Les erreurs à éviter absolument en matière de sécurité informatique
Points clés
- La sensibilisation des employés, fournisseurs et partenaires est cruciale pour une bonne cybersécurité
- Protéger ses données critiques doit être une priorité absolue pour toute entreprise
- Ne pas mettre à jour régulièrement ses logiciels et systèmes expose à de graves failles de sécurité
- Former et sensibiliser en continu les collaborateurs aux bonnes pratiques est indispensable
- Des sauvegardes fréquentes et testées sont le meilleur rempart en cas de cyberattaque
Introduction
Saviez-vous qu'en 2022, 54% des entreprises françaises ont été victimes d'une cyberattaque ? C'est plus d'une sur deux ! Et ce chiffre ne cesse d'augmenter d'année en année, porté par la transformation numérique qui étend toujours plus la surface d'attaque des entreprises.
Face à ce constat alarmant, renforcer sa cybersécurité est devenu un impératif stratégique et une question de survie pour nos entreprises. Pourtant, force est de constater qu'encore trop d'entre elles commettent des erreurs basiques qui les exposent inutilement aux pirates.
Dirigeants, ne soyez pas les prochains sur la liste ! Dans cet article, nous allons passer en revue les 6 erreurs les plus fréquentes et surtout, vous donner les clés pour les éviter. Prêts à sécuriser votre entreprise ? C'est parti !
Erreur n°1 : Ne pas sensibiliser les employés, fournisseurs et partenaires
On ne le répétera jamais assez : le facteur humain est le maillon faible de la chaîne de sécurité. Vos collaborateurs mais aussi vos prestataires et partenaires sont autant de portes d'entrée potentielles pour les cybercriminels. Un simple clic sur une pièce jointe malveillante et c'est toute votre entreprise qui peut être compromise !
Pour s'en prémunir, la sensibilisation est clé. Quelques actions simples mais répétées permettent d'ancrer les bons réflexes :
- Diffusez régulièrement les bonnes pratiques (mots de passe robustes, vigilance aux mails suspects, signalement des incidents...)
- Formez vos équipes aux risques cyber, en présentiel ou via des modules e-learning ludiques
- Réalisez des exercices pratiques : simulation de phishing, mise en situation, escape game...
- Nommez des référents cybersécurité dans chaque service pour relayer les messages
N'oubliez pas d'inclure aussi vos prestataires et partenaires dans votre démarche. Leurs systèmes sont souvent connectés aux vôtres, leurs failles sont donc les vôtres ! Interrogez-les sur leurs pratiques de sécurité et annexez des clauses cyber à vos contrats. La cybersécurité est l'affaire de tous.
Erreur n°2 : Ne pas protéger les données critiques
Le nerf de la guerre pour les pirates, ce sont vos données. Coordonnées clients, données bancaires, secrets industriels... Toutes ces informations ont une valeur et se monnayent au prix fort sur les marchés cybercriminels.
Pourtant, combien d'entreprises les laissent sans protection, en accès libre sur les postes et serveurs ? C'est comme laisser sa porte d'entrée grande ouverte avec les clés sur la serrure ! Pour éviter le vol, quelques mesures s'imposent :
- Cartographiez vos données sensibles pour savoir où elles se trouvent
- Segmentez votre réseau et cloisonnez l'accès aux données critiques
- Mettez en place une gestion stricte des droits d'accès selon le principe du moindre privilège
- Chiffrez les données sensibles, sur les postes, serveurs et sauvegardes
- Anonymisez les données personnelles dès que possible
Veillez aussi à supprimer les données obsolètes qui n'ont plus d'utilité. Moins il y en a, moins les risques sont grands ! Faites le tri régulièrement dans vos fichiers et bases de données.
Erreur n°3 : Mettre à mal les fonctions critiques de l'entreprise
Trop de responsables de la sécurité informatique se focalisent sur la technologie en oubliant les enjeux business. Résultat : ils déploient des mesures de sécurité tellement contraignantes qu'elles entravent le bon fonctionnement de l'entreprise !
Imaginez que pour renforcer la sécurité, vous interdisiez l'accès à distance au SI. Vos commerciaux ne pourront plus saisir leurs commandes en déplacement, vos comptables ne pourront plus travailler depuis leur domicile... Bref, c'est toute l'activité qui sera paralysée, avec des conséquences désastreuses.
La sécurité ne doit pas se faire au détriment des processus métiers critiques. Votre rôle est de trouver le juste équilibre entre protection et opérationnel. Comment ? En impliquant les opérationnels dans votre démarche :
- Cartographiez les processus critiques de l'entreprise
- Évaluez avec les métiers l'impact potentiel d'un incident de sécurité
- Adaptez le niveau de sécurité en fonction des enjeux business
- Proposez des solutions de contournement en cas de blocage (accès dégradé, mode secours...)
- Testez vos mesures de sécurité en conditions réelles avant déploiement
Bref, ne restez pas dans votre tour d'ivoire mais allez sur le terrain, au contact des équipes. C'est comme cela que vous sécuriserez efficacement votre entreprise sans entraver son activité.
