Cybersécurité : 12 bonnes pratiques pour se protéger en tant que TPE/PME !

Dans un environnement professionnel numérique en constante évolution comme le nôtre, la sécurité des données est une préoccupation majeure pour les entreprises de toutes tailles. Les attaques de pirates informatiques, les violations de données et les ransomwares sont des menaces de plus en plus courantes. Dans cet article, nous allons vous présenter les 12 bonnes pratiques, qui selon nous, sont essentielles pour protéger vos données et votre entreprise.

Bien choisir son mot de passe : 

Le choix d’un mot de passe fort et unique est crucial pour la cybersécurité de vos comptes et de vos données. Nous vous recommandons d’utiliser des mots de passe d’au moins 12 caractères composés de lettres, de chiffres et de caractères spéciaux. 

Il est important de ne pas utiliser le même mot de passe pour plusieurs services au risque de compromettre vos comptes. 

Il est aussi important de ne pas utiliser d’informations personnelles, un hacker pourrait par exemple vous envoyer sous forme de questionnaire marketing avec tirage au sort à la clef des questions me permettant de récupérer les noms, prénoms et date de naissance des membres de votre famille, si cette information n’est pas déjà publique !

Votre stratégie pour vous protéger des actions malveillantes commence donc ici, par un choix de mot de passe réfléchi et présentant un niveau de complexité plus avancé.

Utiliser la double authentification :

La double authentification est une méthode de cybersécurité supplémentaire utilisée depuis longtemps qui consiste à demander une deuxième méthode d’identification, comme un code envoyé sur votre téléphone, après avoir entré votre mot de passe. Cela rend l’accès à votre compte beaucoup plus difficile pour les pirates informatiques. Il s’agit d’un moyen simple et ne demandant pas une technologie avancée ou onéreuse pour renforcer votre cyberespace. 

Mise à jour OS et logiciels :

Les mises à jour sont essentielles pour maintenir la cybersécurité de vos systèmes informatiques. Les pirates informatiques cherchent constamment des vulnérabilités dans les logiciels, et en plus de lutter contre l’obsolescence des techniques de cybersécurité, les mises à jour corrigent souvent ces failles de cybersécurité. Il est donc important d’installer les mises à jour dès qu’elles sont disponibles. Pour ce faire, notre conseil supplémentaire est d’activer les mises à jour automatiques. Il faut aussi vérifier que les programmes que vous utilisez se mettent encore à jour. Si votre programme arrive en fin de vie, ou disparaît, il faut le désinstaller pour le remplacer par une application plus récente. 

Bien connaître ses utilisateurs :

Il est important de bien connaître les utilisateurs qui ont accès à vos systèmes informatiques. Nous vous recommandons de limiter les droits d’administration et de les partager de manière sélective et modérée. Il est également important d’avoir des procédures d’arrivée et de départ claires pour les employés et de cacher les mots de passe uniques et communs entre tous vos utilisateurs avec Microsoft Azure par exemple. Tout le monde peut utiliser un service particulier avec un seul compte, sans connaître l’identifiant et le mot de passe ; pratique en cas de départ. L’objectif, vous l’aurez compris, est d’éviter qu’un ancien collaborateur puisse encore avoir accès aux domaines et plateformes de gestion de votre entreprise après son départ.

Des sauvegardes régulières : 

Les sauvegardes régulières sont essentielles pour protéger vos données contre la perte, la corruption ou une “simple” mauvaise manipulation d’un utilisateur. Nous vous recommandons de vérifier régulièrement vos sauvegardes et de les stocker selon la règle 321 (multiplication et diversification des lieux de sauvegarde). Plus la donnée est sensible, plus le chiffrement de ces sauvegardes est indispensable. Pensez également à sauvegarder les données provenant des services de stockage en ligne, en effet le cloud n’évite pas les sauvegardes.

Isoler les flux réseau :

Il est important de sécuriser le réseau de l’entreprise en isolant les flux par type et par usage. Cela signifie que les serveurs, les ordinateurs et la voix sur IP doivent être séparés en VLAN distincts. Il est également important d’utiliser une identification par compte pour le réseau sans fil et d’éviter d’utiliser une clé pré-partagée, car cela peut être facilement remplacé. Il est courant d’avoir un VLAN visiteurs pour les personnes extérieures à l’entreprise. Enfin, il est conseillé de désactiver toutes les prises réseaux non utilisées ou de les basculer sur le réseau visiteur pour éviter tout accès non autorisé.

