La sécurité informatique

La sécurité informatique des entreprises est menacée ! Les attaques sont de plus en plus fréquentes et sophistiquées, les hackeurs de plus en plus ingénieux. Espionnage, rançonnage, déni de service, phishing, usurpation d’identité sont les techniques utilisées par les cybercriminels pour attaquer et infiltrer les entreprises.

Comment se défendre ? Comment se protéger ? Et surtout, comment minimiser les risques ? Valoxy, cabinet d’expertise comptable dans les Hauts-de-France, analyse les options à la disposition des entreprises.

Les risques

Les nombreuses menaces et les risques encourus par l’entreprise comprennent :

  • la paralysie des systèmes informatiques, le cryptage des données, ou même un virus, qui détruit les données et empêche l’entreprise de travailler. Plus de devis, de planning d’organisation, d’émission de factures, etc.
  • le vol de données
    • personnelles (nom des salariés, numéros de comptes bancaires, adresses, etc.)
    • de l’entreprise (secrets de fabrication, brevets industriels, calculs, mais aussi comptabilité, banques, finances, etc.)
  • la menace de diffusion publique de données (informations sur les salariés, les clients, des dossiers et des fabrications en cours,..). Ici, le risque pour l’entreprise découle du règlement européen pour la protection des données (le RGPD), qui oblige les entreprises à protéger les données personnelles. L’entreprise peut avoir à payer des amendes importantes à la CNIL, et des réparations de préjudice très coûteuses pour ces divulgations.
  • l’espionnage des courriels de l’entreprise,

Retrouvez tous ces risques dans notre article Escroqueries en tout genre.

Les moyens de se protéger

La question n’est pas de savoir si l’on sera piraté, mais quand !” disent les spécialistes. Il faut donc définir ce que l’entreprise doit mettre en place pour limiter les dégâts. Pour que l’attaque ait le moins d’impact possible. Pour que les données soient à nouveau disponibles le plus vite possible…

Il n’y a pas de protection efficace à 100%. Et il y a belle lurette que les simples “antivirus” ne sont plus suffisants ! Mais il existe des pratiques et des règles simples pour limiter fortement les dégâts que peut occasionner la cybercriminalité. Et d’abord, savoir que la plupart des failles sont des erreurs humaines.

Ainsi, une attention plus grande à l’ouverture des spams et des mails suspects, une plus grande rigueur dans les procédures de sauvegarde, et le choix d’un hébergement fiable, adapté aux contenus de l’entreprise, éviteront bien des surprises.

Il faut commencer par faire un diagnostic des faiblesses de l’entreprise, installer des logiciels de sécurité, effectuer des sauvegardes régulières et adaptées, s’assurer auprès d’une “cyber-assurance”, et surtout, former les salariés à la sécurité et aux bonnes pratiques.

 

Un système de sauvegarde approprié, et sécurisé

Vos données restent vulnérables. En cas de cyber attaque, d’erreur humaine ou d’incendie, toutes les données doivent pouvoir être restaurées. Pour cela, il est nécessaire de garantir une bonne protection de vos données par l’élaboration d’une stratégie de sauvegarde solide. Voici nos astuces pour une meilleure organisation de vos sauvegardes :

1. Identification des données les plus importantes

Toutes les données de l’entreprise sont importantes. Cependant certaines n’ont pas la même valeur que d’autres. C’est pourquoi il est indispensable de sauvegarder en priorité les informations permettant le fonctionnement de l’entreprise. Par exemple, la sauvegarde du logiciel de production comptable (factures) ou CRM (informations client).

2. Définition de la fréquence des sauvegardes

Une autre étape importante de la gestion des sauvegardes est de définir la fréquence à laquelle les données seront sauvegardées. La sauvegarde complète devrait être programmée de façon hebdomadaire avec un logiciel, et être complétée avec une autre méthode dans la semaine. De plus, il faudra planifier les sauvegardes selon les pics d’activité (soldes, clôture de la période comptable…), ou à chaque mise à jour du système.

3. Définition de la méthode de sauvegarde

La sauvegarde totale est à programmer de façon hebdomadaire. Elle doit se faire lorsque l’entreprise n’est pas en activité, car elle risque de générer des lenteurs sur le réseau.

La sauvegarde incrémentielle permet de sauvegarder le sous-ensemble d’un dossier qui a fait l’objet d’une modification depuis la dernière sauvegarde complète. Par la suite, l’ensemble des objets sont marqués comme sauvegardés afin d’établir une différence entre les données déjà sauvegardées et celles non sauvegardées. Une technique plus rapide et moins fastidieuse.

