L’ANSSI publie un guide sur les bonnes pratiques de la cybersécurité

L’ANSSI publie un guide sur les bonnes pratiques de la cybersécurité

800 800 2SB - Distributeur à valeur ajoutée - Solutions de Cybersécurité

La Cybersécurité concerne autant les grandes entreprises que les PME ou les TPE.

La cybersécurité est un facteur de productivité, de compétitivité et donc de croissance pour les entreprises. Quelle que soit sa taille, une PME doit prendre conscience qu’elle peut être à tout moment confrontée à la cybercriminalité. Qu’il s’agisse, par exemple, de malveillances visant à la destruction de données ou d’espionnage économique et industriel, les consé- quences des attaques informatiques pour les entreprises, et plus particulièrement les TPE, sont généralement désastreuses et peuvent impacter leur pérennité.

Réalisé par le biais d’un partenariat entre l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) et la CGPME, ce guide a pour objectif d’informer sur les risques et les moyens de se prémunir en acquérant des réflexes simples pour sécuriser l’usage de l’informatique. Chaque règle ou « bonne pratique » est accompagnée d’un exemple inspiré de faits réels auxquels l’ANSSI a été confrontée.

Les bonnes pratiques

Choisir avec soin ses mots de passe dans le cadre de ses fonctions de comptable, Julien va régulièrement consulter l’état des comptes de son entreprise sur le site Internet mis à disposition par l’établissement bancaire. Par simplicité, il a choisi un mot de passe faible : 123456. Ce mot de passe a très facilement été reconstitué lors d’une attaque utilisant un outil automatisé : l’entreprise s’est fait voler 10 000 euros.

Mettre à jour régulièrement les logiciels Carole, administrateur* du système d’information d’une PME, ne met pas toujours à jour ses logiciels. Elle a ouvert par mégarde une pièce jointe piégée. Suite à cette erreur, des attaquants ont pu utiliser une vulnérabilité logicielle et ont pénétré son ordinateur pour espionner les activités de l’entreprise.

Bien connaître ses utilisateurs et ses prestataires Noémie naviguait sur Internet depuis un compte administrateur* de son entreprise. Elle a cliqué par inadvertance sur un lien conçu spécifiquement pour l’attirer vers une page web infectée. Un programme malveillant s’est alors installé automatiquement sur sa machine. L’attaquant a pu désactiver l’antivirus de l’ordinateur et avoir accès à l’ensemble des données de son service, y compris à la base de données de sa clientèle.

Effectuer des sauvegardes régulières Patrick, commerçant, a perdu la totalité de son fichier client suite à une panne d’ordinateur. Il n’avait pas effectué de copie de sauvegarde. Sécuriser l’accès Wi-Fi de votre entreprise La borne d’accès à Internet (box) de la boutique de Julie est configurée pour utiliser le chiffrement* WEP. Sans que Julie ne s’en aperçoive, un voisin a réussi en moins de deux minutes, à l’aide d’un logiciel, à déchiffrer la clé de connexion. Il a utilisé ce point d’accès Wi-Fi pour participer à une attaque contre un site Internet gouvernemental. Désormais, Julie est mise en cause dans l’enquête de police Être aussi prudent avec son ordiphone (smartphone) ou sa tablette qu’avec son ordinateur Arthur possède un ordiphone qu’il utilise à titre personnel comme professionnel. Lors de l’installation d’une application, il n’a pas désactivé l’accès de l’application à ses données personnelles. Désormais, l’éditeur de l’application peut accéder à tous les SMS présents sur son téléphone. Protéger ses données lors de ses déplacements Dans un aéroport, Charles sympathise avec un voyageur prétendant avoir des connaissances en commun. Lorsque celui-ci lui demande s’il peut utiliser son ordinateur pour recharger son ordiphone, Charles ne se méfie pas. L’inconnu en a profité pour exfiltrer les données concernant la mission professionnelle très confidentielle de Charles. Être prudent lors de l’utilisation de sa messagerie Suite à la réception d’un courriel semblant provenir d’un de ses collègues, Jean-Louis a cliqué sur un lien présent dans le message. Ce lien était piégé. Sans que Jean-Louis le sache, son ordinateur est désormais utilisé pour envoyer des courriels malveillants diffusant des images pédopornographiques. Télécharger ses programmes sur les sites officiels des éditeurs Emma, voulant se protéger des logiciels espions (spyware), a téléchargé un logiciel spécialisé proposé par son moteur de recherche. Sans le savoir, elle a installé un cheval de Troie Être vigilant lors d’un paiement sur Internet Céline a acheté sur Internet des fournitures de bureau pour son entreprise sans vérifier l’état de sécurité du site de commerce en ligne. Ce dernier n’était pas sécurisé. Des attaquants ont intercepté le numéro de carte bancaire de l’entreprise et ont soutiré 1 000 euros. Séparer les usages personnels des usages professionnels Paul rapporte souvent du travail chez lui le soir. Sans qu’il s’en aperçoive son ordinateur personnel a été attaqué. Grâce aux informations qu’il contenait, l’attaquant a pu pénétrer le réseau interne de l’entreprise de Paul. Des informations sensibles ont été volées puis revendues à la concurrence. Prendre soin de ses informations personnelles, professionnelles et de son identité numérique Alain reçoit un courriel lui proposant de participer à un concours pour gagner un ordinateur portable. Pour ce faire, il doit transmettre son adresse électronique. Finalement, Alain n’a pas gagné mais reçoit désormais de nombreux courriels non désirés.