Entrepreneurs, 5 bonnes pratiques de cybersécurité en entreprise
Selon le Baromètre 2023 du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique), la part des entreprises françaises ayant été victime de cybercriminalité au cours de l’année 2022 a baissé à 45 % contre 54% en 2021. Un indicateur encore important même s'il diminue année après année.
Si en tant qu’entrepreneur vous êtes autant soumis aux risques de cyberattaques que les multinationales, vous ne bénéficiez cependant pas des mêmes moyens pour vous protéger. Pour rappel, 69 % des entreprises victimes de cybercriminalité sont des TPE et PME. Malgré ce chiffre élevé, moins d'une entreprise sur deux investit dans la sécurité informatique. Pour vous aider à mieux cerner les enjeux de la cybersécurité, nous allons revenir sur les risques qui pèsent sur les entreprises, puis nous vous donnerons 5 bonnes pratiques à appliquer quelle que soit la taille de la votre, préconisées par notre partenaire, GM Consultant.
Quels sont les risques qui pèsent sur les entreprises en matière de sécurité informatique ?
Les facteurs de risques informatiques qui pèsent sur l'entreprise sont nombreux. Contrairement à ce que l'on pense, les équipements technologiques ne sont pas les seuls à pouvoir vous faire défaut, l'erreur humaine peut également conduire à de graves conséquences. Petit tour d'horizon des risques les plus importants qui peuvent toucher votre système d'information :
- Les facteurs humains
D'abord, des erreurs telles que des oublis de sauvegarde ou un mauvais envoi de fichiers peuvent rendre votre système vulnérable. Les cybercriminels utilisent généralement l'ingénierie sociale pour tromper les employés. Ils se font passer pour des collègues ou un responsable de l'entreprise afin d'obtenir des informations de connexion et ainsi accéder au système. Cela passe notamment par les mails de phishing. Mais la menace peut venir de votre propre personnel : un employé mal intentionné peut voler et/ou divulguer des informations sensibles.
- Les facteurs techniques
Les principaux risques techniques découlent des vulnérabilités logicielles. Si vous n'avez pas installé les derniers correctifs de sécurité de vos logiciels, l'entreprise devient une véritable aubaine pour les cybercriminels. Une fois affecté par des virus ou des ransomwares, c'est l'intégralité de votre système informatique qui est en danger. Les différents fournisseurs, que ce soit Microsoft, iOS ou Linux, vous facilitent la tâche en améliorant chaque jour la sécurité de leurs plateformes. Alors ne courrez aucun risque, installez les correctifs, cela ne prend que quelques minutes.
Quels sont les trois principes fondamentaux en matière de cybersécurité ?
Les trois principes fondamentaux en matière de cybersécurité sont souvent désignés sous le terme de "CIA Triad".
La CIA Triad est un modèle fondamental de la cybersécurité qui représente trois principes essentiels pour la protection des informations et des systèmes informatiques. Ces trois principes sont : Confidentiality (Confidentialité), Integrity (Intégrité) et Availability (Disponibilité), d'où l'acronyme "CIA".
- Confidentialité : la confidentialité vise à garantir que les informations sensibles et les données privées ne sont accessibles qu'aux personnes autorisées. Cela signifie que seules les personnes ayant les droits nécessaires peuvent accéder, visualiser et utiliser certaines données. Les mécanismes de contrôle d'accès, le chiffrement des données et la gestion appropriée des identifiants et des mots de passe sont des éléments clés pour garantir la confidentialité.
- Intégrité : l'intégrité garantit que les données ne sont ni altérées ni modifiées de manière non autorisée. Vous devez vous assurer que vos données restent intactes tout au long de leur cycle de vie, depuis leur création jusqu'à leur stockage et leur transmission. La détection des altérations potentielles, l'utilisation de méthodes de hachage pour vérifier l'intégrité des fichiers et la mise en œuvre de contrôles stricts sur les modifications de données sont des pratiques courantes que vous pouvez mettre en place pour garantir l'intégrité de vos données.
- Disponibilité : la disponibilité signifie que les ressources informatiques, les systèmes et les données sont accessibles aux utilisateurs autorisés chaque fois qu'ils en ont besoin. Cela implique de s'assurer que vos systèmes fonctionnent correctement et qu'ils sont résilients face aux pannes ou aux attaques qui pourraient entraîner une interruption du service. Pour garantir cette disponibilité, vous pouvez mettre en place des mesures de prévention des interruptions, des sauvegardes régulières et des plans de continuité des activités.
En appliquant ces trois principes de manière appropriée dans votre entreprise, vous pouvez améliorer votre cybersécurité et protéger efficacement vos actifs numériques contre les menaces et les attaques. Ces principes sont la base de la conception de systèmes et de politiques de sécurité informatique efficaces.
Les bonnes pratiques de cybersécurité à appliquer en entreprise
Nous avons interrogé les experts en conseil de GM Consultant pour vous donner 5 bonnes pratiques à appliquer dans votre entreprise en matière de cybersécurité.
Guidez vos employés dans les bonnes pratiques informatiques grâce à l'ANSSI
Selon le rapport de la NDNM en matière de cybersécurité, 85 % des sinistres cyber sont dus à une erreur humaine. Il est donc capital de former vos employés en matière de gestion du risque cyber. Pour vous aider dans cette démarche, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) a créé un guide des bonnes pratiques contenant plusieurs règles essentielles pour sécuriser vos équipements numériques.
Quelles sont les 10 mesures essentielles pour assurer votre cybersécurité ?
