Cybersécurité, comment se protéger ?
- Temps de lecture: 2 min
TPE/PME : les bonnes pratiques pour se prémunir des cyberattaques
Difficile de passer à côté du sujet de la cybersécurité tant la pression est croissante face au nombre d’attaques. Difficile également, pour les TPE et PME, de trouver les compétences et les moyens de s’en protéger. D’autant que les vrais risques qui planent sur les petites entreprises ne sont pas forcément ceux auxquels on s’attend.
Manque de temps, de compétences, de moyens financiers : autant de raisons pour lesquelles les entreprises de moins de 20 salariés se sentent peu concernées par les enjeux de cybersécurité. Sans oublier le sentiment d’être trop petit pour être vraiment impliqué. « Or ce sont justement ces entreprises qui sont les plus exposées, sans en avoir conscience. Le premier risque cyber est en effet méconnu : il s’agit du risque de non-conformité légale », explique Christophe Mansincal. Ancien directeur de la R&D de SFR, il a fondé ÉHO.Link, une société dédiée à la cybersécurité des PME et TPE. « Une entreprise doit se doter d’une charte informatique si elle est amenée à traiter les données personnelles de ses salariés. Elle est indispensable en matière de sécurité informatique. Mais combien d’entreprises le font ? » Pourtant, cette charte sert à encadrer les usages informatiques, définir les droits et les devoirs de chacun et sensibiliser les salariés aux risques cyber. « En cas d’attaque pour manquement devant un tribunal, les sanctions financières peuvent être majeures et conduire l’entreprise à la faillite. » Voilà pourquoi, avant toute installation de solution de cybersécurité au sein d’une entreprise, ÉHO.Link s’assure d’y mettre en place une charte informatique.
« Monitorer l’activité digitale est un enjeu de cybersécurité majeur »
Du côté des cyberattaques, là encore, le manque de connaissances techniques dessert les petites entreprises. « Beaucoup pensent bien faire en installant un firewall, qui protège lors de la navigation sur internet. Toutefois, utiliser un firewall qui n’est pas couplé aux technologies IDS (détection des intrusions) et IPS (prévention des intrusions), qui permettent de surveiller tous les ports ouverts sur internet, c’est comme utiliser une raquette de tennis sans cordage », avertit Christophe Mansincal.
A ces solutions techniques doivent être couplées de bonnes pratiques de prévention au quotidien. « Il faut faire ce que l’on nomme de la prédictivité, c’est-à-dire s’assurer que tous les logiciels sont bien à jour, car les dernières failles de sécurité identifiées sont ainsi résolues. » Autre point important, être informé des dernières typologies d’attaques menées par les hackers. En ce moment, c’est le social engineering qui explose. « Le hackeur appelle les assistants de direction en se faisant passer pour l’agence nationale de la sécurité des systèmes d'information (ANSSI). Il explique que le directeur de l’entreprise, en ce moment sur la route, les a contactés car il a été victime d’une cyberattaque, que l’ANSSI va intervenir et envoyer un mail avec un code que l’assistant doit taper. Et voilà comment l’assistant donne, volontairement, une entrée au hacker dans le système informatique de l’entreprise. Vous n’imaginez pas à quel point cette arnaque fonctionne, pour peu que le directeur soit en effet sur la route au moment où le malfaiteur appelle. »
Enfin, adopter une solution de cybersécurité peut aussi être l’occasion de bénéficier de services annexes destinés à créer un environnement de navigation web plus sûr et vertueux pour les salariés. Par exemple, la restriction d’accès à certains sites ou une politique de navigation privée. « Monitorer l’activité digitale est primordial car celle-ci aussi représente un enjeu de cybersécurité majeur », conclut Christophe Mansincal.
