Cybersécurité dans les TPE PME, comment vous protéger efficacement ?

Business
image
Publié le 30 mars 2019

92% des entreprises en France, tous secteurs confondus, ont subi une ou plusieurs attaques informatiques au cours de l’année 2018. Ce chiffre inclut 21% des petites et moyennes entreprises, soit un PME sur cinq. Si auparavant, les cyberattaques concernaient surtout les grandes enseignes, les TPE-PME ne sont donc plus à l’abri de la cyber-malveillance aujourd’hui.  […]

92% des entreprises en France, tous secteurs confondus, ont subi une ou plusieurs attaques informatiques au cours de l’année 2018. Ce chiffre inclut 21% des petites et moyennes entreprises, soit un PME sur cinq. Si auparavant, les cyberattaques concernaient surtout les grandes enseignes, les TPE-PME ne sont donc plus à l’abri de la cyber-malveillance aujourd’hui.  Les sabotages de site, les vols de données, les ransomware et autres formes de piratage ont coûté entre -10000 à +100000 euros aux TPE-PME. La sécurité informatique devrait ainsi être une préoccupation majeure pour ces entreprises, encore plus depuis l’entrée en vigueur du nouveau Règlement Général Européen sur la Protection des Données  ou RGPD en mai 2018.

TPE-PME : pourquoi assurer votre cyber-défense ?

Les menaces informatiques pour les petites et moyennes entreprises prennent de nombreuses formes : e-mails frauduleux, rançongiciels, piratage de réseaux et de bornes wifi, escroqueries financières… Les cybercriminels peuvent alors détruire ou divulguer les informations confidentielles de votre entreprise, ternir la réputation, faire baisser les chiffres d’affaires ou vous extorquer de l’argent pour restituer les données piratées. Une cyberattaque est susceptible d’engendrer d’énormes pertes financières et d’altérer votre crédibilité aux yeux de vos partenaires et clients. Il est même possible que vous mettiez les clés sous la porte. Malgré tout, la sécurité numérique devrait être une priorité pour les petites et moyennes entreprises qui ont tendance à sous-estimer les risques et sont frileuses pour souscrire à une assurance contre la  cyberattaque ou à renforcer leur système informatique pour mieux protéger des données privées et professionnelles ou . Heureusement, il existe des solutions pour assurer la sécurité des systèmes d’information et la protection des fichiers clientèle de votre entreprise avec un petit budget.

Quelles solutions pour se protéger des cyberattaques ?

Il est clair que les offres basiques des anti-virus ne suffisent pas pour prévenir les attaques de données et garantir la sécurité des outils informatiques de votre TPE ou PME. Vous pouvez toutefois vous préparer pour limiter les risques et éviter les impacts négatifs sur votre activité. Cela requiert l’implication de l’ensemble des acteurs de l’entreprise car souvent, l’humain est le maillon faible de la cybersécurité. La moindre erreur ou une petite imprudence d’un collaborateur peut ouvrir une brèche qui permettrait aux hackers ou cybercriminels de pénétrer dans votre système informatique et pirater vos données. Quelques actions préconisées  : mettre en place des règles informatiques strictes, toujours effectuer  les mises à jour requises de votre système, sécuriser les réseaux et le plan de sauvegarde de vos données dans un Cloud.

Former les utilisateurs aux précautions d’usage

Former en continu l’ensemble des salariés aux bonnes pratiques de la cybersécurité en entreprise permettra de réduire les risques humains. Il s’agit en l’occurrence de les sensibiliser aux précautions d’usage : toujours vérifier l’origine des équipements amovibles externes et des pièces jointes ; utiliser des boites mails sécurisées, se montrer prudent avec une connexion sur un réseau wifi public ; utiliser des mots de passe complexes; se déconnecter d’un bluetooth après utilisation ; garder le minimum de données dans son équipement informatique… C’est toujours préférable de mettre en place des règles de confidentialité des informations propres à l’entreprise pour que chaque collaborateur sache exactement comment agir pour prévenir ou détecter les attaques informatiques et réagir en urgence face à une intrusion informatique. Ces formations sont à effectuer à une fréquence régulière.

