10 conseils d'expert pour éviter le piratage en entreprise

C'est quoi le CyberSecMonth ?

Le CyberSecMonth est une initiative menée par l'Agence de l'Union européenne pour la cybersécurité (ENISA), la Commission européenne et les États membres. Son but est de promouvoir la cybersécurité non seulement auprès des citoyens, mais surtout des entreprises de l'UE par le biais d'activités de sensibilisation et de partage des bonnes pratiques.

Les thèmes de 2022 sont le phishing et les ransomwares.

Cybersécurité en entreprise : de quoi parle-t-on ?

« La cybersécurité est une matière complexe à part entière », explique Joséphine Russello, Service Delivery Manager Cybersecurity chez Win.

Son constat : « Aujourd’hui face à tant de cybermenaces, les entreprises ont deux choix. Soit ne pas réagir et laisser leur sort au hasard. Soit essayer de comprendre ce monde qui change et prendre les devants pour éviter la perte d’argent, d’activités, de business, de réputation, mais aussi d’emplois. » Pour elle, les cyber experts ne sont pas « les informaticiens de service », mais sont complémentaires à ces derniers pour leur fournir les « derniers outils de mesure, de contrôle, mais aussi pour les former, les aider dans la gestion quotidienne de l’informatique. »

Les bonnes pratiques de la cybersécurité entreprise

Joséphine Russello prodigue 10 conseils pour garantir la sécurité informatique des entreprises belges.

1. Système d’information fiable et opérationnel

Un système d’information (ou SI) est un ensemble de moyens et d’outils servant à collecter, stocker et traiter de l’information. Ce système intègre 3 domaines :

• Technique (architecture, matériel, ordinateurs, serveurs)
• Applicatif (les applications et logiciels informatiques)
• Organisationnel (gestion des droits d’accès, privilèges, règles à respecter, utilisateurs)

Le défi est constant, car les évolutions technologiques demandent des ressources compétentes pour assurer le bon fonctionnement du SI actuel avec l’intégration de nouvelles réglementations ou de systèmes innovants.

Quelles actions puis-je mener dans mon entreprise pour rendre plus fiable mon SI ?

Le mot-clé est l'inventaire. C’est la première chose à faire en matière de sécurité des réseaux.

Que faire ?

1. Dresser l’inventaire de tout le matériel informatique.
2. Lister les applications ou logiciels.
3. Lister les serveurs les plus importants.
4. Lister les données sensibles en liant le matériel et/ou l’endroit de stockage de celles-ci
5. Lister les comptes administrateurs ou privilégiés.

Essayez d’être complet dans les informations, les versions par exemple, les marques, revendeurs ou encore les personnes de contact. Tout ceci va vous permettre d’être proactif, de tenir votre SI à jour et de gagner du temps en cas d’incidents de sécurité.

2. Système d'authentification doublé

Dans la vie courante, pour pouvoir prouver son identité, on doit montrer sa carte d’identité ou passer par des applications comme itsme. En informatique, on s’authentifie sur le SI (réseau) avec un nom d’utilisateur et un mot de passe.

Vos mots de passe sont liés à votre identité, vous devez donc les protéger : ils seront assez longs (minimum 13 caractères avec des majuscules, des minuscules, des chiffres et des caractères spéciaux) et changés régulièrement.

Une astuce pour pouvoir vous aider à gérer ces nombreux mots de passe qui doivent être modifiés régulièrement est le gestionnaire de mots de passe. Il existe des gestionnaires payants mais aussi gratuits comme KEEPASS (qui est open source).

« N'utilisez jamais un gestionnaire de mot de passe dans un Cloud public », prévient Joséphine Russello.

Nom d'utilisateur et mots de passe ne suffisent pas, il faut privilégier la double authentification (authentification dite 2 facteurs). À la suite de la première authentification réussie, vous recevrez un code par e-mail, par sms ou via une application. L'idée est de complexifier la tâche d’un éventuel hacker qui aurait besoin de votre mot de passe, mais aussi de votre boîte mail ou de votre téléphone portable pour pouvoir usurper votre identité.

3. Sécurité des postes de travail

Sécuriser les équipements informatiques est la base de la sécurité en entreprise. L'inventaire préconisé plus haut permet de déterminer, pour l’ensemble de l’entreprise, le niveau de sécurité avec lequel il faut travailler. Cela se traduira par des actions et peut-être de nouvelles habitudes à prendre.

