Blog GlobalSign

02 nov. 2016

Cybersécurité : 31 conseils aux entreprises

Octobre était le mois de la cybersécurité (NCSAM) aux Etats-Unis avec la National Cyber Security Alliance, mais aussi en Europe. Nous vous avons livré des conseils sur Twitter tout au long du mois avec le hashtag #CyberSecMonth pour vous aider à vous protéger des cyberattaques et contribuer à sensibiliser l’opinion sur les moyens d’améliorer la sécurité d’Internet. Retrouvez ces 31 conseils de cybersécurité pour votre entreprise dans notre blog d'aujourd'hui et de vendredi.

Le Web poursuit son irrésistible ascension. Mais le plus beau sans doute avec Internet est qu’il permet à l’homme de communiquer librement avec le reste du monde. Avec le développement du WiFi, nous sommes aujourd’hui capables de fabriquer des appareils qui se connectent aussi à Internet et qui transmettent des données sur un réseau. Mais cette extraordinaire connectivité a aussi son revers : chaque individu connecté à Internet sur la planète court le risque de voir ses réseaux et données pris pour cible par des hackers mal intentionnés.

Nous sommes convaincus qu’une meilleure information sur ces vulnérabilités et une sensibilisation du public sur les moyens de protection permettraient d’améliorer la sécurité sur Internet. Sans plus tarder, voici donc nos conseils de cybersécurité à l’attention des entreprises.

Mesures de base pour la sécurité en ligne

1. Faites attention à ce que vous publiez sur vous et les autres

En ligne, ce que vous dites des autres en dit long sur vous, mais peut également vous attirer des ennuis avec la justice ou vous valoir d’être cambriolé ou piraté. Tout ce que vous dites en ligne peut être surveillé. Si vous publiez un message annonçant votre départ en vacances pour une semaine, une personne mal intentionnée n’aura aucun mal à dénicher votre adresse pour vous cambrioler. Faites attention à ne pas enfreindre vos engagements contractuels – accords de confidentialité, contrats de travail et autres. La divulgation d’informations personnelles sur des tiers ou la diffamation publique sans preuve constituent des motifs d’infraction à la loi.

2. Sachez distinguer les types de données collectées par votre entreprise et protégez-les

Pour être sûr que vos données professionnelles sont en sécurité sur Internet, pensez à faire un audit de toutes vos données pour identifier celles qui relèvent de l’information publique (pas besoin de les surveiller de près), celles d’importance moyenne qui, si elles sont « découvertes » n’auront qu’un impact modéré sur votre entreprise (prévoir des mesures de protection) et enfin, les données les plus importantes et les plus sensibles pour votre entreprise. En cas de perte ou de vol de cette dernière catégorie, les conséquences peuvent être très lourdes pour l’entreprise. Ces données doivent donc être conservées et protégées avec un niveau de sécurité maximum et des droits d’accès très restreints, limités aux membres de votre entreprise.

3. Panachez les méthodes d’authentification

L’authentification est l’acte qui vise à confirmer une identité (d’un utilisateur, d’une machine ou d’un appareil) en comparant les éléments d’identification fournis avec la base de données existante des identités autorisées, avant d’autoriser l’accès à un système ou une application précise. Pensez par exemple à saisir votre identifiant et votre mot de passe avant d’accéder à votre compte de messagerie. Mais, plutôt que de compter uniquement sur des mots de passe – qui ont perdu de leur fiabilité – nous vous recommandons de panacher les facteurs d’authentification. Il peut s’agir de ce que vous savez (nom d’utilisateur/mot de passe, réponse à une question de sécurité), de ce que vous avez (certificat numérique, carte à puce), et de ce que vous êtes (empreintes digitales, éléments de reconnaissance faciale).

4. Activez le HTTPS sur votre site Web

Les sites Web HTTPS ont un certificat SSL/TLS installé sur leurs serveurs. Ce certificat chiffrera toutes les données qui transitent du navigateur vers le serveur – qu’il s’agisse d’informations personnelles ou financières soumises via le site, ou des contenus de la page Web – pour les mettre à l’abri des regards indiscrets (tiers malveillants, surveillance gouvernementale...). Les certificats SSL peuvent également lier l’identité de votre marque à votre présence Web, pour rassurer les internautes sur le fait que votre site est bel et bien exploité par votre entreprise et non par un usurpateur (comme les sites de hameçonnage). Les certificats SSL EV clarifient les choses en affichant la barre d’adresse en vert et le nom de votre entreprise bien en évidence.

5. Utilisez des mots de passe forts et ne les réutilisez pas Bon : '34bGUI7&89@))'. Mauvais : '12345 ou Eddy1'

De nombreux hackers revendent les données qu’ils dérobent. Cela concerne les informations et les mots de passe de milliers, voire de millions, de personnes. Si vous utilisez le même mot de passe pour tous vos comptes, un pirate informatique n’aura aucun mal à accéder à tous vos systèmes. Un hacker peut aussi utiliser la force 'brute' pour percer à jour votre mot de passe. Pour lui compliquer la tâche, privilégiez les longs mots de passe avec plusieurs types de caractères qui ne correspondent à aucun mot. Et pour éviter d’oublier vos mots de passe, utilisez un gestionnaire de mots de passe.

