Différentes mesures techniques et organisationnelles sont nécessaires pour se protéger de cyberattaques. Certaines peuvent être exécutées par les dirigeants de PME eux-mêmes, d’autres sont à discuter avec les responsables informatiques internes ou externes.

Découvrez dans cet article un résumé des mesures de protection à adopter.

cyberattaques et PME

Mesures organisationnelles contre les cyberattaques

Réglez les responsabilités

Nommez dans votre entreprise un ou une responsable des différentes tâches concernant la sécurité des systèmes informatiques. Clarifiez également les rôles et les responsabilités relatifs à l’organisation des cas d’urgence ou de crise ainsi que leurs compétences respectives. Vous devez au préalable identifier les interfaces avec vos partenaires afin de vous concerter au niveau des processus.

Définissez avec votre responsable informatique les incidents sécuritaires, dont vous voulez absolument être informé(e). C’est le cas des incidents touchant votre propre infrastructure ou celle de votre prestataire informatique.

Faites l’inventaire de votre environnement informatique

Établissez une liste détaillée de votre infrastructure informatique. Vous savez ce que vous devez protéger et surveiller, seulement si vous connaissez votre infrastructure informatique, vos services, ordinateurs, utilisateurs et utilisatrices, etc.

Prenez des précautions contre les cyberattaques

Une bonne stratégie contre les cyberattaques commence avant tout incident : des processus bien rodés et des voies de recours à la hiérarchie sont indispensables pour garder le contrôle.

Définissez quels fichiers journaux (PV des événements informatiques) sont enregistrés et combien de temps. Le mieux serait de les centraliser. Des fichiers journaux détaillés aident à saisir l’origine de l’attaque, à obtenir des informations sur les systèmes infectés dans votre propre réseau et à prendre des mesures correctives. Vu leur importance, les aspects relatifs à la protection des données des fichiers journaux ne doivent en aucun cas être négligés. Clarifiez les questions concernant les fichiers journaux et la détection d’attaques avec votre responsable informatique.

Stratégie en amont des situations d’urgence

  • Dispositif communicationnel et plan de crise adaptés à la grandeur de la PME et concertés avec le prestataire.
  • Liste de contacts (services internes et externes, prestataires).
  • Réflexions :
    • relatives à la perte totale du paysage informatique (remplacement, reprise des activités, perte de données, etc.),
    • relatives aux moyens de communication utilisés si les systèmes informatiques ne sont plus disponibles.
  • Scénarios d’urgence informatique, exercices et examen de la vulnérabilité de l’infrastructure.

A ce sujet, découvrez en plus sur le Plan de Reprise d’Activité.

Réglez le traitement des informations et des données sensibles

Dressez un inventaire de vos données et informations et définissez-en les éléments sensibles. Concevez un plan de protection pour ces éléments.

Réfléchissez bien aux informations que vous publiez sur votre site internet ou sur les réseaux sociaux, car elles sont récoltées par les pirates. La personne responsable des affaires financières ayant accès à l’e-banking ne devrait pas être mentionnée sur votre site internet. Par principe, aucune information ou donnée confidentielle ne devrait être transmise via des canaux impersonnels, tels que téléphone ou courriel. Les informations confidentielles destinées à un service externe devraient être systématiquement cryptées ou envoyées par courrier.

Montrez-vous prudent(e) dans l’utilisation des services de cloud employés par de nombreux programmes. Demandez-vous quelles données doivent être enregistrées localement et lesquelles dans le cloud. Les données sensibles ne devraient jamais être confiées à un cloud sans être cryptées.

Avant toute utilisation d’un service de cloud, lisez les conditions générales (CG) du prestataire et veillez aux dispositions légales en matière de protection des données, car celles-ci ne peuvent pas être transmises, par exemple à des fins commerciales.

Utiliser des mots de passe sûrs

Définissez des règles contraignantes pour les mots de passe, appliquez-les systématiquement et demandez à votre personnel d’en faire autant. Un mot de passe devrait compter douze signes au minimum et comporter majuscules, minuscules, chiffres et caractères spéciaux.

Dans l’idéal, il est généré arbitrairement et ne se rapporte pas à des informations personnelles, comme le nom ou la date de naissance.

Ne communiquez jamais mots de passe, données d’accès ou informations bancaires par téléphone, courriel ou formulaire internet que vous pouvez ouvrir grâce à un lien.

Évitez absolument d’utiliser le même mot de passe à plusieurs endroits. Une authentification à deux facteurs procure une protection supplémentaire. Évitez absolument d’utiliser le même mot de passe à plusieurs endroits ! S’il est difficile de se rappeler de plusieurs mots de passe, il vaut la peine de recourir à un gestionnaire de mots de passe.