Bien gérer l’accès aux informations

Pour accéder aux informations sensibles de l’entreprise, l’attribution de mots de passe aux collaborateurs est déjà une pratique courante. Là où il faut faire preuve de prudence, c’est dans le choix de ces mots de passe. Les experts conseillent d’utiliser une combinaison d’au moins 12 caractères incluant des majuscules, des minuscules, des chiffres et des caractères spéciaux. Outre les règles concernant la création, il faut aussi gérer leur changement. Vous pouvez par exemple exiger que les collaborateurs changent de mots de passe tous les six mois. Ils doivent garder ces derniers confidentiels et ne pas les laisser trainer sur un post-it ou un support que tout le monde peut voir. Limiter les accès administrateurs peut être aussi plus judicieux.

Protéger votre réseau

Tout votre parc informatique a besoin de protection pour sécuriser au mieux vos données sensibles. Les logiciels anti-virus performants sont les premières barrières à utiliser pour éviter l’infection informatique par des virus et les chevaux de Troie. Au-delà des protections de base, contre les logiciels malveillants ou malware,il convient d’activer l’option antispam pour éviter les pièges des e-mails d’hameçonnage. Les cybercriminels se servent souvent de mails infectés pour voler les données et demander des rançons. L’antispam filtre automatiquement ces mails. Ainsi, vos outils informatiques sont parés contre les éventuels piratages. Mettre à jour ces logiciels est également indispensable pour offrir un maximum de protection à vos données. Grâce à la protection antivirus et l’antispam, vous limitez les risques d’intrusion. 26

Utiliser d’autres dispositifs efficaces

Les hackers utilisent aujourd’hui des outils de plus en plus sophistiqués pour pirater les systèmes informatiques des entreprises. Il est alors important de choisir les bons outils pour déjouer ces attaques ou du moins réduire les conséquences sur votre business. Pour ce faire, vous pouvez aussi vous équiper de pare-feux nouvelle génération ou NGFW dont les rôles sont de détecter les menaces, gérer le trafic internet, bloquer et protéger contre les logiciels malware et ramsomware… Vous pouvez aussi utiliser des Proxy, intermédiaire entre votre navigateur web et Internet afin de cacher vos informations de navigation (adresse IP, pages et sites consultés, système d’exploitation, etc.), pour filtrer et bloquer les sites dangereux et pour appliquer un système d’authentification limitant et contrôlant les connexions extérieures.

Sauvegarder vos données

Vous avez également besoin d’un plan de sauvegarde de vos données. La RGPD vous oblige à  protéger les données personnelles récoltées et à respecter des principes strictes les concernant. L’idéal est d’avoir deux copies de sauvegarde pour mettre à l’abri votre patrimoine informatique. Pour la première copie, utilisez un support indépendant du réseau ou d’un ordinateur comme une clé USB ou un disque dur externe avec un versioning de fichier pour éviter les virus. La seconde copie peut être stockée sur les serveurs de l’entreprise ou les disques durs connectés (NAS) ou sur le Cloud ou encore sur les appliances ( dispositif hybride stockant à la fois les données sur un box connecté au réseau de l’entreprise et sur un site distant ou dans le Cloud). Au moment de choisir votre hébergeur, la vérification du niveau de sécurité est de mise. Lisez bien les conditions générales d’utilisation pour savoir où sont conservées vos données et si vous en êtes les seuls propriétaires. Peut être que vous avez autorisé l’utilisation intégrale de vos données à un tiers sans le savoir !  Pour que votre activité continue suite à une attaque informatique, adoptez le Plan de Reprise d’Activité (PRA).

Faire appel à un prestataire extérieur     

Les experts recommandent de consacrer 10% de votre budget sécurité à la cybersécurité. Si vous avez les moyens, il est possible de faire appel à un prestataire extérieur comme un opérateur de télécommunication pour effectuer un audit de votre système. L’objectif est d’évaluer les risques, puis de proposer des bases de sécurité ou des solutions clé en main pour assurer votre cyberdéfense. Ce type de prestataire identifie les besoins de votre entreprise et adapte les solutions à votre budget : filtrer les menaces externes, contrôler les flux de données entrant sur le réseau informatique, sécuriser les échanges en interne, etc. Lorsque votre entreprise sera plus mature, vous pouvez toujours adopter des mesures de sécurité supplémentaires pour compléter les solutions mises en place.

Pour terminer, n’oubliez pas de procéder à des tests de vulnérabilité sur le niveau de sécurité de vos outils informatiques, vos systèmes d’information et votre réseau informatique. Ces tests sont généralement peu coûteux mais vous permettent d’optimiser votre sécurité numérique.