La crise – le Covid – la globalisation de la concurrence – les mesures étatiques restrictives – la vie tout simplement… pourquoi irait-on consacrer une part de notre budget si tendu à un risque faible et lointain ?
Mon grand-père a lancé son commerce de réparation de vélos en 1962. Sa petite boutique, pas très bien située ni connue, s’est fait une place dans la vie locale au fil des années. Il a commencé sa compta sur un coin de table, puis avec un vrai cahier, puis ma tante l’a aidé quand il ne voyait plus bien. Tout son travail est sur place : il reçoit les vélos, il les répare avec ses outils, il achète les pièces dont il a besoin. Il a engagé un apprenti et à trois, ils se débrouillent bien. Ils ont même ouvert des ateliers dans deux autres départements. La concurrence des grandes chaînes arrive, mais ça, c’est une autre histoire.
Il ne se sent pas spécialement exposé aux risques cyber : qui s’intéresserait à son entreprise, avec son petit chiffre d’affaires et sa renommée très locale ?
Il n’a donc rien fait en particulier : pas de risques inconsidérés, mais pas de paranoïa non plus.
Contrairement à ce qu’il affirme, il est très exposé.
Les histoires d’entreprises du CAC40 subissant des attaques cyber désastreuses font la une des journaux. Celles des TPME ne sont pratiquement jamais relatées ailleurs que dans la presse locale. Pourtant, en France, elles font partie des cibles les plus simples à rentabiliser, donc les plus attaquées et les plus touchées. En effet, composant 95% du tissu économique français, les TMPE sont une force énorme. Et si on peut gagner facilement cent fois 10 000 € avec presque aucun risque d’être pris, pourquoi s’attaquer à une seule grosse entreprise bien protégée, avec ses armées d’avocats et de techniciens informatiques ?
Alors comment faire entrer la cybersécurité dans une entreprise qui tient à la force de six bras bien intentionnés mais complètement ignorants ?
Je leur ai proposé quelques solutions faciles à mettre en place. Elles serviront de base lorsque nous passerons au stade supérieur de la vente en augmentant notre utilisation des technologies numériques pour améliorer la gestion, la connaissance du marché, la vente en ligne et l’achat de matériel spécialisé sur internet… Puisque le travail est déjà fait, autant vous le partager !
Les premières mesures : à mettre en place urgemment !
- Utiliser un antivirus – Parce que l’impact est faible sur l’usage des outils de l’entreprise, mais qu’il protège contre la plupart des virus sédimentaires, ceux qui sont là depuis le début d’internet, ceux qu’un anonyme va trouver en trois clics et lancer pour le défi. C’est l’équivalent de se laver les mains avant d’aller à table : on peut tomber malade quand même, mais on évite bien des accidents. Si vous voulez aller plus loin sur le sujet : voir notre article sur « l’antivirus nouvelle génération, EDR et XDR« .
- Protéger ses accès – Utiliser des mots de passe différents pour chaque personne et chaque outil (donc pas le même pour les courriels personnels et pour le dossier des paies des employés, par exemple), en changer s’il a été compromis (des informations sur vous ont déjà fuité, c’est certain. Cet outil gratuit vous indique si votre adresse courriel a déjà fait partie d’une base de données piratée après une recherche superficielle). Et comme c’est compliqué de retenir un mot de passe de 12 caractères pour chaque site, les gestionnaires de mot de passe sont une manière de n’en retenir qu’un seul. Vous pouvez tester ici la sécurité de la politique de mot de passe (la forme que tous les mots de passe doivent avoir dans votre entreprise) que vous avez choisie.
- Protéger ses données sensibles – En effet, nos données valent cher ! Et celles des clients… Aussi. L’amende, la perte de réputation, de contrats, qui accompagnent souvent une fuite de donnée sensible sont des épisodes salés, parfois malheureusement décisifs dans la vie d’une TPME. Sur cette question, la majorité des personnes que j’ai croisée dans mon métier ne connaissait pas les différents types de données existants et les niveaux de protection à y appliquer. Nous vous en expliquerons les finesses dans un prochain article. En attendant, quelques tips : éviter d’envoyer des données sensibles dans des mails non chiffrés ou via des logiciels de transfert de données grand public comme WeTransfer ; au besoin, vous pouvez les compresser et les chiffrer, par exemple via 7Zip ou Winrar, avant de les envoyer. Attention où vous les stockez : éviter le recours à trop de solutions différentes, privilégiez une seule solution sécurisée, dans le cloud (OneDrive, SharePoint, etc.) ou en local sur un serveur de fichier. Vous pouvez ainsi contrôler plus facilement les accès, interdire à certaines personnes de consulter ou télécharger certains documents, etc. N’oubliez pas de révoquer les accès des personnes qui sont parties ! Interdisez l’utilisation de solutions personnelles : pas de stockage de données sensibles par vos employés sur leur cloud personnel, dans les ordinateurs à la maison, etc. D’ailleurs, il est conseillé de ne rien stocker « en local », c’est-à-dire sur les postes de travail, même professionnel : en cas de perte ou de vol, cela réduit les risques qu’un tiers ait accès à des documents de l’entreprise. Encadrez l’utilisation de supports externes pour transporter les données : clefs USB et disques durs externes sont des ennemis de la confidentialité des données.
