10 bonnes pratiques de la cybersécurité pour les salariés

Vous télétravaillez et avez oublié votre ordinateur professionnel sur votre lieu de travail ? Vous pouvez être tenté d’utiliser votre ordinateur personnel. N’en faites rien. Pour effectuer vos activités professionnelles, il est recommandé de se servir exclusivement des outils de travail mis à votre disposition par votre employeur. Pour vos activités personnelles (réseaux sociaux, mails privés), utilisez plutôt votre ordinateur personnel. 

Retenez que les tablettes, les ordinateurs, téléphones portables professionnels, ainsi que les applications et logiciels qui y sont installés, sont sous la responsabilité de votre entreprise. De votre côté, vous avez l’obligation de respecter les conditions d’utilisation du matériel prêté par votre employeur.

En cas de piratage, votre responsabilité pourrait être mise en cause si vous utilisez votre ordinateur personnel et que vous n’en avez pas l’autorisation. À ce propos, si vous êtes entrepreneur individuel, vous devez avoir une assurance responsabilité professionnelle pour vous prémunir de ce type de risques. 

La plupart des grandes entreprises ont une politique de sécurité informatique qu’elles distribuent aux employés lors de leur prise de poste. Il se peut aussi que vous ayez suivi une formation en cybersécurité pour vous sensibiliser aux risques numériques. 

Quoi qu’il en soit, tout employé est tenu de se conformer aux règles de cybersécurité, peu importe les circonstances. Si vous avez un doute ou une incompréhension, adressez une demande au service informatique (SI), mais ne contournez pas le règlement. Consultez la FAQ : tout savoir et tout comprendre sur la cybersécurité.

Si vous travaillez dans une petite ou moyenne structure (TPE-PME), il est possible que l’ensemble de ces règles ne soient pas formalisées dans une charte informatique ou que vous ayez eu moins d’informations à ce sujet. Dans ce cas, n’hésitez pas à parler avec votre patron ou avec le service informatique (SI)de vos craintes face aux cyber-risques. 

La pratique du télétravail constitue un risque supplémentaire pour l’entreprise en matière de sécurité numérique. C’est pourquoi les employés doivent absolument faire preuve de vigilance quand ils travaillent à domicile. 

Même si vous réalisez vos tâches professionnelles en dehors du contexte de l’entreprise, les règles de cybersécurité en vigueur s’appliquent. 

Ainsi, mentionnons qu’il est préférable d’installer votre bureau dans une pièce isolée pour protéger la confidentialité des informations que vous partagez dans le cadre de votre travail. Si vous vous éloignez de votre ordinateur et que d’autres personnes sont présentes dans la maison, notamment des enfants, activez l’écran de veille. Adopter de bons réflexes peut vous éviter bien des tracas. 

Vous recevez régulièrement des mises à jour sur vos équipements professionnels. On rechigne parfois à les faire dès réception, car l’installation de certains logiciels ou applications prend du temps. Mais, cette mesure est essentielle pour protéger le système d’information et les informations confidentielles de l’entreprise des logiciels malveillants (malwares), virus et autres menaces. Pour ne pas oublier de le faire, vous avez la possibilité d’activer les mises à jour automatiques et de les programmer à la première ouverture de votre session, avant de commencer la journée. 

Pour vous motiver à effectuer systématiquement les mises à jour, sachez que 47 % des cyberattaques sont effectuées via une faille de sécurité. En effet, les pirates profitent des vulnérabilités du système pour s’introduire dans le réseau de l’entreprise.

Installer un antivirus et un pare-feu est impératif pour assurer la sécurité numérique de l’entreprise. C’est le moyen le plus efficace pour protéger les équipements contre les malwares et autres tentatives d’intrusion. En principe, le service informatique est responsable de l'installation des mises à jour, des logiciels et applications nécessaires sur vos équipements professionnels. 

Par ailleurs, comme vous le savez probablement, des fichiers, des applications, des programmes peuvent être contaminés par un virus. Pour éviter tout problème, utilisez un scan de sécurité qui permet de passer en revue tout élément extérieur (pièces jointes, fichiers téléchargés, etc.). Après vérification, si l’élément en question ne présente aucun danger pour la sécurité numérique, vous pourrez l’utiliser. Dans le cas contraire, il faudra le supprimer.