En suivant ces règles, vous n’êtes pas obligé(e) de changer périodiquement de mots de passe. Cependant, il faut les changer dès que des tiers pourraient en avoir eu connaissance ou qu’un membre du personnel quitte la PME.

Sensibiliser le personnel

La protection contre les cyberattaques relève du ressort des dirigeants de PME. En fait partie la sensibilisation du personnel. Les secrétaires des PME endossent beaucoup de responsabilités au sein de l’entreprise et doivent prendre de plus en plus de décisions de nature informatique. Il est recommandé de former les secrétaires des PME spécialement dans ce domaine et d’investir dans des programmes de sensibilisation à la sécurité destinés au personnel.

Prudence avec les courriels

Les logiciels malveillants atterrissent sur votre ordinateur souvent à travers des pièces jointes, camouflées en pseudo-factures ou en dossiers de candidature. Bloquez la réception de pièces jointes dangereuses.

Assurez-vous qu’aucune macro d’origine incertaine ne puisse s’exécuter dans les documents Office. Parlez-en avec votre responsable informatique. Définissez par quels moyens de communication votre personnel peut annoncer des événements douteux (courriel, ordinateur, appel téléphonique, etc.) et activez, si possible, une fonction pour annoncer des courriels douteux.

Faites preuve de vigilance lorsque vous communiquez avec les clients. N’envoyez des courriels qu’en texte brut et montrez-vous économe en pièces jointes. Évitez les documents Office dotés de macros, préférez les documents PDF. Fournissez des liens mais ne renvoyez pas à des sites exigeant nom d’utilisateur, mot de passe ou d’autres données. La majorité des courriels frauduleux ne sont pas personnalisés, par conséquent adressez-vous si possible à vos clients en mentionnant leurs noms et prénoms.

Qui connaît les vulnérabilités de son système peut le préserver des cybercriminels.

Protéger vos comptes bancaires en ligne

Pour vos paiements, utilisez un ordinateur séparé, avec lequel vous ne surfez pas sur internet ni ne recevez de courriels. Parlez avec votre responsable informatique de la possibilité de procéder à vos versements en ligne dans un secteur séparé des autres applications (technique du bac à sable, sandbox) ou dans un système virtuel spécifique, particulièrement bien protégé.

Clarifiez l’ensemble des processus relatifs au trafic des paiements. Ceux-ci doivent être respectés par le personnel dans tous les cas.

Par exemple, le principe du double contrôle et / ou la signature collective : ici, les paiements doivent être visés par un utilisateur ou une utilisatrice supplémentaire de l’e-banking avant d’être déclenchés. C’est d’autant plus nécessaire si plusieurs membres du personnel peuvent effectuer des paiements. Discutez avec votre banque des mesures de sécurité possibles.

Mesures techniques contre les cyberattaques

Sauvegardez les données

Définissez un processus réglant la sauvegarde régulière de vos données (back-up) et respectez-le systématiquement. Évaluez la quantité de données en nombre de jours, que vous pouvez vous permettre de perdre et stockez une copie supplémentaire de votre sauvegarde séparément (offline) et hors murs (offsite).

Exercez-vous – ainsi que la personne qui assure votre suppléance – de temps en temps à restaurer une sauvegarde, afin que ce processus vous soit familier en cas de besoin. Assurez-vous de conserver les sauvegardes antérieures durant plusieurs mois.

Procédez à des mises à jour de sécurité

Un vieux logiciel est une porte d’entrée prisée par les logiciels malveillants. Assurez-vous que vos systèmes soient toujours actualisés, également votre système de gestion de contenu (Content Management System, CMS) de vos pages internet. La plupart des CMS offre une fonction de mise à jour automatique et simple à activer.

Installez un logiciel antivirus

Installez un logiciel antivirus sur chaque ordinateur et activez la protection en temps réel. Veillez à ce qu’il soit actualisé régulièrement et qu’il effectue un examen complet du système chaque jour.

Sécurisez votre accès à distance

L’accès à distance à votre réseau ne devrait jamais être protégé par une authentification simple (nom d’utilisateur et mot de passe). Utilisez au moins une authentification à deux facteurs ou installez une liaison sûre via un réseau privé virtuel (VPN). C’est également valable pour l’accès de responsables informatiques externes.

Si vous souhaitez être accompagnés dans vos démarches de sécurité informatique, n’hésitez pas à faire appel à nos experts.

ÉTUDE DE CAS

La cybersécurité avec le Micro-Learning
pour une fondation genevoise

Découvrir l'étude de cas étude de cas ffpc