Ep.013 – 5 astuces de cybersécurité en entreprise et à la maison

CybersécuritéPodcasts

Avez-vous des bases de données où vous conservez des informations concernant d’autres personnes ? Autorisez-vous le télétravail, les travailleurs itinérants, les fournisseurs, les contractuels, et d’autres encore à se connecter à distance ?

2 factor authentification

Acceptez-vous les paiements, par carte de crédit ou bien encore via les équipements NFC (Near Field Communication) ou Paiement Sans Contact ? Effectuez-vous des paiements à partir de votre propre connexion internet ?

Conservez-vous d’importantes données professionnelles ou personnelles, telles que vos déclarations d’impôt, factures, reçus, bulletins de paie, … sur votre ordinateur ?

Avez-vous un compte de messagerie, ou bien un site web, un blog, des activités sur les réseaux sociaux sur lesquels vous faites la promotion de votre entreprise, ou bien simplement échangez avec des amis ?

Il faut reconnaître que cela fait beaucoup de questions, cependant que vous soyez une PME, un travailleur indépendant, ou bien juste un particulier, il y a des chances pour qu’au moins une de ces questions vous concerne, si ce n’est toutes !

Il se peut aussi que vous soyez votre propre responsable informatique, ce qui ne vous laisse pas beaucoup de temps libre pour vous investir régulièrement dans l’informatique en général, et encore moins pour faire les bons choix en matière de sécurité informatique en entreprise.

Sophos vous aide, avec 5 astuces pour améliorer la sécurité informatique

en entreprise et sur internet.

1. Diviser et vaincre

mots de passeLe pare-feu ne concerne plus uniquement “votre réseau” et “internet”. Pourquoi garder votre caisse enregistreuse sur le même réseau que votre développeur web ? Pourquoi votre comptable est sur le même réseau que celui que vous utilisez pour les réseaux sociaux, et ainsi de suite, …

Si un hacker s’empare de votre réseau, sur lequel votre développeur web travaille, vous risquez de perdre toute votre propriété intellectuelle, par exemple. Pourquoi leur faciliter l’accès à vos comptes en ligne, où ils pourront voler les de vos clients ?

Pour améliorer la sécurité informatique en entreprise, l’installation de pare-feux modernes n’est pas si difficile, et si vous achetez un produit comme Sophos, avec une licence utilisateur, vous pourrez ajouter autant de pare-feux que vous désirez au sein de votre réseau, sans avoir à payer de licences additionnelles.

2. Installer les patches rapidement et souvent

Les toutes nouvelles vulnérabilités et autres exploits font, régulièrement, la une de l’actualité sécurité.

Comme vous ne pouvez pas installer un patch à l’avance, ces vulnérabilités sont connues sous le nom de «zero-days». Par contre si vous vous inquiétez au sujet de toutes nouvelles attaques, émanant de pirates surdoués, vous devriez vous soucier également d’attaques automatisées et ciblant d’anciennes failles, bien connues et surtout faciles à exploiter.

Le problème avec les anciens exploits est que les pirates ont eu le temps de peaufiner le code utilisé pour lancer leurs attaques, de telle sorte qu’ils réussiront toujours à pénétrer dans votre système, si vous n’avez installé aucun patch. En d’autres mots, un exploit zero-day, aura 1% de chance de fonctionner sur un système non patché, alors qu’un ancien exploit connu, aura quant à lui 100% de chance de fonctionner sur un système non patché. Vous devenez alors une cible facile à atteindre, et pas seulement par les pirates expérimentés, mais également par un public de hackers beaucoup plus large.

La sécurité informatique en entreprise est fragilisée par les utilisateurs qui, en général, remettent à plus tard l’installation des patches, par soucis de temps, ou bien par peur d’une mauvaise manipulation. Le problème est que plus longtemps vous attendez, plus difficile sera l’opération de nettoyage, et au final les potentiels dégâts causés par des hackers, qui auront réussit à pénétrer dans votre système, seront bien plus importants que ceux hypothétiquement générés par une mauvaise manipulation.

3. Améliorer l’efficacité de votre login et utiliser le 2FA

2 factor authentificationÉtablissez une checklist, que vous utiliserez avant de donner à quelqu’un l’autorisation d’accéder à votre réseau à distance. Rappelez-vous que la confiance n’est malheureusement pas suffisante : vous devez faire aussi confiance aux ordinateurs. En effet, un PC infecté par des malwares et qui se connecte sur votre réseau, laisse tout simplement rentrer les cybercriminels par la même occasion.

Pour améliorer la sécurité informatique en entreprise, dans son sens le plus étendu, pensez à demander à vos utilisateurs à distance de se munir du . Le coût est sensiblement plus élevé, et le processus de connexion est un peu plus fastidieux. Cependant, le 2FA vous protège de potentielles attaques aux conséquences dramatiques, telles que celles qui peuvent être menées lorsque l’on a dérobé (ou deviné, ou encore acheté) l’un de vos mots de passe utilisateur, afin d’en faire usage par la suite, à sa guise, pour piller intégralement votre réseau.

4. Prenez en compte les avertissements et consultez vos logs

Ne collectez pas votre historique juste pour regarder en arrière, et vous plaindre des dégâts causés après l’apparition d’une faille.

Si l’historique de votre outil de vérification de patches, essaie de vous alerter sur l’un de vos commerciaux, basé à Kuala Lumpur, qui n’a installé aucun patch Microsoft Word depuis 3 mois, agissez au plus vite !

Si vous ne faites rien, un hacker risque quant à lui d’agir, car il n’a pas besoin de savoir au préalable que vous avez une faille dans votre système. En réalité, il a juste besoin d’essayer inlassablement de rentrer au sein de votre réseau, et il saura que vous avez une faille car il réussira à pénétrer votre système.

5. Utiliser le cryptage partout, pas seulement quand la loi exige !

Sophos EncryptionLes législateurs deviennent de plus en plus strictes au sujet du cryptage des données sensibles, à un tel point qu’une cour d’appel américaine à décréter que ne pas protéger les données de ses clients était une pratique commerciale déloyale.

Néanmoins, beaucoup de petites entreprises, considèrent le cryptage comme un coût inévitable pour des raisons de conformité, plutôt qu’un investissement qui aide à pérenniser l’activité de l’entreprise. De la même manière, les particuliers souvent évitent d’utiliser le cryptage car ils ont entendu dire que ce dernier pouvait ralentir l’ordinateur ou bien causer des problèmes de compatibilité.

Pourtant, utilisé de manière systématique, le cryptage vous fournit une couche de protection supplémentaire contre, les hackers, les curieux, le vol de la propriété intellectuelle, ou n’importe quel acte cybercriminel. Il est indispensable pour une sécurité informatique en entreprise efficace.

En conclusion

Aucune entreprise n’est à l’abri de la perte ou du vol de données, quel que soit sa taille, sa localisation ou encore son secteur d’activité.

Mettez ses astuces en pratique, et vous expérimenterez une défense efficace et robuste.

Si vous forcez les hackers à traverser plusieurs obstacles avant de pouvoir pénétrer dans votre réseau…

…ils devront alors les franchir un par un, alors qu’il vous suffit de les bloquer à plusieurs endroits simultanément, pour pencher la balance de la sécurité de votre côté.

Si vous voulez rester informé des dernières astuces ou mises à jour, en matière de sécurité informatique en entreprise notamment, vous pouvez vous inscrire à notre newsletter, nous suivre sur Facebook et Twitter.


Billet inspiré de : “5 security tips for businesses (and everyone else!)” par Paul Ducklin de Naked Security

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.