Pour une PME à court d’argent, la sécurité semble être un luxe, et non une nécessité. Pourtant, c’est un élément crucial pour la survie de votre organisation, notamment en cas d’attaque cybercriminelle.
Dans notre précédent article, nous avons discuté de la façon dont les PME peuvent gérer l’informatique comme les grandes organisations, en adoptant les meilleures pratiques de sécurité web.
Dans ce dossier, nous allons examiner les mesures qui peuvent faire la plus grande différence dans la posture de sécurité de votre entreprise.
En effet, certaines des défenses les plus solides contre les pirates informatiques peuvent être tout simplement des actions de bon sens. Vous pouvez les adopter pour vous protéger des éventuelles menaces avec peu de frais, ou gratuitement.
Évaluez les risques
Si vous voulez mettre en place une sécurité informatique solide, la première étape consiste à décider ce qu’il faut sécuriser. Une évaluation des risques donne une image globale des besoins de sécurité de votre entreprise.
Elle sert également de base pour établir l’ordre de priorité lorsque vous voulez investir dans la sécurité informatique.
Développez une politique d’utilisation acceptable
Les politiques écrites offrent une protection juridique. Tout aussi importantes, elles permettent de sensibiliser les employés pour qu’ils puissent adopter une bonne conduite.
Il existe de nombreux types de politiques. Elles sont toutes essentielles, que ce soit pour les PME ou les grandes entreprises.
Une politique acceptable décrit comment les employés peuvent utiliser les systèmes et les ressources de l’entreprise, tout en contribuant grandement à protéger vos investissements.
Formez gratuitement vos employés à la sécurité résau
De nombreuses infractions à la sécurité informatique résultent de l’ignorance des employés. Connaissez-vous l’arnaque du prince nigérian ? En effet, les pirates ont misé sur la crédulité de leurs cibles pour leur soutirer de l’argent. Ce genre d’arnaque a fait beaucoup de ravages.
Vous n’avez pas besoin de créer votre propre matériel de formation. De nombreux sites web publient d’excellents programmes gratuits que vous pouvez utiliser.
Le centre américain d’alerte et de réaction aux attaques informatiques (US-CERT) propose par exemple « Protect Your Workforce Campaign », une campagne de formation prête à l’emploi disponible sur :
https://www.us-cert.gov/security-publications/protect-your-workforce-campaign#work
Changez vos mots de passe
Quand avez-vous changé votre mot de passe Wifi pour la dernière fois ? Vous devez savoir qu’un signal Wi-Fi ne s’arrête pas aux murs de votre bureau.
Pour constituer votre première ligne de défense, vous aurez donc besoin de créer de bons mots de passe qui doivent être changés au moins une fois par mois.
Les serveurs, les routeurs, les commutateurs et tout autre appareil constituant votre système informatique devraient avoir des mots de passe fiables.
N’oubliez pas que de nombreux appareils ont des mots de passe par défaut. Vous aurez donc intérêt à les changer immédiatement après l’installation de l’équipement.
Effectuez un contrôle de sécurité du réseau
Pour vérifier le niveau de sécurité de votre système informatique, utilisez un contrôle de sécurité gratuit. Vous en trouverez sur de nombreux sites web.
Attention toutefois, car certains de ces portails en ligne ne sont pas réputés et peuvent infecter votre ordinateur avec des malwares. Assurez-vous donc d’utiliser l’un des sites web référencés sur :
https://www.staysafeonline.org/stay-safe-online/free-security-check-ups/
Pour vérifier le niveau de sécurité de votre réseau, utilisez également un outil de test de pénétration gratuit tel que Metasploit.
Protégez-vous contre les malwares
Utilisez les filtres de phishing et le logiciel de sécurité qui sont déjà intégrés à votre navigateur. En fonction du type de navigateur, sélectionnez « Options » ou « Paramètres ».
Vous verrez le filtre de contenu et les paramètres des fenêtres contextuelles, des témoins et des certificats.
Vous n’avez absolument aucune excuse pour ne pas installer un logiciel de protection contre les malwares.
Celui-ci doit automatiquement mis à jour sur tous les appareils, y compris les dispositifs mobiles personnels, du moment qu’ils utilisent le Wifi de l’entreprise (assurez-vous d’intégrer les mises à jour dans votre politique d’utilisation acceptable).