6. Mettez régulièrement à jour tous vos logiciels

Les pirates sont toujours à la recherche de vulnérabilités dans les logiciels utilisés par votre entreprise. Comme lorsqu’ils décident simplement de chercher un chemin pour accéder à votre réseau Windows. Les éditeurs de logiciels s’efforcent de développer des correctifs et des mises à jour pour corriger ces vulnérabilités – d’où l’importance d’effectuer les mises à jour recommandées dès leur publication.

7. Conservez une sauvegarde de toutes vos données

Les sauvegardes de données vous permettent de récupérer vos fichiers en cas de perte ou de vol de données. Sauvegardez toujours vos données en deux endroits pour éviter que les pirates n’accèdent aux deux zones de stockage. N’oubliez pas d’effectuer des sauvegardes régulières.

8. Protégez votre connexion Internet derrière un pare-feu

Les pare-feu visent à empêcher tout accès non autorisé à partir d’un réseau privé. Vous pouvez paramétrer les règles de votre pare-feu pour lui indiquer ce qu’il peut laisser entrer, et ce qu’il doit bloquer. Un bon pare-feu doit surveiller les données entrantes et sortantes.

Instaurez une culture de la cybersécurité au travail

9. Mettez en place une Politique BYOD et Télétravail

Certaines entreprises permettent à leurs employés d’utiliser leurs téléphones portables personnels pour effectuer leur travail. Malgré les gains de productivité et d’efficacité pour les entreprises, ces nouveaux modes de travail fragilisent l’entreprise face aux risques d’attaques – les téléphones mobiles étant susceptibles d’être piratés et utilisés pour accéder au réseau de votre entreprise. Une politique BYOD sensibilise vos employés à l’utilisation des technologies mobiles et aux moyens de réduire les risques d’attaques.

10. Élaborez une stratégie d’intervention sur incident

La stratégie d’intervention sur incident permet à votre entreprise de conserver une longueur d’avance en cas d’attaque. Comme rien n’est jamais sûr à 100 %, mieux vaut avoir un plan au cas où vous seriez victime d’une cyberattaque. Un plan vous permet en cas d’attaque de réagir assez vite pour empêcher les pirates de s’emparer de données sensibles et d’alerter la presse ou vos clients si l’attaque devait prendre de l’ampleur. Vous devez également désigner la personne chargée de gérer le plan d’intervention.

11. Formation aux mots de passe pour les employés

Tous les employés doivent être formés à l’utilisation de mots de passe. Une telle formation visera par exemple les objectifs suivants :

  • Éviter que les employés notent leurs mots de passe (avec le risque qu’ils soient volés).
  • Éviter que les employés communiquent leurs mots de passe en ligne, sauf si la communication est chiffrée.
  • Demander aux employés de créer des mots de passe forts et les pousser à utiliser une solution de gestion des mots de passe pour entreprise.
  • S’assurer que les employés ne réutilisent pas les mêmes mots de passe sur plusieurs applications d’entreprise, ou pour des usages différents (personnel / professionnel).

12. Sensibilisez vos employés au « S » de HTTPs lorsqu’ils surfent sur le Web

Vos employés utiliseront ponctuellement le réseau informatique de l’entreprise pour consulter des sites Web ou s’inscrire à certains services, à titre personnel ou professionnel. Avant de soumettre la moindre information, ils devront rechercher systématiquement le cadenas et le préfixe HTTPS dans la barre d’adresse. Si le site n’est pas protégé, ils ne devront saisir aucune information.

Remarque : les employés devront également être formés sur les sites Web de hameçonnage (ou phishing) (voir le conseil N° 15 ci-dessous). Certains sites Web de hameçonnage ont par le passé utilisé des certificats SSL à validation de domaine (DV) pour rendre leurs sites plus « réels » et « crédibles ».

13. Activez la sécurisation des messages e-mail et mettez en place des formations pour réduire les risques d’attaques par hameçonnage

Les e-mails restent l’un des points faibles de la cybersécurité ; la perte et la violation de données, ainsi que les attaques par hameçonnage étant les deux plus grosses menaces. Nous vous invitons à chercher une solution de sécurisation de vos emails. Cette solution devra permettre de chiffrer les messages en transit et ceux déjà présents dans les clients de messagerie (at rest). Elle devra aussi permettre de vérifier l’origine du message pour que les employés puissent facilement identifier les e-mails usurpés afin de déjouer les pièges tendus par les hameçonneurs. La simplicité d’utilisation pour les utilisateurs finaux est un autre critère important à prendre en compte.

14. Encouragez votre direction à impulser une culture de la cybersécurité

Avec toutes les stratégies de changement menées à l’échelle de l’entreprise, les hauts dirigeants devraient être les premiers à accepter le changement. Si la direction montre qu’elle s’adapte au changement, le reste de l’entreprise suivra.

15. Simulez des attaques par hameçonnage pour maintenir le personnel en alerte – Privilégiez l’approche ludique pour booster l’engagement

Effectuez des simulations dans l’entreprise pour tester les connaissances de vos employés en matière de hameçonnage. Pour mesurer les progrès de vos employés, vous mettrez ces tests en place avant et après la formation.

Retrouvez la suite du résumé de nos conseils dans notre prochain blog !

Partager ce blog