Cybersécurité : 5 conseils pour protéger votre entreprise
Avec la multiplication des usages numériques et le développement du télétravail, la cybersécurité est devenue une problématique omniprésente pour les TPE (Très Petites Entreprises) et PME (Petites et Moyennes Entreprises), cibles considérées comme plus facile à atteindre que les grands groupes. La cybersécurité exige que l’on configure son site pour se prémunir contre les attaques. Mais la cybersécurité implique aussi la mise en place de procédures strictes, de points de contrôle accessibles et d’une bonne communication interne pour y faire adhérer vos équipes. Voici nos 5 conseils pratiques pour assurer la cybersécurité de votre entreprise :
- Sensibiliser et informer les équipes à la cybersécurité
- Imposer une politique de mots de passe sécurisée
- Maîtriser votre parc informatique
- Inclure la cybersécurité dans votre politique de développement de l’entreprise
- Anticiper et réagir en cas d’incident cybersécurité
1. Sensibiliser et informer les équipes à la cybersécurité
Une étude menée en novembre 2021 par l’IFOP et le cabinet d’étude Forrester Consulting relève que 33% des TPE/PME de moins de 250 salariés ont été touchées par une cyberattaque dans les 12 derniers mois. Il est toutefois bon de relativiser : cette réalité n’est pas une fatalité.
Les cybermenaces et cyberattaques sont devenues des mots courants au sein du monde de l’entreprise, mais pour autant, sommes-nous tous en mesure d’identifier ces menaces et de s’en prémunir ? C’est ce dont vous devez vous assurer auprès de vos équipes.
La nécessité d’une formation continue à la cybersécurité
Que ce soit pour une TPE/PME ou un grand groupe, la formation des collaborateurs à une bonne hygiène informatique est clé en matière de cybersécurité. Cette sensibilisation peut prendre la forme d’une charte informatique remise et expliquée à l’arrivée de chaque nouveau membre. Il est notamment essentiel de faire prendre conscience de l’importance d’utiliser exclusivement les outils mis à disposition par l’entreprise afin de garantir la confidentialités des données et éviter les failles de sécurité. À ce titre, nous vous invitons à consulter notre article sur les 5 outils collaboratifs d’entreprise open source que nous préconisons.
Des menaces de cybersécurité qui évoluent sans cesse
Mais les menaces évoluent et prennent des formes de plus en plus ingénieuses : ingénierie sociale, phishing, spoofing, slamming, ransomware etc. C’est pourquoi il est aussi nécessaire que cette formation soit continue, par exemple par la mise en place d’ateliers internes, par le partage d’informations lorsqu’une vulnérabilité a été identifiée, par la présentation des bons réflexes à adopter en cas d’incidents etc. L’essentiel étant que chaque collaborateur comprenne les enjeux et se sente pleinement investit dans la vigilance à l’égard des menaces externes.
2. Imposer une politique de mots de passe sécurisée
On ne compte plus le nombre d’articles relatant des fuites d’identifiants et de mots de passe, car c’est bien là la première porte d’entrée des cybercriminels. La cybersécurité d’une TPE/PME passe donc par la mise en place d’une politique de mots de passe sécurisée. Il s’agit d’imposer des règles autour de la définition d’un mot de passe (longueur, caractères spéciaux, mot de passe unique, durée de validité etc.) et de communiquer sur les recommandations pour définir un mot de passe sécurisé.
Il est d’ailleurs vivement conseillé d’imposer l’authentification à deux facteurs pour les connexions critiques afin de garantir une protection supplémentaire. Grâce à l’utilisation d’un deuxième mot de passe ou d’une clé de sécurité physique, l’accès de vos collaborateurs est doublement sécurisé, quand bien même leur mot de passe viendrait à être découvert par un tiers.