Erreur n°4 : Ne pas mettre à jour régulièrement les logiciels et les systèmes
Avez-vous déjà zappé une mise à jour parce que vous n'aviez pas le temps, que vous aviez peur que ça plante ou que vous vous disiez "à quoi bon, tout fonctionne bien comme ça" ? Grave erreur ! Car ces mises à jour ne servent pas qu'à avoir de nouvelles fonctionnalités, loin de là.
Leur rôle principal est de corriger les failles de sécurité découvertes depuis la version précédente. Failles que s'empressent d'exploiter les cybercriminels ! WannaCry, NotPetya... Les plus grandes cyberattaques ont toutes tiré parti de vulnérabilités connues mais non corrigées.
Alors adoptez les bons réflexes :
- Activez les mises à jour automatiques sur tous vos équipements et logiciels
- Appliquez sans tarder les correctifs de sécurité critiques
- Surveillez la fin de support de vos systèmes et prévoyez leur remplacement à temps
- Sensibilisez vos collaborateurs à faire les mises à jour sans délai
Un système à jour est un système plus sûr. Point final !
Erreur n°5 : Ne pas former les employés en cybersécurité
On l'a vu, vos collaborateurs sont votre première ligne de défense. Encore faut-il leur donner les armes pour combattre ! Car avouons-le, la cybersécurité reste un sujet obscur pour beaucoup. Demander à un comptable de repérer un mail de phishing, c'est comme demander à un développeur de faire une déclaration fiscale. Pas évident !
C'est là qu'intervient la formation. Son objectif : faire de chaque salarié un acteur de la sécurité, capable de déjouer les pièges tendus par les pirates. Au programme :
- Présentation ludique des principaux risques cyber (rançongiciels, hameçonnage...)
- Explication des bonnes pratiques à adopter (mots de passe, navigation web, nomadisme...)
- Mise en pratique via des exercices concrets (spot the phish, escape game...)
- Sensibilisation aux réflexes à avoir en cas d'incident suspect
La formation doit être régulière et s'inscrire dans la durée. Car les menaces évoluent vite et les connaissances s'évaporent ! Un module d'e-learning par trimestre, couplé à une session en présentiel annuelle est un bon rythme. L'essentiel est d'entretenir la culture cyber sur le long terme.
Pensez aussi à former spécifiquement vos populations à risque : compta, RH, R&D... Elles sont les cibles privilégiées des attaquants de par les données critiques qu'elles manipulent. Un effort de sensibilisation supplémentaire s'impose.
Erreur n°6 : Ne pas avoir de sauvegardes régulières
Imaginez : un beau matin, vous allumez votre ordinateur et là, stupeur ! Un message vous informe que tous vos fichiers ont été chiffrés et que vous devez payer une rançon pour en retrouver l'accès. Votre entreprise vient d'être victime d'un rançongiciel, fléau des entreprises qui peut paralyser totalement l'activité pendant des jours voire des semaines.
Votre seul espoir de vous en sortir sans payer ? Avoir des sauvegardes saines que vous pourrez restaurer pour retrouver vos données. Car c'est bien beau d'avoir un antivirus et un pare-feu, mais zéro système n'est infaillible à 100%. Le jour où ils seront contournés, la sauvegarde sera votre bouée de sauvetage.
Alors ne lésinons pas sur ce point crucial :
- Sauvegardez a minima quotidiennement, idéalement en continu
- Appliquez la règle du 3-2-1 : 3 copies sur 2 supports différents dont 1 déportée
- Testez régulièrement vos restaurations pour vous assurer qu'elles fonctionnent
- Déconnectez les supports de sauvegarde une fois réalisées pour éviter qu'ils soient chiffrés aussi
Et le jour où un incident surviendra, vous n'aurez qu'à restaurer vos données et reprendre votre activité comme si de rien n'était. La sauvegarde, c'est un peu votre assurance vie numérique !
Gestion des mots de passe : les bonnes pratiques à adopter en entreprise
La gestion des mots de passe est essentielle en entreprise pour garantir la sécurité des données sensibles. Il est recommandé d'utiliser des mots de passe complexes et uniques pour chaque compte. La sensibilisation des employés aux risques liés aux mots de passe faibles est cruciale. La mise en place de politiques de changement régulier de mots de passe renforce la sécurité. Enfin, l'utilisation de gestionnaires de mots de passe sécurisés peut grandement faciliter la gestion et la protection des identifiants.
Conclusion
Comme vous l'avez compris, la cybersécurité n'est pas qu'une affaire de technologie. C'est avant tout une culture à insuffler à tous les niveaux de l'entreprise, en commençant par vous, dirigeants, qui devez montrer l'exemple !
Sensibilisation, protection des données, mise à jour, formation, sauvegarde... En appliquant ces fondamentaux, vous réduirez considérablement votre surface d'attaque et serez plus résilients en cas d'incident.
Bien sûr, le risque zéro n'existe pas et il faudra vous préparer aussi à gérer la crise quand elle surviendra. Mais c'est un autre sujet que nous aborderons dans un prochain article !