Il est essentiel de communiquer à tous vos collaborateurs les règles à suivre. Tout cela peut se retrouver dans un document appelé « politique de sécurité ».

Par exemple, un niveau de sécurité entreprise minimal consiste à :

• Installer un antivirus sur chaque poste
• Activer le pare-feu local de l’ordinateur
• Être connecté en mode utilisateur sur sa machine
• Désactiver l’utilisation de supports amovibles
• Installer un pare-feu sur le réseau
• Utiliser des connexions sécurisées
• Chiffrer les données sensibles

Comment y arriver ? Demandez à votre informaticien ou votre prestataire informatique de vous aider à définir le niveau de sécurité et ce que cela comporte. Il faut lister les mesures déjà en place et celles à venir. Veillez à documenter ou mettre à jour votre registre de traitement (RGPD) concernant les mesures de sécurité adoptées dans l’entreprise.

4. Sécurité du réseau d'entreprise

Là encore, vous devez être en possession d’un schéma de votre architecture informatique. Il convient ensuite de séparer le réseau de l’entreprise en sous-réseaux par rapport aux finalités et usages dans l’entreprise.

Joséphine Russello explique : « Par exemple, les téléphones et le serveur téléphonique sera un sous-réseau dédié à cette finalité, ensuite, les caméras IP feront partie d’un autre sous-réseau, vous pourrez aussi créer un sous-réseau pour la direction, un réseau utilisateurs qui pourra aussi être compartimenté par services, un autre pour les sauvegardes. » Le but ici recherché est d’éviter d’avoir un réseau totalement linéaire qui propage un virus ou un autre programme malveillant infectant toute l’entreprise en un rien de temps.

En comparaison à un incendie, le feu se propagera très facilement sans porte coupe-feu ou obstacle pouvant ralentir l’inévitable et faciliter l’arrivée de secours : « En créant des sous-réseaux, vous vous donnez la possibilité de gagner du temps en cas d’incidents de sécurité et de minimiser la propagation de virus. »

Il est aussi important de sécuriser l’accès physique au réseau de votre entreprise. Veillez à ne pas laisser vos serveurs principaux dans une cave inondable, ou en libre accès au service de nettoyage. Il est important de contrôler l’accès à cette pièce et l’accès à vos équipements en général.

Que faire ?

1. Demander un schéma d’architecture ou d’infrastructure informatique à votre informaticien.
2. Réfléchir avec votre informaticien quant aux cloisonnements possibles dans votre infrastructure.
3. Limiter l’accès physique à votre entreprise.

5. Sécurité de l'administration

Un point d’attention est l’administration du système d’information. Vous ne confiez pas les clés de votre maison à n’importe qui, vous devez pouvoir faire confiance aux personnes qui géreront votre SI. Il va falloir limiter la possibilité d’administrer le SI et sécuriser ce type d’accès.

« Pour commencer, il faudra déterminer les personnes, le profil, les différents privilèges des accès administrateurs. Est-il judicieux de permettre à tous les collaborateurs d’être administrateur de sa machine ? », interroge notre experte. La réponse est non, « car la plupart du temps, nous sommes tous utilisateurs de notre machine. Pour s’en rendre compte, il suffit de se demander et de noter le nombre de fois sur le mois que l’on doit installer un nouveau programme, une application. Le temps en tant qu’administrateur est très court en regard du rôle d’utilisateur de sa machine ».

Si tout le monde peut administrer, on perd le contrôle de celui ou celle qui a installé, sans le savoir, un programme vérolé et va se propager dans l’entreprise. Il faut absolument mettre des barrières, des règles et des contrôles pour ne pas se retrouver en mauvaise posture. Il convient également de lister les barrières pour les collaborateurs de perdre le rôle d’utilisateurs. Certains ne voudront pas perdre l’avantage de modifier ce qu’ils veulent sur leur machine sans devoir téléphoner au service IT. Il faut trouver une manière de travailler qui arrangera tout le monde en insistant bien sur les risques pour l’entreprise pour les travailleurs voulant faire cavalier seul. La communication entre tous les collaborateurs reste l’élément clé pour une meilleure gestion du SI.

Que faire ?