3. Maîtriser votre parc informatique
Au lancement de l’entreprise, la cybersécurité peut paraître comme une menace éloignée, de par un nombre de collaborateurs restreint ou d’une notoriété à développer. Pour autant, il est crucial de s’imposer une certaine rigueur dès les premières semaines de vie de votre TPE/PME, notamment dans la gestion du parc informatique. C’est en effet lorsqu’une cartographie du parc est encore simple à établir qu’il faut profiter pour en définir les règles :
- Inventorier les équipements et les services : répertorier les ordinateurs, les tablettes, les smartphones, les serveurs locaux et distants, les imprimantes, les box, les clés 4G etc.
- Inventorier les logiciels utilisés : connaître leur nature, leurs utilités et les versions utilisées.
- Inventorier les données et les traitements de données : identifier les données indispensables au bon fonctionnement de l’entreprise, savoir où les données sont stockées, connaître les traitements qui en sont faits.
- Inventorier les accès : être en mesure d’identifier la nature de l’accédant (administrateur, utilisateur, invité) et le mode d’accès (connexion locale ou distante).
- Inventorier les interconnexions avec l’extérieur : répertorier tous les accès Internet vers un prestataire ou un partenaire.
Cette bonne pratique est indispensable pour la cybersécurité de votre entreprise, mais elle vous sera également nécessaire pour répondre aux obligations du RGPD (Règlement Général sur la Protection des Données) en cas de faille de sécurité.
4. Inclure la cybersécurité dans votre politique de développement de l’entreprise
Si vous mettez en place une politique interne afin d’assurer la cybersécurité de votre TPE/PME, il faut également que cette assiduité s’applique au développement de vos produits. C’est ce que l’on appelle l’approche Security by design. Il s’agit d’inclure la sécurité et le risque dans toutes les étapes de conception d’un produit et tout au long de son cycle de vie. L’objectif est d’assurer la robustesse de l’architecture afin de garantir la sécurité et la confidentialité des systèmes.
Un autre point d’attention, souvent considéré comme évident mais encore trop souvent à l’origine de failles de sécurité, réside dans la nécessité de faire des mises à jour régulières. Ces mises à jour concernent les systèmes d’exploitation et tous logiciels, dont les plug-ins, dès la mise à disposition de correctifs de sécurité par les éditeurs.
Cette remarque vaut également pour la définition d’une politique de sauvegarde : quelle fréquence s’imposer ? Quelles données concernées ? Sur quel(s) support(s) ? Autant de critères à définir pour établir un cadre précis.
5. Anticiper et réagir en cas d’incident cybersécurité
Même si toutes les précautions sont prises concernant la cybersécurité de votre entreprise, il est toujours plus prudent de se préparer à réagir en cas d’incident.
Pour cela, nous vous conseillons d’établir différents plans d’action en fonction de la nature de la cyberattaque. De cette manière, vous vous assurez de ne pas céder à la panique une fois confronté(e) à l’incident, et d’être en mesure de suivre une procédure préétablie.
Il est également recommandé d’instaurer un plan de reprise d’activité (PRA), voire un plan de continuité d’activité (PCA), pour pouvoir reprendre les activités au plus vite, et dans les meilleures conditions, une fois l’incident contrôlé.
Ces 5 bonnes pratiques doivent être les piliers de votre réflexion concernant la cybersécurité de votre entreprise. Si vous souhaitez aller plus loin, l’ANSSI (l’Agence Nationale de la Sécurité des Systèmes d’Information), service à compétence nationale, rattaché au secrétaire général de la défense et de la sécurité nationale, a mis à disposition un guide pour répondre en 12 questions aux problématiques des TPE/PME en matière de cybersécurité.
Et pour accompagner votre présence en ligne, Gandi a pensé une offre sur-mesure et à la carte dédiée aux entreprises. Celle-ci vous assure la disponibilité et la sécurité de votre site internet et de vos boites mails tout en manageant l’intégralité de vos produits depuis une interface unique et intuitive.
Tagged in 2FASécuritéTPE/PME