Les PME sans service informatique interne rencontrent souvent des difficultés avec la sécurité informatique. C’est ce que montre un rapport du Centre national pour la cybersécurité (NCSC). Les mesures de sécurité les plus basiques sont trop souvent négligées ou oubliées.
La sécurité informatique est une tâche lourde et complexe. Peu de PME sont en mesure d’assurer elles-mêmes la gestion des systèmes avec toute la rigueur requise. Souvent, des mesures de sécurité essentielles ne sont pas prises en raison de simples oublis ou de malentendus.
Les petites entreprises sont souvent soutenues par un partenaire informatique externe. Elles s’attendent à ce que leur prestataire veille aussi à la sécurité informatique, mais ce n’est pas forcément le cas. Dans le cadre de cette collaboration, le responsable d’une PME se doit de connaître les tâches de son partenaire ainsi que les limites de la responsabilité de ce dernier.
Le présent guide expose aux responsables de PME les points à prendre en compte, la ma-nière de clarifier les responsabilités afin de couvrir tous les aspects relatifs à la sécurité.
Protection antivirus
L’utilisation d’un logiciel de sécurité (logiciel antivirus) est l’une des principales conditions préalables à un niveau élevé de protection du réseau et des données de l’entreprise.
Mais cela ne suffit pas. Les systèmes doivent être régulièrement vérifiés, les événements marquants doivent être interprétés et les erreurs détectées doivent être traitées. Certes, les outils de sécurité automatisés détectent de nombreuses anomalies, menaces et attaques. Ils ne sont toutefois pas toujours en mesure d’éliminer automatiquement toutes les menaces. L’installation d’un logiciel antivirus n’est donc pas une raison pour baisser la garde et laisser faire les choses. Le traitement des messages d’avertissement et la surveillance active sont les seuls moyens de sécuriser un système.
Sauvegarde des données
Des copies de sauvegarde (backups) doivent être créées pour toutes les données professionnelles et en cas de perte de données, il faut pouvoir y accéder de manière rapide et complète. La protection est uniquement garantie si une sauvegarde est déconnectée du réseau de l’entreprise et qu’elle est physiquement conservée dans un lieu externe. Par exemple, si vous stockez régulièrement vos données sur un disque dur externe et que vous le conservez ensuite dans un autre endroit que votre bureau, vous êtes sur la bonne voie.
Cette manière quelque peu désuète de faire des backups présente cependant un gros inconvénient: elle est très lourde et complexe. Personne ne veut faire cet effort tous les jours. Toutefois, sauvegar-der ses données une seule fois par semaine augmente le risque de perdre des données importantes. Sans oublier qu’une infection virale peut prendre des semaines à être détectée. Il est donc important de disposer de données sauvegardées sur des périodes plus longues.
Les backups locaux ou les sauvegardes de données manuelles ne suffisent donc pas pour une conservation sécurisée des données. Les sauvegardes automatisées dans le cloud fournissent le plus haut niveau de protection. Les backups via des services cloud ont l’avantage de ne pas nécessiter d’infrastructure informatique coûteuse et complexe.
Accès à distance
Les collaborateurs doivent aujourd’hui pouvoir accéder à tout moment aux données de l’entreprise et, si nécessaire, aux applications sur le réseau de l’entreprise. Il n’est donc pas pertinent de sauvegarder des fichiers en local sur votre propre ordinateur. Afin de garantir que les fichiers soient toujours disponibles pour tous les collaborateurs, ils doivent être stockés soit dans le cloud, soit sur un serveur propre qui est accessible de manière centralisée dans le réseau de l’entreprise. Il est alors primordial de s’assurer que l’accès depuis l’extérieur soit bien sécurisé. Un moyen simple et éprouvé est ce que l’on appelle l’authentification à deux facteurs: un mot de passe sécurisé offre certes une protection lors de la connexion au cloud; mais les keyloggers (un malware qui capture les saisies de mots de passe et les transmet au pirate informatique) sont utilisés pour craquer rapidement les mots de passe les plus sophistiqués. Une authentification à deux facteurs permet aux utilisateurs de mieux protéger leurs données car l’accès nécessite non seulement un mot de passe, mais aussi un code ou une clé supplémentaire. L’authentification à deux facteurs par smartphone est particulièrement répandue: un SMS sur le numéro de téléphone portable préalablement enregistré fournit un code supplémentaire que vous devez saisir dans le champ correspondant à chaque fois que vous vous connectez.
Le VPN pour une connexion sécurisée: de nombreux prestataires de services permettent une connexion via un VPN (réseau privé virtuel). Cette connexion via tunnel est beaucoup plus sûre que l’accès Internet normal via un navigateur.
Correctifs & mises à jour
L’ajout d’améliorations et le perfectionnement des logiciels (correctifs et mises à jour) sont des questions clés lorsqu’il s’agit de la sécurité de votre informatique car bon nombre de ces améliorations ultérieures du système d’exploitation ou des logiciels d’application normaux concernent des failles de sécurité. L’une des mesures les plus importantes pour être en sécurité est d’installer aussi rapidement que possible toutes les mises à jour de tous les logiciels.
Un correctif (ou patch) sert à rectifier une erreur dans le logiciel. Une mise à jour rectifie quant à elle plusieurs erreurs et peut également ajouter de nouvelles fonctions au logiciel.
Le plus important est le système d’exploitation. En raison de sa vaste utilisation, Windows est une cible appréciée par les pirates informatiques. Il est donc essentiel de toujours maintenir le système d’exploitation sur la dernière version disponible. Il est important de savoir que Microsoft ne fournit plus d’assistance ni de correctifs pour le système d’exploitation windows 7 depuis le 14 janvier 2020. Cela signifie que si une nouvelle faille de sécurité venait à être découverte, Microsoft n’agirait pas pour la corriger. Les voleurs de données s’en frottent les mains. La mise à niveau vers un nouveau système d’exploitation comprend toutefois quelques pièges. Il est possible que le vieux matériel ne soit plus entièrement pris en charge. Ce risque touche également les anciennes solutions logicielles métier. Assurez-vous également que vos périphériques (par exemple les imprimantes ou les webcams) soient régulièrement mis à jour.
Agissez sans tarder!
Identifiez les failles de sécurité dans votre infrastructure informatique et protégez votre PME contre les attaques et les pertes de données.