1. Séparer les rôles d’administrateurs et utilisateurs.
2. Définir et documenter les accès administrateurs et leurs privilèges

6. Nomadisme ou télétravail en sécurité

Que l’on soit en voyage, ou en télétravail, il faut utiliser un équipement sécurisé (équipé d’un antivirus, avec un pare-feu local activé) et dédié spécifiquement au travail, dans la mesure du possible. Un ordinateur portable prêté ou donné par l’entreprise pour travailler à distance est déjà un bon début.

La solution : séparer le privé du professionnel. « Si vous travaillez sur un ordinateur personnel sur lequel votre adolescent a téléchargé des films en streaming sur des sites hasardeux, vous rajoutez le risque d’avoir téléchargé des programmes malveillants sommeillant sur votre ordinateur et qui pourraient compromettre vos données, vos connexions à distance et même votre entreprise », prévient Joséphine Russello.

Quand on est à l’étranger ou en dehors de l’entreprise, le risque de vol de matériel est assez grand. Reprenez les points sur les mots de passe et la sécurité du poste. Ensuite, s’il y a des données sur l’ordinateur, il serait judicieux de les chiffrer.

N’utilisez jamais le réseau Wi-Fi de l’hôtel ou de l’aéroport, mais un VPN (un tunnel sécurisé) ou la connexion 4G à partir de votre smartphone. Au domicile, il faut configurer le Wi-Fi avec une clé WPA 2 ou WPA 3. « Ajoutez si c’est possible un routeur à paramétrer entre la box de votre fournisseur d’internet et vos équipements. Cela permettra encore plus de confidentialité lors de vos connexions et plus de sécurité. »

Que faire ?

1. Séparer le privé du travail.
2. Sécuriser le poste
3. Vérifier l’authentification.
4. Lister les données importantes et les chiffrer pour éviter le vol de celles-ci.
5. Utiliser une connexion sécurisée en dehors de l’entreprise.
6. Renforcer la sécurité de sa connexion internet chez soi.

7. Politique de mise à jour

Chaque mise à jour non faite est une vulnérabilité potentielle, une faille de sécurité qui pourrait être exploitée par une personne malveillante. Peu importe le terminal : PC, Mac, smartphone, tablette, objets connectés, iOT.

Les règles absolues :

• Mettre en place des processus de mise à jour automatiques quand c’est possible.
• Anticiper et analyser que le fait de mettre à jour un programme ou une application ne vienne pas entraver le bon fonctionnement de l’entreprise et donc la continuité du business.
• Avant chaque mise à jour, il y aura une sauvegarde.
• On prévoira de revenir en arrière si la mise à jour ne se passe pas comme prévu.
• Les inventaires devront eux aussi être mis à jour suite aux mises à jour effectives.

« Voir chaque mise à jour comme une gestion de projet avec des jours définis, des heures bien précises pour démarrer et de n’affecter le business le moins possible. Parfois, il n’est pas possible de mettre à jour, car l’entreprise est dépendante d’un seul logiciel lié à une ancienne machine qui est au cœur de l’activité. Il faut éviter de se retrouver dans cette situation de dépendance, mais quand on n’a pas vraiment le choix, on peut aussi réduire les risques en isolant les équipements ne pouvant pas être mis à jour. Adressez-vous à un professionnel de la sécurité informatique qui trouvera la meilleure solution de sécurité adaptée à votre entreprise. »

Que faire ?

1. Procéder aux mises à jour automatiques.
2. Anticiper, sauvegarder et revenir en arrière au cas où.
3. Mettre à jour les inventaires.
4. Mitiger les risques avec l’aide d’un expert

8. Politique de sauvegarde (backup)

Quand vous subissez un incident de sécurité, un ransomware ou autre, les sauvegardes vous seront d’une grande utilité pour éviter de payer des rançons et de reprendre le plus vite possible votre activité pour autant qu’il existe une politique et des processus sécurisés pour y arriver. Solution préconisée : une politique de sauvegarde 3-2-1 dans votre entreprise.

Il s’agit de disposer de 3 copies au moins de vos données, de stocker ces copies sur au moins 2 supports différents et de conserver une copie de la sauvegarde (totalement déconnectée du reste de l’infrastructure) hors site. Par exemple, vous pourriez avoir une sauvegarde sur un NAS en local, une dans le Cloud (sécurisé) et une autre sur un disque dur entreposé dans un coffre-fort.

