Small nick 01

Jérôme BENBIHI

9 actions pour protéger votre entreprise

 actionspourpotegervotreentreprise

Chaque jour, des centaines d’entreprises françaises subissent des pertes financières causées par des problèmes informatiques (intrusion de virus, de malwares, erreur de manipulation, des mails frauduleux…). Les comportements à adopter pour se prémunir des attaques sont donc décisifs.

Découvrez ici quelques actions à mettre en place pour protéger votre entreprise.

1. La mise à jour régulière des systèmes (au niveau des postes, des serveurs et des applications) est essentielle car la plupart des infections arrivent en exploitant des vulnérabilités connues, qui peuvent être corrigées par les dernières mises à jour de sécurité.

2. Déployez un système de monitoring du réseau afin de détecter les attaques, ainsi que des tentatives d’exfiltration des données. Assurez-vous que les différentes règles et législations en matière de protection de données des clients sont respectées. Il est conseillé de chiffrer les données sensibles. La société peut aussi faire appel à un Security Operation Center externe. Il s’agit d’un dispositif de supervision et d’administration de la sécurité permettant de détecter, d’analyser les menaces internes et externes et de répondre aux intrusions dans le SI.

3. Adoptez une politique de mots de passe rigoureuse. Le mot de passe doit être individuel et difficile à deviner. N’utilisez pas d’informations personnelles ni de mots courants (nom commun, prénom, nom de famille, lieu), parce qu’il pourra être trouvé lors d’une attaque par dictionnaire. Un bon mot de passe doit comporter 10 caractères incluant chiffres, lettres minuscules et majuscules et caractères spéciaux, et doit être renouvelé fréquemment (par exemple tous les 3 mois). Cette complexité empêchera les attaques par force brute, dans lesquelles le pirate énumère toutes les combinaisons de mots de passe possibles. Utilisez un mot de passe différent pour chaque compte, parce que la réutilisation des mots de passe comporte des risques. En effet, si une personne malveillante découvre le mot de passe de l'un de vos comptes, elle pourrait accéder à vos informations personnelles ou à d'autres services de type shopping ou banque en ligne.

4. Ne répondez pas aux e-mails suspects. Ne cliquez surtout pas sur les liens et n’ouvrez jamais les fichiers attachés. Les experts en cyber sécurité rappellent que lors de connexions sur un site en HTTPS (protocole de transfert hypertexte sécurisé), la réception de messages d’erreur relatifs au certificat du site peut indiquer qu’un attaquant est en train d’intercepter la communication.

5. Sécurisez l’accès physique aux locaux tels que les salles hébergeant les serveurs informatiques et les éléments du réseau, il est préférable de limiter l’accès aux personnels habilités. Les portes doivent être fermées à clé, pensez au digicode, au contrôle d’accès par badge nominatifs, etc. La DSI ou le responsable informatique doit veiller à ce que les documentations techniques, plans d’adressages réseau, contrats, etc. soient eux aussi protégés. Il faut aussi s’assurer que le réseau Wi Fi soit protégé avec un protocole de type WPA.

6. Les entreprises qui développent des applications ou déploient des infrastructures doivent définir une politique de backup et effectuer régulièrement des tests pour s’assurer qu’elle fonctionne et qu’il est possible de récupérer les données critiques.

7. Définissez un processus de réponse à un incident de sécurité informatique et nommer des personnes responsables qui vont l’effectuer.

8. Établir une politique de gestion de risques de sécurité informatique en suivant des frameworks connus (ISO 27001, Octave, etc.). Les objectifs sont les suivants : améliorer la sécurisation des SI, justifier le budget alloué à la sécurisation du SI ; prouver la crédibilité du SI en termes de sécurité à l'aide des analyses effectuées. Cette méthode de gestion des risques est un outil d'analyse qui permet l’identification des risques de sécurité qui peuvent menacer l'entreprise, afin d’y remédier et proposer des solutions à ces risques.

9. Sensibilisez le personnel face aux risques informatiques. Vous pouvez organiser des formations, diffuser de notes de service, ou envoyer des fiches pratiques. Par ailleurs, il peut être utile de vérifier régulièrement si le personnel reste attentif en simulant une attaque. Par exemple en envoyant des emails avec des liens malveillants pour constater combien de personnes tombent dans le piège.

Laissez un commentaire