Sécuriser vos données en cas de perte ou vol :

Plus vos données sont sensibles : contactabilité et données clients particuliers (RGPD), accès aux plateformes gouvernementales (contrat avec l’État), données business d’organisation nationales, … plus il est essentiel de protéger les données de l’entreprise en cas de perte ou de vol. La première chose à faire est de vérifier si BitLocker est activé pour chiffrer les disques durs de l’ordinateur. Si les données de l’entreprise sont stockées sur un disque dur non chiffré et que l’ordinateur est perdu ou volé, les données peuvent être facilement accessibles pour n’importe qui.

Protéger physiquement ses appareils : 

La mise en place de bonnes pratiques de transport et de préservation de vos appareils est primordiale. Il est donc important de ranger les appareils de manière sécurisée et de ne pas les laisser traîner en télétravail.

Instaurer des outils et pratiques simples de confidentialité comme l’utilisation de filtres d’écrans pour empêcher les autres personnes de voir l’écran de l’ordinateur, ou encore, porter son sac en bandoulière pour éviter qu’il ne soit facilement volé sont des actes simples et souvent efficaces pour éviter le pire.

Séparer usage pro et perso :

Il est important de séparer l’utilisation professionnelle et personnelle des appareils. Un ordinateur professionnel n’est pas la console de jeu des enfants ou pour une utilisation personnelle. L’usage strictement professionnel du matériel exclu même le conjoint car il peut y avoir des données confidentielles de l’entreprise. Il en va de même pour les smartphones, qui peuvent contenir des données de l’entreprise.

Bloquer le stockage amovible et les services de transfert de fichiers publics :

Il est important de bloquer le stockage amovible et les services de transfert de fichiers publics comme Dropbox pour éviter la fuite de données de l’entreprise. Cela peut être fait en bloquant les ports USB ou en utilisant des logiciels de gestion des périphériques. Il faut partir du principe que chaque flux entrant ou sortant sur votre appareil est une occasion pour un logiciel malveillant de s’immiscer.

Sensibiliser et tester son personnel :

La sensibilisation des utilisateurs à la cybersécurité informatique est la pierre angulaire de toutes les stratégies de sécurité informatique. Tester régulièrement les connaissances des collaborateurs pour s’assurer qu’ils respectent les politiques de sécurité de l’entreprise et un bon moyen de limiter les failles. Les tests de phishing sont un bon moyen de tester la vigilance de votre personnel et de développer leur capacité de détection d’un mail malveillant, par exemple.

Rester discret sur les réseaux sociaux :

Il est important de rester discret sur les réseaux sociaux et de maîtriser l’environnement pour éviter de divulguer des informations sensibles sur l’entreprise. Il est conseillé de ne pas publier de photos du lieu de travail des fois qu’un pense-bête avec un mot de passe sensible soit visible en arrière-plan. Les cybercriminels peuvent utiliser ces informations pour lancer des attaques ciblées contre l’entreprise ou pour voler des informations confidentielles.

Les TPE/PME dans le viseur des cyberattaques : 

Il est primordial pour les TPE/PME de prendre des mesures pour protéger leurs données et leur entreprise contre les attaques de pirates informatiques.

Les 12 bonnes pratiques présentées dans cet article, telles que

  • le choix d’un mot de passe fort et unique,
  • l’utilisation de la double authentification,
  • la mise à jour des systèmes et des logiciels,
  • la sauvegarde régulière des données,
  • l’isolation des flux réseau,
  • la protection des données en cas de perte ou de vol,
  • la protection physique des appareils,
  • la formation et la sensibilisation des employés,
  • la sécurisation des connexions sans fil,
  • l’utilisation de pare-feu et d’antivirus,
  • la vérification des contrats avec les fournisseurs et l’audit de la cybersécurité,

Toutes ces pratiques sont autant de moyens qui peuvent aider à réduire considérablement les risques de cyberattaques et à protéger l’entreprise. 

En adoptant ces bonnes pratiques, les TPE/PME peuvent renforcer leur sécurité et préserver leur réputation et leur rentabilité.