
Conclusion
Les entreprises qui n’opèrent pas encore dans le cloud doivent, de manière urgente, accélérer leur stratégie cloud étant donné qu’il s’agit là pour elles de la meilleure — et potentiellement de la seule — manière de restaurer rapidement des données. Elles tireraient ainsi par ailleurs grandement parti des regains d’efficacité que cela implique pour leurs activités et leurs services.
La protection et la restauration de données sont des composantes majeures d’une stratégie moderne de protection des données. Elles évitent que les hackers tentent de prendre une entreprise en otage ou d’effacer leurs données. Elles constituent par ailleurs un filet de sécurité au cas où un employé efface quelque chose par mégarde.