- Mettre à jour ! – Tous vos systèmes, dès que possible : les OS de vos ordinateurs, vos applications, vos serveurs si vous en avez… Cela vous permet de corriger les vulnérabilités récemment trouvées par les chercheurs en sécurité sur les machines que vous utilisez.
- Faire des sauvegardes. Sauvegarder tout ce qui est important, régulièrement, sur plusieurs supports : par exemple, les données les plus sensibles et utiles peuvent être sauvegardées sur un disque dur externe chiffré toutes les semaines, les données de votre serveur de fichier peuvent être sauvegardées sur un NAS, et si vous avez une solution cloud, votre fournisseur de stockage propose très certainement une offre de sauvegarde en temps réel. Il est ensuite important de tester régulièrement ces sauvegardes (tous les trimestres, par exemple), en veillant à ce qu’elles soient utilisables en cas de problème.
Les bons comportements
Les comportements à adopter pour une bonne cyber hygiène du quotidien ont l’avantage d’être facilement applicables en petite entreprise.
- Le partage de la construction des conditions de travail entre les dirigeant-e-s et les salarié-e-s permet de tirer vers le haut la sensibilisation de tous les acteur-ice-s. L’impact d’une anecdote de rançongiciel (ransomware) racontée par une proche collègue pendant la pause déjeuner sera plus important qu’une heure de formation sur l’heure de digestion, à laquelle on a été forcé d’assister.
- L’engagement individuel des personnes dans l’entreprise est souvent inversement proportionnel à sa taille. Or, l’humain est une très bonne barrière aux attaques, puisqu’il va détecter et signaler les évènements étranges plus facilement qu’un scanner, qui ne peut souvent que prévenir et espérer qu’un humain réagisse. Les TPME ont donc un avantage non négligeable sur les grosses boites, mais pour cela, il est essentiel que tout le monde sache qu’il vaut mieux prévenir, reprévenir et prévenir encore, que guérir. La fable d’Esope du garçon qui criait « au loup » ne doit pas s’appliquer en cybersécurité. Le site cybermalveillance.gouv.fr fournit d’excellentes informations et outils de sensibilisation à mettre dans toutes les mains, surtout celles de vos collègues.
Pour aller plus loin
À toute fin utile, je me dois de rappeler que toute information sur vos activités, clients, les données dont vous disposez, même le nom de votre chat peut être utilisé contre vous par un attaquant malveillant. Essayez de chercher comment pour chaque exemple un instant.
Voilà quelques exemples d’utilisation frauduleuse d’informations captées sur vous et votre entreprise :
- Les horaires d’activité permettent de savoir quand lancer une attaque qui ne sera pas détectée ou pas traitée parce que la personne en charge est absente ; c’est aussi une des bases de l’attaque dite de la “fraude au président” où on attend l’absence d’une personne responsable pour utiliser son identité et réclamer des avantages, accès internes ou argent, en son nom.
- Les clients peuvent en dire long sur vos capacités de paiement en cas de rançongiciel (ransomware, une attaque où une rançon doit être payée en échange du déblocage d’une partie du système d’information comme la base de données… clients).
- Les données dont vous disposez peuvent se revendre cher (illégalement), permettre de vous faire chanter, permettre d’attaquer en cascade plus facilement les personnes concernées, comme vos clients.
- Le nom de votre chat, que vous avez livré dans un commentaire sur un post Facebook vous demandant le nom de votre animal de compagnie, se trouve être également le mot de passe de session de votre partenaire, qui perdra ses accès lorsque la personne malveillante décidera de passer à l’attaque et de réclamer un peu d’argent à tous les ami-e-s qu’elle a enregistré sur le site, en son nom.
Je ne vous dis pas d’avoir peur de tout, mais de vous méfier.
Quelques ressources de l’ANSSI pour aller plus loin :
Article rédigé par : Charlotte Lemaistre, consultante chez Coralium
Si vous voulez en savoir davantage sur nos offres, en lien avec le sujet de l’article, nous vous proposons de découvrir : Audit Flash