Exemple : une sauvegarde complète est programmée le vendredi soir et les sauvegardes incrémentielles les autres jours. Dans ce cas-là, la sauvegarde du samedi sera basée sur celle de vendredi, celle de dimanche sur celle de samedi, et ainsi de suite.

La sauvegarde différentielle :  avec cette méthode, seuls les fichiers modifiés depuis la dernière sauvegarde complète sont sauvegardés. Elle prend plus de temps que la sauvegarde incrémentielle et exige plus d’espace de stockage.

Exemple : une sauvegarde complète est programmée vendredi soir et les sauvegardes différentielles les autres jours. Dans ce cas-là, la sauvegarde de samedi sera basée sur celle de vendredi, celle de dimanche également sur celle de vendredi, etc.

 

Des lieux de stockage sûrs et diversifiés

L’externalisation des sauvegardes permet d’exporter les données et de les isoler ainsi du reste de réseau informatique de l’entreprise. Elle permet donc de limiter les risques de perte ou de vol des données.

L’externalisation des sauvegardes est donc une excellente approche. Cela protège les données informatiques de manière optimale contre les nombreuses cyber menaces auxquelles s’expose tout appareil connecté, telles que les ransomwares, etc.

 

Des mots de passe renouvelés régulièrement

La simplicité du mot de passe fait partie des principaux risques identifiés au cours de son cycle de vie. Sa complexité et sa longueur permettent de diminuer le risque de réussite d’une attaque informatique qui consisterait à tester successivement de nombreux mots de passe (attaque dite en force brute).

Les exigences d’une gestion sécurisée des mots de passe :

  1. L’authentification par mot de passe : longueur, complexité, mesures complémentaires

Pour sécuriser une authentification basée exclusivement sur un mot de passe, il faut au minimum un mot de passe complexe. (d’au moins 12 caractères, composé de majuscules, de minuscules, de chiffres et de caractères spéciaux).

Des mesures complémentaires à la saisie d’un mot de passe (authentification à plusieurs facteurs (MFA) permettent de réduire la longueur et la complexité du mot de passe, car elles assurent un niveau de sécurité équivalent au mot de passe seul.

Ci dessous les 4 cas d’authentification par mot de passe identifiés par la CNIL dans sa recommandation (Lien).

  1. La conservation des mots de passe

Le mot de passe ne doit jamais être enregistré sur un fichier (Excel ou autre) en clair.

L’utilisation d’un gestionnaire de mots de passe permet de constituer une base de données de mots de passe chiffrée par un unique mot de passe « maître » dont la sécurité a pu être vérifiée. Cela permet de ne retenir qu’un seul mot de passe qui ouvre l’accès à tous les autres. Les mots de passe pourront alors être très longs, très complexes et tous différents car c’est l’ordinateur qui les retient.

Keepass est un gestionnaire de mots de passe dont la sécurité a été évaluée par l’Agence nationale de sécurité des systèmes d’information (ANSSI).

  1. Le renouvellement des mots de passe

Le renouvellement d’un mot de passe est obligatoire selon une périodicité pertinente et raisonnable. Celle-ci dépend notamment de la complexité imposée du mot de passe, des données traitées et des risques qui les menacent.

Assistance et prévention en sécurité numérique

L’État a développé le label ExpertCyber avec les principaux syndicats professionnels du numérique. Ce label, délivré après un audit de l’AFNOR, atteste de l’expertise des prestataires. Voir le site gouvernemental cybermalveillance.gouv.fr.

L’ANSSI, l’Agence nationale de la sécurité des systèmes d’information, labellise quant à elle les logiciels et les applications informatiques.

Sassurer

Les compagnies d’assurance, si elles continuent d’assurer le cyber-risque, réduisent cependant leurs garanties, car le ratio cotisations/indemnisations explose. Elles majorent les franchises, augmentent les primes. Mais, en contrepartie, elles disposent souvent d’équipes de spécialistes à même d’intervenir rapidement

  • pour circonscrire les dégâts,
  • et pour rétablir les systèmes dans les PME, car celles-ci ne disposent pas toujours du savoir-faire en interne.

 

Les PME sont une cible de choix

Moins sensibilisées au cyber-risque, les PME sont souvent mal ou peu protégées. Or, elles représentent une porte d’entrée idéale vers les grands groupes, dont elles sont sous-traitantes, dont elles possèdent emails et documents techniques. Un simple e.mail infecté reçu d’un partenaire de confiance, et le système d’information du grand groupe client est compromis !

 

Cet article vous a intéressé ? Retrouvez nos autres articles sur le blog de Valoxy :

0 Commentaires
Commentaires en ligne
Afficher tous les commentaires