L’un des meilleurs investissements que vous puissiez faire est le filtrage des emails. Bien entendu, les attaquants savent que les PME ne disposent pas toujours d’une solution de filtrage des emails sophistiquée et coûteuse.
Mais sachez qu’un système de filtrage des emails fiable ne doit pas toujours vous coûter une fortune. SpamTitan est une solution antispam vraiment flexible et peut être déployée en fonction des besoins de votre entreprise, à savoir :
- sur place ou sur site, comme une appliance sur un serveur physique à locataire unique
- sur site ou en local, en tant qu’appliance VMWare sur un serveur partagé.
- dans le cloud (SpamTitan Cloud). Pour ce cas précis, il vous suffit de procéder à une configuration minimale de votre compte de messagerie, de définir votre mot de passe. Ajoutez ensuite votre domaine de messagerie (ou plusieurs domaines si vous en avez), puis modifiez vos enregistrements MX afin de commencer le filtrage.
Sauvegardez vos données
Selon une étude de Kroll Ontrack, 40 % des pertes de données sont dues à des erreurs humaines.
Selon le site web TechRadar :
« Ce sont le plus souvent des événements quotidiens tels que la suppression accidentelle de fichiers ou le renversement d’une boisson chaude sur un matériel informatique qui peuvent provoquer la plus grande perturbation d’une entreprise si les données ne sont pas correctement stockées et sauvegardées ».
Il existe de nombreux choix pour la sauvegarde des données. Bien entendu, il faut déterminer cela en fonction du volume de données que vous devez conserver et protéger.
Parmi ces options, on compte la synchronisation de fichiers et la sauvegarde des données dans le cloud et l’utilisation d’un logiciel de sauvegarde traditionnel.
Appliquez régulièrement les mises à jour de vos logiciels
Du point de vue de la sécurité, il est essentiel d’appliquer les mises à jour des logiciels qui constituent votre système dès qu’elles sont disponibles.
Cela s’applique aux systèmes d’exploitation (Windows, Mac OS, Linux) et tout autre logiciel de sécurité tel qu’un antivirus. L’idéal serait de choisir des solutions de sécurité réseau qui se mettent à jour automatiquement.
Logiciel et matériel de contrôle pour la sécurité du réseau
L’installation de logiciel sur le serveur ou sur tout appareil professionnel doit être préalablement approuvée par le responsable informatique.
Ceci est particulièrement important, car les logiciels de nos jours sont de plus en plus open-source, ce qui rend difficile l’application des contrôles réguliers.
N’oubliez pas que chaque application supplémentaire introduit de nouvelles vulnérabilités, augmentant ainsi la surface d’attaque de votre entreprise.
Par exemple, il peut être pratique d’avoir un accès à distance au serveur de l’entreprise, mais cela offre aux attaquants un autre moyen de pénétrer votre réseau.
L’installation d’un logiciel d’accès à distance doit donc être considérée comme une décision d’affaires à travers laquelle les risques doivent être évalués en fonction des avantages.
Chaque fois que de nouveaux périphériques sont ajoutés au réseau de votre entreprise, vous risquez de perdre des données ou d’être victime de malwares.
Si vous permettez à vos employés d’apporter et d’utiliser leurs propres appareils dans le cadre du travail, chacun d’entre eux doit se conformer aux mêmes normes de sécurité que tout autre appareil de l’entreprise.
Si votre PME utilise davantage le cloud, notamment pour les applications SAAS (software-as-a-service), l’accès aux ressources du cloud doit aussi avoir les mêmes restrictions que l’accès aux ressources locales de l’entreprise.
Améliorez la posture de sécurité de réseau de votre entreprise
Les mesures décrites ci-dessus exigent un minimum de temps et de dépenses, mais cela en vaut la peine si on considère qu’une atteinte à la sécurité pourrait menacer la survie de votre entreprise.
Gardez aussi à l’esprit que la mise en place d’un logiciel de sécurité globale coûteux serait inefficace si les mesures susmentionnées ne sont pas adoptées.
Vous êtes un professionnel de l’informatique et vous voulez protéger les données et les appareils des employés au sein de votre entreprise ? Parlez à un de nos spécialistes ou envoyez-nous un email à info@titanhq.com pour toute question.