Il est vrai que les mots de passe contenant des données personnelles sont souvent plus simples à retenir. Néanmoins, faire ce choix facilite la tâche aux hackers, car nombre d’informations sont disponibles sur le web (date de naissance, prénoms, etc.). C’est la même chose pour le mot de passe générique qu’on utilise partout. De nombreux sites sont victimes de fuites de données, ce qui veut dire que ces identifiants de connexion sont faciles à trouver.

La meilleure pratique pour sécuriser les connexions est d’utiliser le VPN de votre entreprise pour vous connecter lorsque vous travaillez à la maison. Si vous n’en avez pas la possibilité, utilisez votre propre wifi, en mode chiffrage WPA2 avant de vous connecter. Si vous êtes en déplacement, notamment dans un train, n’utilisez jamais les wifi publics. Dans ce cas, préférez l’activation du partage de connexion sur votre téléphone, en configurant un mot de passe. Ce dernier vous permettra de rejoindre votre réseau privé à partir de votre ordinateur portable ou de votre tablette. 

En cas de cyberattaque, la sauvegarde est le seul moyen de retrouver les données et de réinstaller votre poste de travail à l’identique. Pensez à faire des sauvegardes régulières sur le réseau, le cloud de l’entreprise ou sur un support externe de l’entreprise (disque dur, clé USB). Ce matériel doit être protégé par un mot de passe et débranché après chaque sauvegarde pour être conservé en lieu sûr. 

En 2024, la majorité des attaques (60 %) se font par un email d’hameçonnage. Méfiez-vous des emails et, plus largement des SMS ou chat semblant émaner d’une source fiable, mais dont le message vous interpelle. Si vous recevez un message inattendu comportant un caractère d’urgence, ou encore une demande particulière ou surprenante, ne vous précipitez pas et surtout ne divulguez aucune information confidentielle. Communiquez directement avec l'organisme ou la personne, par d'autres voies de communication (par exemple, via un appel téléphonique), afin de vérifier que vos contacts sont bien à l’origine du message que vous avez reçu. 

En principe, le service informatique installe les mises à jour, les logiciels et applications nécessaires sur vos équipements professionnels. Toutefois, il peut arriver que, pour les besoins d’un projet, vous ayez à installer une application ou un nouveau logiciel. Au préalable, vous devez en demander l’autorisation à votre hiérarchie et au SI. Tout téléchargement doit être fait à partir d’une source fiable. Car, les pirates peuvent aussi utiliser ce moyen pour pénétrer dans le système informatique de l’entreprise. Streaming illégal, sites internet suspects ou frauduleux sont évidemment à bannir.

Des ressources sont disponibles pour vous aider à mettre à jour vos connaissances en sécurité numérique. 

1. Suivre une formation sur la sécurité informatique

L'Agence nationale de la sécurité des systèmes d'information (ANSSI) vient de lancer MesServicesCyber, une plateforme qui propose des formations ouvertes à tous.

2. S'inscrire au MOOC sur la cybersécurité

Le MOOC SecNumAcadémie développé par l'ANSSI est un excellent moyen de se former aux enjeux de sécurité numérique.

3. Se procurer le kit de sensibilisation du gouvernement et les guides ANSSI sur la cybersécurité pour développer sa stratégie de cybersécurité

Cybermalveillance.gouv met à la disposition de tous un kit de sensibilisation sur la sécurité numérique contenant un ensemble de ressources sur la cybersécurité, dont de bonnes pratiques.

L'ANSSI propose une série de guides pour consolider la cybersécurité de votre entreprise.

4. Consulter les recommandations de l'ANSSI sur le thème : quels sont les 4 piliers de la cybersécurité ?

L'ANSSI propose aux organisations de bâtir une stratégie de cybersécurité en se concentrant sur les 4 axes que sont la gouvernance, la protection, la défense et la résilience. Pour en savoir plus à ce sujet.  

5. S'informer sur la directive européenne NIS 2

À l’échelle européenne, la cybersécurité des entreprises est considérée comme un véritable enjeu. La directive européenne NIS 2, entrée en vigueur il y a quelques mois, impose de nouvelles normes, plus élevées, en matière de sécurité numérique. En d’autres termes, des changements s’annoncent et demanderont peut-être à certaines entreprises des investissements plus importants.

6. Souscrire une assurance contre les cyber-risques

Enfin, dans un contexte où les menaces informatiques sont de plus en plus communes, si vous êtes à la tête d’une PME-TPE, il est important de souscrire une assurance contre les risques numériques. Cela permettra de sécuriser vos activités et de bénéficier d’une assistance en cas d’attaque numérique.