4 conseils pour lutter contre la cyber-malveillance
Pour lutter contre le piratage informatique, les chefs d'entreprise de PME peuvent appliquer certaines bonnes pratiques. Explications.
Je m'abonne1. Sauvegarder vos données
Pour un dirigeant de PME, il est d'abord essentiel de sauvegarder l'ensemble des données de l'entreprise : "C'est le patrimoine informationnel d'une société", avance Adrienne Charmet, chargée de mission au sein du dispositif national d'assistance aux victimes de cyber-malveillance.
Pour ce faire, la sauvegarde doit être effectuée au sein d'un espace à la fois sécurisé et déconnecté. Une démarche permettant de pouvoir récupérer les données de la structure en cas de défaillance globale du système informatique. "Une sauvegarde doit permettre le redémarrage de l'entreprise en cas d'attaque", abonde l'experte.
L'enjeu n'est pas à négliger. Des petites et moyennes entreprises se trouvent parfois obligées de déposer le bilan, car elles n'ont pas enregistré leurs données. Que ce soient leurs carnets de commandes, leurs fichiers clients ou encore les données liées à la comptabilité.
Naturellement, il est aussi nécessaire d'utiliser un antivirus qui permet de filtrer les principales attaques connues. Pour protéger les ordinateurs (PC ou Mac) mais aussi les téléphones contre tout logiciel malveillant.
2. Mettre automatiquement à jour les ordinateurs
Il est important de mettre à jour les PC, ou Mac, de l'entreprise, afin d'obtenir une correction instantanée des failles de sécurité, connues par les constructeurs ou les éditeurs de logiciels. L'objectif ? La réparation immédiate: "la mise à jour sert notamment à appliquer des correctifs de sécurité, si on ne souhaite pas être victime d'une attaque qui exploite une faille", poursuit Adrienne Charmet.
À titre d'exemple, cette action corrective évite aux pirates de pouvoir s'introduire sur un site Internet pour réaliser du crypto minage ou d'utiliser la puissance de calcul d'un ordinateur ou d'un site web : "un logiciel comme WordPress, non mis à jour, peut permettre à des personnes mal intentionnées d'utiliser le site Internet d'une entreprise pour communiquer d'autres informations ou vendre des produits à leur insu", insiste la spécialiste.
En somme, appliquer immédiatement les mises à jour proposées par le système d'exploitation doit devenir un réflexe, même si la chose demeure chronophage. D'où l'importance d'être accompagné par un professionnel, si le dirigeant ne se sent pas en mesure de le faire soi-même.
Ce constat s'applique aussi aux tablettes et aux smartphones, encore plus vulnérables qu'un PC, notamment pour "des failles de sécurité permettant de voler des informations ou des contacts de l'entreprise", affirme Tanguy de Coatpont, dg de Kaspesky Lab France. Par ailleurs, l'expert affirme qu'il est très simple d'instaurer des mises à jour automatiques sur ce type d'appareils.
3. Sécuriser les mots de passe
"Il est important d'utiliser des mots de passe robustes, notamment pour ses messageries personnelles ou professionnelles", estime Adrienne Charmet. Un certain nombre d'applications ou de services demandent une réinitialisation des codes d'accès et adressent un mail sur la messagerie. Ce qui peut avoir de graves incidences : "un dirigeant dont la messagerie est piratée peut adresser des ordres malfaisants à l'ensemble de ses équipes", précise-t-elle.
Pour se prémunir des attaques potentielles de ce type, il est possible de recourir à un gestionnaire de mot de passe. Plusieurs sont disponibles sur le marché, gratuits ou payants. Ils offrent la possibilité de générer des identifiants complexes.
4. Impliquer l'ensemble du personnel
La lutte contre la cyber-malveillance englobe aussi des implications en termes de management : "46% des attaques informatiques ayant eu une incidence sur les petites sociétés, le sont du fait d'une négligence d'un salarié", affirme Tanguy de Coatpont.
D'où la nécessité d'informer en conséquence les employés de menaces potentielles. Leurs usages d'ordinateurs ou de smartphones conditionnent souvent l'exposition à une menace. De ce fait, une formation du personnel revêt un caractère indispensable.
Le dirigeant doit aussi ne pas être en reste, car il estime souvent, à tort, avoir de bonnes aptitudes et une bonne connaissance de l'informatique: "l'ensemble de l'entreprise doit être concernée, du dirigeant à l'assistante. Toutes les personnes ayant accès à de l'information", précise l'expert. De même, le chef d'entreprise possède souvent une mauvaise compréhension des risques, malgré son implication.
Dernier motif d'inquiétude : d'après les données de Kaspersky Lab, 32% des TPE et 14% des PME confient leur sécurisation informatique à du personnel interne ne possédant pas les compétences nécessaires.