Cybersécurité : un guide pour les TPE/PME
Les mauvaises pratiques et un trop faible niveau de protection technique rendent les TPE/PME vulnérables aux cyberattaques.
Contrairement aux grandes entreprises, les TPE/PME ne sont pas toujours en mesure d’investir des compétences et de l’argent dans la sécurité de leurs solutions informatiques. Ainsi, selon un récent sondage réalisé par Ipsos pour le compte de Navista en septembre dernier, 50 % des 300 PME interrogées ne se protègent pas contre les actes de malveillance. Pire, 90 % d’entre elles (PME de 1 à 99 salariés) autorisent l’accès Internet à des sites potentiellement dangereux et 70 % échangent des documents avec leurs clients sans mettre en place de mesures de confidentialité. Pourtant, selon la même étude, neuf PME sur dix ont conscience des risques courus.
Fortes de ce constat, la CGPME et l’Agence nationale de la sécurité des systèmes informatiques (Anssi) viennent de publier un guide, téléchargeable gratuitement ( www.ssi.gouv.fr ), qui présente quelques principes simples et de bon sens permettant aux petites structures de prévenir et de limiter, à peu de frais, les conséquences d’une attaque informatique.
Pédagogique, ce guide de 44 pages invite les TPE/PME à respecter 12 règles. Chacune d’elle est illustrée par un cas réel anonymisé qui permet de prendre conscience des risques courus. Les « bonnes pratiques » mises en lumière dans ce guide sont sommairement contextualisées puis détaillées sous la forme d’une liste de recommandations simples et précises.
1 | Choisir avec soin son mot de passe |
2 | Mettre à jour régulièrement ses logiciels |
3 | Contrôler l’attribution des droits d’utilisation des machines (droits d’utilisation et droits d’administration) |
4 | Effectuer des sauvegardes régulières des données |
5 | Sécuriser l’accès au réseau wi-fi interne de l’entreprise |
6 | Etre aussi prudent avec son smartphone qu’avec son ordinateur |
7 | Protéger les données stockées sur un portable (chiffrement, sauvegarde) lors d’un déplacement |
8 | Etre très prudent dans la gestion de ses courriels (phishing, malwares...) |
9 | Ne télécharger des logiciels que sur des sites de confiance |
10 | Etre vigilant lors d’un paiement sur Internet (vérification de la sécurité du site) |
11 | Séparer les usages personnels des usages professionnels |
12 | Protéger son identité numérique (éviter de communiquer ses coordonnées à tous les sites...) |
Outre la mise en œuvre de ces 12 règles « d’hygiène informatique », les rédacteurs de ce guide convient les dirigeants de TPE/PME à renforcer la politique de sécurité de leur équipement en confiant, par exemple, à un collaborateur la responsabilité de son application.
À charge pour lui de sensibiliser ses collègues, notamment en rédigeant une charte informatique présentant les bonnes pratiques, de veiller au bon équipement des machines (pare-feu, antivirus…) ou encore de surveiller les flux de données pour détecter plus facilement les éventuelles intrusions.
Enfin, en cas d’incident, les auteurs du guide proposent aux entreprises de suivre une liste de recommandations pour, notamment, limiter les conséquences de l’attaque. Cela va de l’indispensable déconnexion des réseaux de la machine infectée au formatage de cette dernière (avant réinstallation des logiciels) en passant par l’analyse de tous les ordinateurs de l’entreprise et l’éventuel dépôt de plainte.