Assurez votre entreprise contre les cyber-risques !

Un vrai danger pour l’activité de votre entreprise

Données personnelles de vos salariés, clients ou fournisseurs, informations de paiement, mots de passe… Votre PME dispose de données intéressantes pour les pirates informatiques.

 Les 4 principaux cyber-risques pour l’entreprise

La plupart des attaques numériques font suite à une erreur humaine. Pour protéger votre entreprise face à ces menaces, apprenez à les reconnaitre.

1. L’hameçonnage ou le phishing

En usurpant l’identité d’un tiers de confiance, à l’aide de messages (email, SMS, WhatsApp, …) les pirates cherchent à tromper les salariés pour dérober des informations confidentielles (mots de passe, informations personnelles ou bancaires) de votre entreprise. Les objectifs peuvent être variés : pirater les comptes professionnels de messagerie, accéder aux systèmes d’information ou s’introduire sur le réseau de votre entreprise…

2. Les rançongiciels ou ransomware

Ce type d’attaque, rendue possible par une intrusion sur le réseau de l’entreprise, notamment par phishing, consiste à chiffrer ou empêcher l’accès aux données de l’entreprise et à réclamer une rançon. Elle peut s’accompagner du vol de données et d’une destruction préalable des sauvegardes.

3. Le vol de données

Ce type d’attaque consiste à s’introduire sur le réseau de l’entreprise ou sur son Cloud, pour lui dérober des données et la faire « chanter ». L’objectif ? Revendre les informations, ou les diffuser pour lui nuire. Pour se faire, le hacker s’introduit dans le réseau ou dans les systèmes hébergés de l’entreprise via ses accès à distance ou encore par le poste d’un collaborateur.

4. Les faux ordres de virement (arnaque au président)

Cette pratique fait suite au piratage d’un compte de messagerie, par message (mail, SMS, WhatsApp…) ou par téléphone, en usurpant l’identité d’un dirigeant, d’un fournisseur, d’un prestataire de l’entreprise ou d’un collaborateur. L’usurpateur demande un virement exceptionnel et confidentiel, ou un changement des coordonnées de règlement (RIB) d’une facture ou d’un salaire.

8 bonnes pratiques de l’entreprise pour limiter les cyber-risques

Dirigeants, responsables de la sécurité des systèmes d'information (RSSI) et directeurs des services informatiques (DSI), vous avez un rôle essentiel. Voici par quoi commencer :

1. Vous impliquer et montrer l’exemple

En tant que dirigeant, ou en charge de responsabilités importantes, votre implication face aux mesures de sécurité informatique impacte l’adhésion de vos collaborateurs. Vous devez les briefer avec des consignes claires, les faire prendre conscience des risques et de l’importance de leur comportement pour l’entreprise. Pour cela, gardez en tête d’être un exemple en matière de pratiques sécurisées.

2. Bien équiper ses télétravailleurs

Pour le télétravail, privilégiez autant que faire se peut l’utilisation de moyens mis à disposition, sécurisés et maîtrisés par l’entreprise. Et, lorsque c’est impossible, donnez des directives d’utilisation et de sécurisation claires à vos collaborateurs.

3. Sécurisez vos accès extérieurs

Systématisez les connexions sécurisées à vos infrastructures par l’emploi de VPN (Virtual Private Network ou réseau privé virtuel en français). Ces dispositifs permettent de renforcer la sécurité de vos accès distants en les limitant aux seuls équipements authentifiés. De plus, la mise en place d’une double authentification est fortement recommandée pour vous prémunir de toute usurpation.

4. Supervisez l’activité de vos accès externes et de vos systèmes sensibles

Limitez l’ouverture de vos accès extérieurs ou distants aux seules personnes et services indispensables. Filtrez strictement ces accès sur votre pare-feu. Cloisonnez les systèmes pour lesquels un accès à distance n’est pas nécessaire pour les préserver, d’autant plus s’ils revêtent un caractère sensible pour l’activité de votre entreprise.

5. Mettez à jour systèmes, logiciels, applications…

Les défauts de mise à jour de sécurité des différents équipements sont l’une des causes principales d’intrusion dans le réseau des entreprises. Sensibilisez vos collaborateurs à cette pratique régulière ! Les cybercriminels ne tarderont jamais à exploiter les failles de sécurité une fois repérée. Pensez aussi à mettre régulièrement à jour vos antivirus.

6. Renforcez votre politique de gestion des mots de passe

Les mots de passe du support informatique, comme ceux transmis aux salariés doivent être suffisamment longs, complexes et uniques. La majorité des attaques est en effet due à des mots de passe trop simples ou réutilisés. Activez également la double authentification chaque fois que cela est possible.

7. Durcissez votre politique de sauvegarde

Les sauvegardes sont souvent le seul moyen de recouvrer ses données suite à une cyberattaque. Elles doivent donc être réalisées et testées régulièrement pour s’assurer qu’elles fonctionnent. Il conviendra également de s’assurer du niveau de sauvegarde et de sécurité de ses hébergements externes (cloud, site internet d’entreprise, service de messagerie…)

8. Préparez-vous à affronter une cyberattaque

Enfin, l’actualité l’a déjà démontré, aucune entreprise, quelle que soit sa taille et son niveau de préparation, n’est à l’abri. La question n’est donc pas de savoir si vous allez être victime d’une cyberattaque, mais quand. Il faut donc vous y préparer afin d’anticiper les mesures à prendre pour réagir en cas d’infection : plans de crise, communication, assistance et assurance.

Pour aller plus loin

Un quart des entreprises françaises victimes de cyberattaque a déjà vu sa solvabilité menacée. Selon le Rapport Hiscox 2022 sur la gestion des cyber-risques, 24 % des entreprises françaises ayant subi une cyberattaque en 2021 déclarent avoir vu sa solvabilité menacée à la suite de l'incident ; un chiffre en augmentation nette par rapport à l'année précédente (18 %, soit +33% d'augmentation), au-dessus de la moyenne des 8 pays sondés par Hiscox (21 %).

Si le coût médian d'une cyberattaque reste stable (18 645 €, vs 19 567 en 2020), 42 % des entreprises déclarent des pertes s'élevant à plus de 25 000 euros, avec des écarts toujours très importants : le coût le plus élevé pour une cyberattaque atteint 1,6 million d'euros. Les pertes financières liées à des détournements de paiement sont le principal impact des cyberattaques identifié par les entreprises françaises, mentionné par 41 % de celles ayant subi un cyber-incident en 2021 – la proportion la plus importante parmi les pays du panel de l'étude.

Le saviez-vous ?

Parce que les premières heures sont primordiales pour se défendre efficacement face à une cyberattaque, le Gouvernement lance Cybermalveillance.gouv.fr. Ce nouveau dispositif d’alerte à destination des petites entreprises doit leur permettre de réagir au plus vite et de préserver au mieux l’intégrité de leur activité.