- Choisir avec soin vos mots de passe. Dans l’idéal, ils doivent être composés de 12 caractères de type différent, n'avoir aucun lien avec vous et ne pas contenir de mots du dictionnaire
- Contrôler les accès aux données de façon adaptée
- Effectuer des sauvegardes régulièrement
- Sécuriser l’accès Wi-Fi de votre entreprise et éviter les réseaux publics
- Appliquer les règles de sécurité informatique sur tablette et smartphone également
- Installer un programme antivirus sur l'ensemble des appareils
- Être vigilant avec l’utilisation de sa messagerie, notamment concernant les pièces jointes
- Télécharger les programmes depuis les sites officiels des éditeurs et effectuer les installations d'application sur l'Appstore d'Apple et le Google Playstore
- Procéder à des vérifications sur le site internet avant d’effectuer des achats en ligne
- Séparer usage personnel et professionnel sur les appareils.
Au besoin, vous pouvez également faire appel à un expert en informatique afin de vous aider à mettre de meilleures pratiques en place dans l'entreprise et montrer à vos collaborateurs comment les faire durer dans le temps.
Faites un état des lieux de votre exposition aux cyber-risques
Lorsqu’il attaque, le pirate informatique cherche à compromettre le système d'information via des ressources exposées sur Internet. Réaliser un état des lieux de votre système permet d'identifier précisément l'ensemble de ces ressources et de vérifier que celles-ci sont correctement sécurisées.
Concrètement, l’objectif de l'état des lieux est de répondre aux questions suivantes.
- Connaître son exposition : quelles ressources connues et inconnues concernant mon entreprise circulent sur Internet ?
- Identifier ses faiblesses : mes ressources représentent-elles un risque pour mon entreprise ? Suffisent-elles à ce qu’on m’attaque ou à être exploitées à une fin malveillante ?
Le but est donc d'évaluer les risques pour votre entreprise. Premièrement, il est important d'évaluer la sécurité de vos systèmes. Disposez-vous des pare-feu et des logiciels antivirus nécessaires à la protection de vos systèmes ? Vos politiques de sécurité (mots de passe, accès aux données) sont-elles suffisantes ?
Une fois les problèmes identifiés, établissez un plan d'action. Il doit inclure des mesures de prévention, de détection et de réponse pour minimiser les risques et assurer la reprise de votre activité au plus vite. Un plan de reprise d'activités est un premier pas dans la construction de la résilience de votre entreprise. Pour en savoir plus sur la résilience, notamment informatique, de l'entreprise, consultez notre article dédié.
Sécurisez vos accès à distance
Avec le développement récent du télétravail, le nombre d'appareils utilisés par un seul employé s'est multiplié et cela engendre de nombreux défis en matière de gestion et de sécurité. S’il n’est pas question d’empêcher vos employés de se connecter à distance, il convient de sécuriser les accès. En effet, le piratage d'un accès à un appareil de l'entreprise est un mode opératoire souvent utilisé par les cybercriminels.
Pour contrer cette méthode, il existe plusieurs solutions :
- L'authentification forte : L'authentification à deux facteurs ou multi-facteurs oblige la personne qui souhaite se connecter à renseigner d'autres informations que son seul mot de passe. Il lui sera par exemple demandé de confirmer un code envoyé par SMS ou par mail.
- Le VPN : Le réseau privé virtuel (VPN) permet de créer un tunnel crypté entre l'appareil distant et le réseau de l'entreprise. Cela protège les données en transit des cyber-attaques. L'utilisation du VPN vient évidemment en complément d'un antivirus. Tous vos appareils doivent en être équipés, surtout ceux utilisés en dehors des locaux.
-
Les outils de gestion d'accès à distance : Ces outils vous permettent de superviser les systèmes et les réseaux en générant des alertes en cas de tentative de connexion sur un compte ou service inactif. Vous pourrez également contrôler les accès à distance et limiter les autorisations en fonction de l'utilisateur.
Sauvegardez les données sur un support déconnecté d’internet
Sauvegarder vos données régulièrement est la garantie de ne pas les perdre en cas de cyber-attaque. Cependant il ne suffit pas seulement de les conserver sur son ordinateur. Il est également conseillé de conserver une sauvegarde sur un support déconnecté d'Internet, tel qu'un disque dur externe par exemple. Ainsi, si l'ensemble de votre réseau est mis à mal par un logiciel malveillant, cette sauvegarde perdurera et vous ne perdrez rien.
Il est vrai que la mise à jour constante de plusieurs sauvegardes est chronophage, mais il ne faut pas minimiser l'impact d'une perte de données. Ce type d'incident peut mener à un arrêt temporaire de votre activité et donc à un véritable manque à gagner.
Souscrire à une assurance cyber
Au-delà de ces mesures techniques de prévention et de gestion des cyber-attaques, les dirigeants d’entreprise disposent aujourd’hui d’un outil complémentaire de gestion du risque : l’assurance. Elle permet de préfinancer le plan de réponse à incident, pour un coût moyen de 3 % à 5 % du budget de sécurité IT d’une entreprise.
Au-delà des dommages causés à l'entreprise, la perte et le vol de données peuvent être synonymes de préjudice pour les clients de l'entreprise. Ces derniers peuvent alors lui demander réparation, voire l'assigner en justice. Ainsi, il est primordial de souscrire à une garantie risques cyber pour protéger votre entreprise.
Que fait Hiscox ?
Hiscox ajoute à son offre de Responsabilité Civile Professionnelle une option cyber-sécurité, la garantie CyberClear. En cas de cyber-attaque, elle couvre notamment les dommages subis par votre entreprise, ceux causés aux tiers, ainsi que les frais liés à la cyber-extorsion et aux enquêtes qui s'ensuivent. Avec Cyberclear, vous avez également la possibilité de mesurer votre exposition aux risques grâce à l'outil développé par notre partenaire GM Consultant. Ne laissez pas un incident de cybersécurité provoquer la faillite de votre entreprise, souscrivez en ligne dès maintenant.