L'élaboration et la mise en œuvre d'un plan de cybersécurité n'ont jamais été aussi importantes qu'aujourd'hui, compte tenu des menaces croissantes mettant en péril les petites entreprises. Des études montrent que les pirates s'en prennent aux petites et moyennes entreprises car ils savent que la plupart d'entre elles, n'ont que très rarement menées des initiatives dans le cadre de leur cyber protection. Malgré les risques, 83% des dirigeants de petites et moyennes entreprises n'ont toujours pas mis en œuvre une stratégie de cybersécurité, selon une étude de Advisor Smith. En cas de piratage, selon un rapport de Security Magazine publié en mai, quelque 60% des PME victimes d'une violation de données ferment définitivement leurs portes dans les six mois suivant une attaque. Peu d'actions concrètes sont mises en œuvre pour prévenir le risque cyber au sein de leur entreprise. Cette absence de passage à l'acte chez les dirigeants s'explique par plusieurs freins :
- Ils n'y connaissent pas grand-chose
- Ils ne savent pas par où commencer
- Et ils ont des aprioris concernant le budget
Disposer d'une solution d'accompagnement à la cybersécurité n'est plus une option, c'est une nécessité. Mais un dirigeant qui souhaite aujourd'hui protéger son entreprise du cyber-risque se retrouve rapidement face à un problème de taille : par où commencer.
Pour rendre le complexe sujet de la cybersécurité plus facile et accessible aux dirigeants d'entreprises, Farid Lahlou, Renaud Granier et Yann Repérant, cofondateurs de BonjourCyber, proposent ici leurs conseils pour prendre le chemin de la cyber-sérénité !
La sauvegarde, un médicament universel
Très souvent, les dirigeants avec lesquels Farid Lahlou collaborent ont déjà été victime d'une cyber-attaque. "La première question que je pose est : avez-vous mis en place un système de sauvegarde et est-elle utilisable ? "
Peu importe le type d'attaque, un backup (sauvegarde) fiable, est dans la majorité des cas, un remède universel, une sorte de médicament qui serait capable de combattre la majorité des pathologies.
Mais attention, la sauvegarde en elle-même est un exercice complexe, qu'il ne faut pas prendre à la légère et quelques points sont à considérer :
- Faites un point sur vos sauvegardes avec la personne en charge de ce sujet
- Demandez-lui le périmètre des données sauvegardées
- Vérifiez le rythme et le type de sauvegarde en ayant en tête la règle « 3-2-1 » : 3 copies de sauvegarde, sur 2 supports différents, dont 1 hors ligne.
- Évaluer le respect des normes de chiffrement et du cadre juridique (RGPD…)
Pour aller plus loin, la mise en place d'un PRA (Plan de reprise d'activité) est conseillée car il permettra en cas d'attaque de remettre en route l'activité beaucoup plus efficacement.
N'ignorez plus vos mises à jour
Par manque de temps mais aussi par manque de considération, les utilisateurs ont trop souvent tendance à négliger les mises à jour que ce soit au niveau de leur système d'exploitation (Windows, MacOs, iOS, Android…) mais également au niveau des logiciels utilisés. La bonne pratique veut que :
- Vous activiez les mises à jour automatiques
- Utilisez des solutions matérielles et logicielles que les éditeurs mettent régulièrement à jour.
Il est indispensable d'effectuer les mises à jour dès qu'elles sont disponibles car les pirates informatiques sont capables d'identifier vos versions actuelles et ainsi d'attaquer les utilisateurs les plus vulnérables.
Ne soyez pas trop généreux… en accès à votre réseau
De nombreuses attaques commencent par l'implication du personnel de l'entreprise que ce soit accidentelle ou intentionnelle.
Les employés des petites et moyennes entreprises peuvent représenter un maillon faible en ayant accès à des logiciels, des fichiers et des données sensibles.
Ces informations doivent être contrôlées et limitées avec une distinction stricte entre quels employés ont accès à quelles données.
