On pense généralement que les attaques informatiques qui ciblent les grandes entreprises sont très complexes et d’une grande sophistication.
En réalité, la plus grande menace de cybersécurité pour ces entreprises vient de leurs propres employés.
Les chiffres parlent d’eux-mêmes : les 4 des 5 causes principales de violation de données sont dues à une erreur humaine ou à une erreur de process.
Aujourd’hui, à l’ère où les cyberattaques sont de plus en plus sophistiquées, il est plus que nécessaire pour chaque entreprise d’éduquer et de former ses salariés.
Voici quelques conseils à l’intention des entreprises pour sécuriser son réseau informatique et sensibiliser les employés.
1- Mettre à jour les politiques et procédures de cybersécurité et éduquer les employés
La toute première chose à faire pour protéger les données d’une entreprise est de rédiger une charte informatique facile à comprendre et à appliquer par tous les employés, contenant la politique et les procédures informatiques à suivre en matière de cybersécurité.
Cette charte informatique doit impérativement être mise à jour régulièrement, et expliquée aux employés avec des exemples concrets, car pour certains, les politiques et procédures peuvent s’avérer complexes ou déroutantes.
Ce qui nous amène à la nécessité pour les entreprises de s’assurer que tous les employés ont compris la politique de sécurité. Pour cela, des formations régulières sur la cybersécurité doivent être organisées : montrez aux employés comment l’entreprise est protégée. Cela garantira le développement d’une culture de la cybersécurité à tous les niveaux de l’entreprise.
2- Contrôler les accès internet de l’entreprise
Chaque point d’accès internet de l’entreprise est un passage potentiellement dangereux qu’un pirate pourra emprunter pour accéder au système informatique. Même s’il est difficile aujourd’hui d’interdire aux salariés de surfer sur le web, il est important de le surveiller, de limiter certains accès avec un pare-feu et de privilégier un réseau privé virtuel (VPN) avec une sortie internet sécurisée unique en cœur de réseau. D’un point de vue juridique, l’employeur a le devoir de filtrer les sites liés au piratage d’applications, aux échanges de liens illicites de téléchargement et les sites pornographiques.
3- Contrôler les accès wi-fi
Chaque borne doit être sécurisées et étroitement surveillées
4- Faire des sauvegardes sur des serveurs extérieurs à l’entreprise
En cas de défaillance du système informatique, il faut que l’entreprise puisse restaurer ses données pour préserver son activité. C’est la protection la plus efficace contre les attaques de type « ransomware » : l’entreprise pourra continuer son activité en récupérant ses données stockées à l’extérieur de l’entreprise.
5- Attention aux applications Cloud personnelles
De plus en plus fréquemment, les employés ont tendance à avoir recours à leur cloud personnel pour héberger leurs données professionnelles. Cela pose un vrai problème de sécurité car les entreprises n’ont aucun moyen de contrôle ni aucun moyen de savoir ce que son salarié y dépose, et s’il ne place pas ces informations en accès public. L’entreprise n’a aucune garantie sur le respect de la confidentialité de ses données. Les collaborateurs doivent impérativement sensibilisés sur les risques encourus par l’entreprise.
6- Etre prêt à faire face à une attaque informatique.
Ne vous demandez pas si vous allez être attaqué, mais plutôt quand ! De grands réseaux de botnets parcourent internet nuits et jours pour infester des serveurs mal sécurisés à l’insu de leurs propriétaires. Pour les repousser, une seule solution : installer des dispositifs anti-intrusion sur tous les accès internet et les tenir à jour !
7- Maintenir à jour le parc informatique et l’homogénéiser
Il n’est pas possible de sécuriser un parc informatique si chaque PC a un OS différent ou des logiciels de sécurité différents. Après avoir réalisé un inventaire, il est primordial d’uniformiser les OS, les paramètres de sécurité et leurs logiciels de protection. Pare-feu local et anti-virus pour entreprise sont indispensables sur tous les postes. Externaliser vos serveurs et leur gestion vous permet de confier ces postes à des gens dont c’est le métier sans investir dans une embauche de différents profils techniques pour garantir la sécurité et la disponibilité de votre système informatique.
8- Responsabiliser et former le personnel de l’entreprise
L’élément humain reste le maillon faible de la sécurité informatique d’une entreprise. Les pirates le savent et en abusent : « arnaque au président », « fishing », mots de passe simplistes utilisés sur tous les comptes… les attaques sont nombreuses, inventives et souvent véhiculées par les collaborateurs eux-mêmes !
A- Souligner l’importance de la gestion des mots de passe
Saviez-vous que 31% des décideurs informatiques exigent des employés qu’ils changent leurs mots de passe chaque mois, ou bien que 25% des employés utilisent le même mot de passe pour chaque système d’entreprise auquel ils ont accès ?
À l’évidence, la gestion des mots de passe est un défi majeur pour les entreprises en matière de cybersécurité. Les entreprises doivent implémenter des outils de gestion de mot de passe plus avancés – authentification multifactorielle ou même authentification PKI – mais également récompenser les employés qui suivent les procédures de mot de passe décrites dans leurs stratégies de cybersécurité.
Dans le même temps, les employés doivent également assumer leurs responsabilités dans le processus – et cela commence par les membres dirigeants de l’entreprise et les cadres supérieurs en expliquant l’importance de cette démarche au reste des employés. Fournir des exemples concrets tels que le vol d’identité et le vol de données, par exemple, peut aider à convaincre les employés.
B- Aidez ses employés à reconnaitre le phishing
Aujourd’hui, les cybercriminels s’attaquent aux individus et ciblent les terminaux (tels que les téléphones portables et les ordinateurs portables) pour obtenir un accès au réseau plus large d’une entreprise.
Il faut impérativement éduquer les employés à reconnaître une attaque par hameçonnage, surtout s’ils disposent d’un ordinateur portable ou d’un téléphone d’entreprise comme par exemple :
- Savoir détecter une adresse électronique frauduleuse. Les entreprises doivent mettre en place un processus permettant de mettre en évidence les expéditeurs inconnus et de bloquer les courriers électroniques frauduleux connus. Si les employés découvrent une adresse électronique non autorisée, ils doivent la signaler à leur service informatique avant de continuer.
- Les salutations trop impersonnelles dans l’e-mail, comme « monsieur », « madame », « cher client », « employé »
- Une grammaire et un style approximatifs : De nombreuses attaques de phishing proviennent d’autres pays. Ces courriels sont donc souvent écrits par des non-francophones. Si un courrier électronique provient d’une marque ou d’une entreprise réputée, mais comporte des fautes d’orthographe et de grammaire, c’est probablement une arnaque.
- Survoler le lien de destination avant de cliquer dessus.
- Se méfier des call to action des e-mails exigeant une action ou une réponse immédiate
- Ne pas faire confiance aux images et aux logos. Ils peuvent facilement être téléchargés et répliqués.
Une formation régulière à la cybersécurité et la révision des politiques et procédures aideront à créer une culture de la cybersécurité au sein de l’entreprise. Au fur et à mesure que les employés en prennent conscience, ils suivront le processus dans tout ce qu’ils font – et enseigneront la même chose aux nouveaux employés. Ce n’est souvent qu’une question d’habitude, de réflexe à prendre !