Les menaces informatiques évoluent très vite et certaines recommandations en cybersécurité sont aujourd’hui obsolètes ou insuffisantes.
En matière de cybersécurité, impossible de se reposer sur ses lauriers. L’évolution des technologies et des méthodes des hackers fait sans cesse se développer les menaces tandis que des changements de pratiques peuvent faire naître de nouveaux risques. Il est donc nécessaire d’actualiser régulièrement ses connaissances et d’adapter les méthodes et outils de prévention. Certains conseils valables il y a quelques années peuvent aujourd’hui être insuffisants pour se prémunir des attaques.
Choisir un mot de passe de 8 caractères
Il y a quelques années un mot de passe long de 8 caractères, mêlant de manière aléatoire des lettres majuscules et minuscules, des chiffres, des caractères spéciaux pouvait sembler suffisamment robuste. « Aujourd’hui, on parle plutôt de 12 ou 16 caractères », prévient Violaine Savant-Ros, expert-comptable chez ACG, membre de France Défi. Car les hackers peuvent tester très rapidement un très grand nombre de possibilités. Il importe en outre de se doter d’un mot de passe différent pour chaque usage et de le mettre à jour régulièrement et pas seulement en modifiant un caractère.
De quoi atteindre les limites des capacités de la mémoire humaine. « Il peut être utile d’implémenter des outils comme les gestionnaires de mot de passe », recommande l’expert-comptable. Ces-derniers génèrent et stockent les mots de passe de l’utilisateur qui n’a plus à retenir que le code permettant d’accéder à son gestionnaire. « On peut aussi mettre en place un système d’identification à double facteur », poursuit la spécialiste. Il s’agit alors de sécuriser l’accès à un outil ou une application en couplant l’utilisation d’un mot de passe à une autre forme d’authentification, via un code reçu par sms, ou de la reconnaissance faciale par exemple.
Former ses collaborateurs à la cybersécurité
Si la formation des collaborateurs est clef en matière de cybersécurité, il importe non seulement de les sensibiliser aux menaces, mais de le faire régulièrement et sous différentes formes y compris « pratiques ». « De la même manière que les écoles organisent parfois des exercices d’alerte incendie, des prestataires peuvent organiser pour l’entreprise de fausses campagnes de phishing. Cela permet de voir comment les gens réagissent et de débriefer ensuite pour voir ce qui pèche », illustre Violaine Savant-Ros.
De même, si presque toutes les entreprises ont aujourd’hui mis en place des systèmes de sauvegarde, « il peut être utile de s’assurer régulièrement qu’elle fonctionne et de faire tester le plan de reprise par les équipes », souligne-t-elle. Lorsque l’entreprise est dotée d’une charte informatique, il faut également prévoir de la faire évoluer pour tenir compte des nouveaux usages.
Se méfier des pièces jointes de mails d’expéditeur inconnu
Ne pas cliquer sur un lien ou ouvrir la pièce jointe dans un mail émanant d’une adresse suspecte ou d’un expéditeur inconnu. La règle est toujours valable, mais les progrès des méthodes des hackers nécessitent aujourd’hui d’être bien plus méfiant.
On constate aujourd’hui des attaques avec une usurpation complète d’identité.
Ainsi, dans la fraude au faux virement, ou fraude au président, un collaborateur peut recevoir un mail de l’adresse du dirigeant de l’entreprise, lui demandant, avec des formulations proches de celles que celui-ci utilise habituellement, de procéder à un virement urgent. Plus que l’expéditeur, c’est ici le contenu de la demande qui doit alerter le collaborateur. « En cas de soupçon, il faut vérifier l’information par un autre canal que le mail », conseille Violaine Savant-Ros.
Un parefeu et un antivirus pour sécuriser le réseau de l’entreprise
S’agissant des outils à mettre en place dans l’entreprise, il est aujourd’hui nécessaire d’aller plus loin pour protéger son système informatique. Avec la généralisation du télétravail, il est courant que des collaborateurs se connectent à distance, via des réseaux ou des appareils pas forcément sécurisés. « Historiquement les parefeux et antivirus permettaient de sécuriser le réseau propre de l’entreprise, aujourd’hui il faut faire évoluer les outils pour ne pas protéger uniquement le serveur local mais tous les accès et avoir plusieurs couches de défense », explique Violaine-Savant-Ros. On peut par exemple recourir à un virtual private network (VPN) pour sécuriser les connexions et équiper correctement ses collaborateurs si on souhaite les empêcher d’utiliser leurs téléphones et ordinateurs personnels.
Pour s’assurer de connaître les bonnes pratiques du moment, le site de l’Agence Nationale de la sécurité des systèmes d’information regorge d’informations. Elle vient de mettre à jour son guide de la cybersécurité à destination des TPE/PME.