Notez que l’enjeu est bien plus important que cette simple journée dédiée à la cybersécurité, durant laquelle vous passerez certainement 24 heures à prendre la sécurité au sérieux pour, en fin de compte, reprendre vos mauvaises habitudes dès le lendemain.
Comme le dit le vieil adage, “la cybersécurité est un voyage, pas une destination“, et c’est pourquoi cette journée spéciale appelée Safer Internet Day existe : en effet, il s’agit d’améliorer notre cybersécurité, peu importe que vous ayez l’impression d’être déjà suffisamment protégé ou d’en avoir déjà assez fait en matière de sécurité.
Voici donc cinq conseils que vous pouvez mettre en œuvre dans votre entreprise, quelle que soit sa taille, pour vous aider, vous ainsi que vos collègues, à toujours garder une longueur d’avance sur les cybercriminels.
1. PATCHEZ TÔT, PATCHEZ SOUVENT
Nous avons déjà gagné une partie de cette bataille, car la plupart des entreprises installent aujourd’hui les correctifs de sécurité.
Du moins, ils finissent à un moment donné par les installer. En effet, il existe encore de nombreuses entreprises qui prennent beaucoup de temps pour le faire, reportant l’installation de ces mises à jour de plusieurs semaines, voire de plusieurs mois, “juste au cas où un problème serait présent dans l’une d’entre elles”.
Le problème est qu’une fois que les cybercriminels ont connaissance des nouvelles failles de sécurité, ils ne tardent pas à les utiliser. Ainsi, plus vous tardez, plus votre entreprise deviendra vulnérable. Apprenez plutôt à tester les mises à jour rapidement, vous pouvez commencer avec un ordinateur et observer ce qui se passe à partir de là, tout en ayant une solution de secours pour revenir en arrière dans le cas rare où un incident aurait lieu.
2. SACHEZ CE QUE VOUS POSSÉDEZ RÉELLEMENT
Que vous l’appeliez un registre d’actifs, un inventaire informatique ou qu’il s’agisse simplement d’une liste à l’ancienne d’ordinateurs et de logiciels que vous utilisez, faites un effort pour savoir tout ce qui se trouve sur votre réseau, et ce même si vous êtes une petite entreprise où tout le monde a choisi le télétravail.
C’est bien de pouvoir dire enfin : “Nous avons 10 ordinateurs portables et je les ai tous mis à niveau de Windows 7 vers Windows 10″. Mais c’est encore mieux de pouvoir dire : “J’ai trouvé un vieil ordinateur XP dans le magasin que tout le monde avait oublié, et je l’ai mis à niveau aussi”.
Les cybercriminels recherchent de vieux ordinateurs délaissés et non corrigés, car ils savent qu’ils pourraient facilement donner un accès à des éléments beaucoup plus sensibles.
3. METTEZ EN PLACE UNE HOTLINE CYBERSÉCURITÉ
Même les plus petites entreprises peuvent le faire : à savoir faire en sorte que les utilisateurs puissent facilement signaler d’éventuels incidents ou évènements suspects. Vous n’avez pas besoin d’un numéro de téléphone dédié ou d’un centre d’appels, une adresse email facile à retenir est tout ce dont vous avez besoin.
Si vos utilisateurs n’ont aucun moyen pour faire remonter d’éventuels signes précurseurs concernant les activités cybercriminelles les plus courantes telles que des emails douteux, des appels téléphoniques suspects ou des pièces jointes non sollicitées, alors la seule chose dont vous pouvez être sûr c’est que vous n’obtiendrez jamais d’alerte en amont qui pourrait protéger votre entreprise.
N’oubliez pas que les cybercriminels échouent souvent à leur première tentative, c’est pourquoi ils envoient généralement des emails de phishing à de nombreux destinataires différents, ou appellent tous les numéros de téléphone de l’entreprise qu’ils peuvent trouver jusqu’à ce qu’une personne fasse une erreur en ayant la mauvaise parole ou le mauvais comportement. Faites en sorte que cette première personne puisse donner l’alerte facilement et protéger ainsi l’ensemble de l’entreprise.
4. REVOYEZ VOTRE STRATÉGIE DE SAUVEGARDE
Comme pour les correctifs, c’est une bataille que nous avons gagnée en partie : de nombreuses entreprises savent que les sauvegardes sont importantes et font au moins un effort pour conserver des copies secondaires de leurs données vitales. Mais faites très attention à ne pas perdre de temps à faire des sauvegardes qui ne vous seront d’aucune utilité.
Il est facile de se reposer entièrement sur des sauvegardes en temps réel où les fichiers sont automatiquement copiés “en live” sur des partages réseau ou sur le Cloud après chaque modification. Mais les cybercriminels actuels prennent souvent le temps de rechercher et de détruire vos sauvegardes en ligne avant de lancer leurs attaques.
Assurez-vous donc que votre stratégie prévoit également des sauvegardes que vous conservez hors ligne et hors site, même si la solution est aussi simple qu’un lecteur amovible chiffré et conservé à la maison. Les sauvegardes ne sont pas seulement là pour vous protéger contre les attaques de ransomwares, elles concernent également la reprise après sinistre (disaster recovery) si vous ne pouvez pas du tout avoir accès à vos bureaux/locaux professionnels, par exemple à cause d’un incendie ou d’une inondation.
5. ADOPTEZ UNE STRATÉGIE DE MOTS DE PASSE APPROPRIÉE
Nous avons gardé ce conseil pour la fin, parce que beaucoup de gens semblent s’offusquer si nous leur présentons en premier, principalement parce que ce conseil semble si ancien et évident qu’ils sont fatigués de l’entendre.
Mais nous le gardons tout de même dans notre liste !
N’oubliez pas qu’une “stratégie appropriée” en matière de mots de passe ne signifie pas seulement de ne pas choisir le nom de votre chat par exemple. Dans une entreprise, cette stratégie signifie également de savoir qui est censé avoir accès à quoi; en révoquant par exemple rapidement les accès aux comptes lorsque les employés quittent l’entreprise; et en encourageant vos employés à vous signaler (voir point 3 !) si leurs mots de passe leur permettent d’accéder à des informations sensibles auxquelles ils ne devraient pas avoir accès, afin que vous puissiez réduire le risque d’une potentielle violation de données.
Renforcer toujours plus votre cybersécurité
Il se peut que vous appliquiez déjà la plupart ou la totalité de ces conseils, mais pourquoi ne pas prendre cette journée ‘Safer Internet Day’ comme un prétexte pour revoir votre attitude en matière de cybersécurité au travail … et voir si vous ne pouvez pas la renforcer encore davantage !
Dernier podcast Sophos-Naked Security
Billet inspiré de 5 tips for businesses on Safer Internet Day, sur Sophos nakedsecurity.