Cybersécurité : 3 conseils d’un hacker éthique pour protéger son entreprise

Face à la multiplication des cyberattaques à l’encontre des entreprises, Adrien Jeanneau, hacker éthique, partage trois conseils simples à appliquer pour protéger sa société d’actes de cybermalveillance.

  • 17 octobre 2022
  • Temps de lecture: 2-3 min
hacker
James Bond Skyfall

En 2021, plus d’une entreprise sur deux a déclaré avoir subi entre une et trois cyberattaques au cours de l’année, relate le baromètre annuel du CESIN (Le Club des Experts de la Sécurité de l'Information et du Numérique). Le phishing reste l’offensive majoritaire, bien que de nouvelles méthodes apparaissent comme le ransomware. Ce dernier consiste à utiliser un logiciel malveillant ou virus pour bloquer l’accès à l’ordinateur ou à ses fichiers et réclamer à la victime le paiement d’une rançon pour en obtenir de nouveau l’accès. Pour les entreprises, les conséquences peuvent être lourdes aussi bien sur le chiffre d’affaires, que sur l’image de marque. Adrien Jeanneau, Head of Programs’ Managers chez YesWeHack et hacker éthique, donne 3 conseils simples à appliquer pour se protéger des cyberattaques.

La cybersécurité commence par un mot de passe robuste d’au moins 12 caractères

Ça semble pourtant évident, mais pour bien se protéger, il faut avoir des mots de passe solides. Plus c’est long, mieux c’est. Si en plus, vous ajoutez des caractères spéciaux, vous maximisez vos chances de ne pas subir d’attaque. Pour s’en prémunir totalement, les experts en cybersécurité préconisent une longueur d’au moins douze caractères mélangeant minuscules, majuscules, chiffres et caractères spéciaux. Il est aussi déconseillé d’employer des noms propres ou communs. « Evidemment il faut utiliser un mot de passe différent pour chaque application. Car bien souvent, on observe du « credential stuffing ». Une fois que les attaquants ont trouvé une base de données, ils vont collecter des informations sur des utilisateurs comme des mots de passe et vont l’utiliser partout en se disant qu’il y a de fortes chances que l’utilisateur utilise le même mot de passe sur différentes applications. Ce qui peut entraîner de lourdes conséquences », explique Adrien Jeanneau. Il rajoute que des gestionnaires de mot de passe existent en ligne, pour en créer des robustes tout en les stockant de façon sécurisée.

La formation et la prévention permettent d’être vigilant

Si la règle pour vos mots de passe semble évidente, il est toujours bon de former ses équipes aux bonnes pratiques. « On a tous en tête qu’il y a de plus en plus d’attaques et qu’il faut faire attention, mais ça ne suffit pas. Il faut créer des habitudes d’usage », affirme Adrien Jeanneau. « Dès lors qu’on navigue sur Internet, il faut être vigilant ». L’expert indique qu’en cas de cyberattaques, le premier réflexe consiste à changer tous ses mots de passe et d’avertir le service informatique de son entreprise. « S’il n’y a pas de directeur des systèmes informatiques (DSI), prévenez la direction ». Vous pouvez également signaler l’attaque sur le site cybermalveillance.gouv.fr, le dispositif national d'assistance aux victimes d'actes de cybermalveillance, de prévention et sensibilisation aux risques numériques et d'observation de la menace.

Simulez des attaques et prévoyez un plan de reprise d’activités

La difficulté est de se rendre compte qu’on s’est fait attaquer. Parfois les attaquants résident déjà dans le système d’information depuis longtemps et attendent juste le bon moment. Il est important d’avoir préparé en amont un plan de reprise d’activités, « même pour une toute petite entreprise qui ne se sent pas particulièrement menacée », assure Adrien Jeanneau. « Cela consiste à prendre une photo à un instant T de l’entreprise, d’avoir une sauvegarde de côté et un ordinateur qui n’est pas connecté au système. » Il est également possible de s’entraîner, en condition réelle. « Vous pouvez réaliser des « pen test » (tests d’intrusions) et des audits de sécurité qui permettent de mettre en lumière des failles dans le système d’exploitation. Même si vous êtes équipés d’antivirus, si ça n’a jamais été testé en condition réelle on ne pourra pas savoir si ça marche vraiment », assure le hacker éthique, qui estime qu’en moyenne les entreprises devraient réaliser un audit de sécurité par an.  

Simon Tachdjian
Simon Tachdjian Rédacteur web