Il est inutile de donner des pouvoirs d'administration à un utilisateur qui n'en a pas la nécessité dans le cadre de ses missions par exemple.
Dans l'attribution des pouvoirs dans un réseau informatique, il vaut mieux commencer par le bas, et ouvrir des privilèges plutôt que de faire l'inverse.
Il y a également un sujet qui est souvent négligé par les PME, c'est la gestion de l'outboarding (départ d'un collaborateur). Il est important de bien supprimer les accès des personnes sortantes dès lors que leur départ est acté. Un rapport récent de l'éditeur de logiciels de sécurité Kaspersky indique par exemple que seuls 40% des dirigeants de PME en France sont certains que leurs anciens employés ne peuvent plus accéder aux actifs numériques de leur entreprise.
Les mots de passe, c'est comme les chaussettes …
La cyber hygiène commence par des choses aussi simples que la bonne gestion des mots de passe de son entreprise. Il existe aujourd'hui des gestes simples à utiliser à tous les niveaux de l'entreprise pour se prémunir du risque d'intrusion lié à un piratage de mot de passe.
- Ne jamais écrire ses mots de passe en clair sur un papier ou sur un document digital
- Utiliser des mots de passe différents pour chaque service que vous utilisez
- Activer une authentification multi facteur quand elle est disponible
- Proposer à vos collaborateurs un coffre-fort de mots de passe. Il les aidera à générer des mots de passe robustes et surtout à ne pas avoir à les mémoriser (et donc éviter le fameux post-it sur l'écran)
Et pour aller plus loin : passer à l'évaluation des risques par un professionnel de la cybersécurité :
Vous avez déjà mis en place des initiatives pour la cybersécurité de votre entreprise, bravo !
Il est maintenant temps de passer à l'étape suivante : faire appel à un professionnel pour effectuer un diagnostic du cyber risque auquel votre entreprise est exposée.
Le professionnel effectuera un état des lieux de votre système d'information, des tests, et des analyses qui lui permettront d'en évaluer les points de vulnérabilités.
Suite à cela, il vous remettra un rapport de l'ensemble des faiblesses identifiées ainsi que les préconisations pour y remédier.
Cette étape est essentielle dans le démarrage d'une politique de cybersécurité efficace !
En 2023, sans cyber plan, on perd des clients …
Outre les conséquences financières directes (arrêt de la production, vol de fonds, perte immédiate de chiffre d'affaires, etc.), la survenue d'une attaque informatique est susceptible de fissurer la confiance que portent à une entreprise ses clients et ses partenaires, entachant sa réputation et mettant en péril sa viabilité commerciale à long terme.
Entrer en affaires avec un partenaire commercial, qu'il s'agisse d'un client, d'un prestataire, d'un fournisseur, implique inévitablement de partager avec lui certaines de ses données, et parfois même de lui donner accès à son propre système d'information.
Un nombre croissant de clients hésite à faire confiance à une entreprise incapable de prouver sa maîtrise des questions de cybersécurité. Il devient alors de plus en plus complexe pour une TPE-PME de répondre à certains appels d'offres et de pouvoir s'engager avec des grands comptes sans mesures de cybersécurité.
La meilleure manière pour une entreprise de rassurer ses clients et prestataires sur son hygiène cyber est sans doute de pouvoir justifier de l'ensemble des mesures de cybersécurité qu'elle a prises que ce soit en interne et/ou via un prestataire spécialisé.
Prônez une approche progressive de la Cyber
« Plutôt que d'essayer de mettre en œuvre plusieurs changements stratégiques majeurs en même temps, adoptez une approche progressive dans la gestion de votre cyber risque en fonction de votre budget et des ressources dont vous disposez. Menez ce combat stratégique pas à pas, mais avec rigueur et organisation.
L'objectif est de commencer le processus, de développer une stratégie et de muscler sa protection étape par étape. En 2023, votre Cybersécurité va vous faire gagner des clients ! » conclut Farid Lahlou.