N’oubliez pas de chiffrer vos sauvegardes. En cas de vol de données et/ou demande de rançons, les hackers ne pourront rien faire de vos données si elles sont cryptées au préalable.

Testez vos sauvegardes. « Tout comme il est recommandé dans les entreprises de procéder à un test incendie une fois par an, il est recommandé de procéder à un crash test. Il s’agit de simuler une perte de données, un incident de sécurité et de voir comment cela impacte l’entreprise d’un point de vue de temps, d’un point de vue du nombre de personnes à l’arrêt, du point de vue de la clientèle et de l’activité de l’entreprise en général lors d’une restauration des données. Tout cela permettra de valoriser l’impact d’un incident de sécurité et de voir les améliorations possibles pour limiter les pertes avec une reprise rapide de l’activité. »

Que faire ?

1. Politique de sauvegarde 3-2-1 à adopter.
2. Chiffrer les sauvegardes.
3. Réaliser des tests de restauration de données

9. Audit et suivi d’actions

L’informatique est complexe et évolue constamment. « Difficile de s’occuper de la sécurité du SI si on ne dispose pas des bons outils qui donneront des indicateurs fiables et indépendants », met en garde Joséphine Russello. L'idée est de commencer par état des lieux, de la situation de votre entreprise en demandant un audit indépendant. Plus de neuf fois sur dix, les dirigeants sont surpris des résultats, même s'ils reflètent parfaitement la réalité, la tendance générale et les points à améliorer.

L’audit régulier reste le meilleur moyen de pouvoir contrôler de manière indépendante la sécurité de son SI. A chaque audit, une série d’actions et recommandations sont préconisées en vue d’améliorer la sécurité et donc de diminuer les risques pour l’entreprise. En auditant régulièrement son entreprise, vous rentrez donc dans une spirale d’amélioration continue.

L’audit de manière continue pour la surveillance des failles de sécurité peut s’avérer être un outil de taille face aux menaces. En procédant de la sorte, le SI est à jour et le risque d’attaques est très fortement réduit. « Si vous avez envie de couper l’herbe sous le pied du hacker, je vous le conseille vivement. De plus, il est peu onéreux au regard des risques encourus. »

Que faire ?

1. Procéder à des audits réguliers via un expert en cyber sécurité.
2. Suivre les recommandations et mener les actions préconisées suite à l’audit.
3. Procéder à des audits de failles de sécurité de manière continue en appliquant les recommandations dans les plus brefs délais.

10. Sensibilisation et formation en entreprise

L'entreprise peut avoir les meilleurs équipements du monde ou les plus sécurisés. S’ils sont mal utilisés, tout cela n’aura servi à rien. Vos meilleurs soldats, défenseurs de l’entreprise, sont votre personnel. « Il faut absolument communiquer avec tous les collaborateurs. Il faut aussi créer des ponts entre les ressources humaines, la direction informatique, la direction de l’entreprise, les services marketing,... et créer des procédures. »

Par exemple, quand un membre du personnel s’en va, le service informatique doit être au courant le plus tôt possible pour éviter que des données ne partent, pour récupérer tout le matériel prêté, la carte d’accès au bâtiment, révoquer tous les accès informatiques. Autre exemple, quand le dirigeant demande à un électricien l’installation de caméras IP, il serait judicieux de prévenir le service informatique et de créer un sous-réseau pour la surveillance. Ce sont des exemples de la vie courante d’une entreprise qui à un moment donné créent un espace non sécurisé propice à un ou plusieurs incidents dans le futur.

L’importance de sensibiliser tous les collaborateurs, de la personne de l’accueil au dirigeant d’entreprise, de la responsabilité qui est la sienne, à la gestion de la sécurité de l’entreprise.

« Prendre le temps de former son personnel aux bonnes pratiques, leur demander de se poser les bonnes questions car ils ont cette responsabilité. Démontrer les impacts et les conséquences positives pour l’entreprise en choisissant la voie de la sécurité. Vous pouvez aussi nommer un responsable (d’un petit groupe) avec la casquette « sécurité » qui sera le relais de communication vers l’équipe IT. »

Que faire ?

1. Sensibiliser à l’aide de formations
2. Communiquer les règles de sécurité, les responsabilités de chacun.
3. Créer des ponts de communications entre les différents services et le service IT.