PME : comment protéger son entreprise face au cyber-risque ?

Minimiser les conséquences d’une erreur humaine

Derrière le risque informatique, des conséquences pour toute l’entreprise

Tentative d’extorsion, vol de données sensibles, neutralisation temporaire d’un site web ou simplement détournement d’emails : dès lors qu’elle touche une entreprise, une attaque informatique, même mineure, n’est jamais anodine.

Les tristement célèbres rançongiciels ou le piratage ont des conséquences sur l’activité de la société. D’autre part, montrer sa vulnérabilité n’est bon pour personne : clients, fournisseurs, partenaires financiers… les TPE et PME évoluent le plus souvent dans un écosystème local, où l’information circule vite et où la concurrence n’est pas toujours tendre.

Les nouveaux usages multiplient les conduites à risque

La majorité des dirigeants de PME, d’ETI et de grands comptes sont désormais sensibilisés aux cyber risques. Signe des temps, les connexions aux réseaux d’entreprises sont désormais aussi nombreuses depuis l’extérieur que depuis l’intérieur des locaux, où les postes fixes sont bien plus faciles à sécuriser que les smartphones, tablettes et ordinateurs portables équipant les travailleurs nomades.

Absence d’antivirus performant, programmes et système d’exploitation pas à jour, installation d’applications en tous genres et utilisation non contrôlée de l’appareil par les membres de la famille : les mobinautes sont rarement aussi rigoureux avec leur téléphone qu’avec leur ordinateur. C’est pourquoi les nouveaux usages et le « tout connecté » multiplient les conduites à risque.

Du dirigeant aux salariés, repenser toutes les pratiques

Au moins une fois sur deux, une intrusion dans un système d’information résulte d’une erreur humaine. Parmi les 12 mesures préconisées par le Guide des bonnes pratiques de l’informatique publié par la CPME en collaboration avec l’ANSSI (Agence nationale de la sécurité des systèmes d’information), la moitié sont sans lien avec le niveau de sécurisation du matériel.

Les attaques d’envergure sont rarement conduites au hasard. Le ou les hackers commencent par étudier l’entreprise, son fonctionnement et les habitudes de ses forces vives. Choisir comme mot de passe la date de naissance d’un enfant est devenu plus rare que par le passé. De plus en plus de sites, y compris commerciaux, exigent désormais un nombre de caractères supérieur à 8, mêlant chiffres, lettres, majuscules, minuscules, voire caractères spéciaux. L’objectif ? rendre le mot de passe impossible à deviner et donner du fil à retordre aux outils de décodage automatisés. Autres précautions indispensables : ne pas employer systématiquement le même mot de passe, changer les plus sensibles au moins une fois par an et refuser que l’application ou le site consulté les mémorise.

La prudence s’impose également lorsque l’éditeur d’une application réclame un accès aux données personnelles de l’utilisateur au moment de l’installation. Mieux vaut renoncer plutôt que de laisser une entité extérieure, même présumée sérieuse, avoir accès à toutes les informations contenues dans un smartphone ou une tablette. Sans sombrer dans la paranoïa, il convient aussi d’éviter de prêter, même quelques minutes, son téléphone à un inconnu. Ne vous fiez pas non plus au seul code Pin de la carte Sim (4 chiffres seulement) pour sécuriser votre appareil.

Énumérer toutes les pratiques à risque est impossible. Idéalement, des appareils différents devraient être utilisés pour les usages professionnels et personnels. Car des actes supposément anodins (comme donner son adresse email pour un jeu publicitaire) peuvent déboucher sur des tentatives d’usurpation d’identité, ou la réception de dizaines de messages indésirables chaque jour.

Réseau et matériel : optimiser sa protection

Antivirus, pare-feux : des protections à ne pas négliger

Les trois quarts des entreprises participantes à l’enquête d’Usine nouvelle déclarent avoir sensibilisé leurs effectifs aux risques numériques. Mais à peine 20 % ont pris la précaution de recruter au moins un profil expert en cybersécurité. Via les groupements d’employeurs ou le multisalariat, ce type de compétence est pourtant abordable et peut rendre de multiples services à une entreprise œuvrant dans un secteur totalement étranger aux problématiques d’ordre informatique. Car si se doter d’un antivirus et d’un pare-feu classique est a priori à la portée de tous, la réalisation d’un audit et la mise en œuvre de protections logicielles et matérielles réellement efficaces ont tout à gagner à être confiées à un professionnel.

Téléchargements, mises à jour, Wi-Fi, paiements : une indispensable vigilance

Compte tenu de l’ingéniosité des hackers, la sécurité informatique parfaite n’existe pas et une vigilance permanente s’impose. Maintenir les logiciels à jour (antivirus en tête, mais pas seulement), télécharger des programmes depuis le site de leur éditeur et effectuer des paiements uniquement via des plateformes sécurisées (identifiables grâce au préfixe « https ») doivent devenir des règles d’or pour tous.

La généralisation du Wi-Fi, si pratique soit-elle, facilite l’intrusion d’indésirables. Il convient donc, à l’intérieur de l’entreprise, de lui préférer un réseau filaire, et d’éviter autant que possible, en déplacement, d’utiliser les accès à internet publics, par définition non sécurisés. Enfin, au risque de paraître trop tatillon, mieux vaut s’abstenir de permettre à un tiers (même un bon client) de se connecter au réseau de l’entreprise. Plus facile à dire qu’à faire, mais votre sécurité informatique est en jeu.

En savoir plus

• Télétravail : comment protéger son entreprise des cyber-risques ?
• Vous protéger des cyber-risques pour pérenniser votre activité
• 10 bonnes pratiques du salarié pour limiter les cyber-risques