Responsabilité civile, droit et biens matériels

Sécurité informatique pour les PME: reconnaître les risques

Les grandes entreprises deviennent moins attrayantes pour les pirates et les escrocs. Grâce à leur expérience ou à leurs spécialistes IT, elles savent comment protéger leurs données.

Comment protéger votre entreprise

Manque de mesures de protection: les petites entreprises sont plus souvent la cible de cybercrime

kmu_cyber_data_security

Les cybercriminels s’attaquent de plus en plus aux petites entreprises. La raison: la plupart des PME ne savent pas comment se protéger contre les dangers sur Internet. C’est pourquoi elles sont actuellement exposées à un plus grand risque. Afin de vous sensibiliser, vous et vos collaborateurs, aux cyber-risques, nous expliquons ci-après les principaux termes et présentons les directives préventives.

Ingénierie sociale
L’ingénierie sociale est une méthode d’espionnage d’informations confidentielles. La cible de l’attaque est toujours l’homme. À l’aide de l’ingénierie sociale, les escrocs profitent de la serviabilité ou de la crédulité d’autres personnes afin d’accéder à des données sensibles.

Scénarios possibles
L’ingénierie sociale peut être pratiquée lors d’un entretien en personne tout comme par e-mail ou au téléphone. Les scénarios suivants peuvent indiquer une ingénierie sociale:

  • Dans un e-mail, un supérieur hiérarchique demande accès à un domaine protégé.
  • Votre interlocuteur vous menace et insiste sur l’urgence de sa demande.
  • Votre interlocuteur vous invite à contourner exceptionnellement le règlement.

Comment dois-je réagir?

  • Ne fournissez aucune information si vous n’êtes pas sûr de l’identité de la personne.
  • En cas de demande, exigez le badge visiteur ou collaborateur.
  • Si l’attaque a lieu au téléphone, demandez un numéro concret auquel vous pouvez rappeler la personne.
  • Gardez à l’esprit que votre objectif n’est pas de faire fuir l’«ingénieur social», mais de l’identifier et ainsi de vous protéger contre d’autres attaques.

Hameçonnage

L’hameçonnage (en anglais «phishing») est une forme d’ingénierie sociale. Dans ce cas, les escrocs tentent d’accéder à des données personnelles au moyen de sites Internet, d’e-mails ou de messages courts falsifiés.

phishing_vorlage_f

Caractéristiques distinctives (boîtes rouges) de haut en bas:

  1. L’expéditeur indiqué a deux adresses e-mails et la seconde ne ressemble pas du tout à celle d’un collaborateur Facebook.
  2. Il manque le logo Facebook. De plus, l’e-mail n’a pas le formatage habituel de Facebook.
  3. Le lien mentionné vers Facebook contient un «o» de trop. De plus, le lien ne montre aucun signe qu’il redirige l’utilisateur vers une ouverture de session ou une page de déverrouillage.
  4. L’e-mail semble urgent. La phrase contient également une menace sous forme de suppression du compte.
  5. La clause de non-responsabilité et les remarques de protection des données habituelles font défaut. Les clauses de non-responsabilité servent à l’expéditeur à s’assurer en cas d’utilisation abusive de données. De telles indications sont la norme dans le cas d’entreprises sérieuses. Cela est donc d’autant plus suspect lorsqu’elles font défaut.

E-mail d’hameçonnage ou non?
Les e-mails d’hameçonnage ne peuvent pas toujours être identifiés de manière univoque. En cas de soupçon, vous pouvez procéder comme suit:

  • Supprimer l’e-mail. S’il s’agit d’un e-mail important, l’expéditeur se manifestera à nouveau.
  • Contrôler manuellement (et non en cliquant sur le lien contenu dans l’e-mail) le statut du profil ou du service.
  • Appeler l’assistance clientèle de l’expéditeur et demander des informations. Le numéro de l’assistance clientèle d’un prestataire de services se trouve la plupart du temps très  rapidement sur Google.
GettyImages-913017342

Rançongiciel

Le terme rançongiciel (en anglais «ransomware») désigne des logiciels malveillants à l’aide desquels un intrus peut empêcher l’accès à des données ainsi que leur utilisation ou l’accès à l’ensemble du système informatique. Pour le décryptage ou la validation, une rançon est exigée.

Protection contre les rançongiciels
Les rançongiciels se propagent principalement par e-mail. Ici aussi, le manque d’informations et d’attention jouent un rôle clé: 45% de tous les utilisateurs Internet cliquent sur des liens envoyés par des expéditeurs inconnus. Les mesures suivantes aident à éviter ce type de chantage:

  • Contrôlez impérativement au moyen de votre système de protection antivirus les pièces jointes provenant d’expéditeurs inconnus.
  • Prudence avec les clés USB et les disques durs portables, en particulier si vous ne connaissez pas le précédent utilisateur du support de stockage et que vous ne savez pas ce qui se trouve sur le support.
  • Maintenez toujours vos systèmes à jour. Les révisions logicielles s’accompagnent souvent d’une plus grande sécurité de l’information. Les programmes antivirus devraient eux aussi être actualisés régulièrement.
  • Créez régulièrement des copies de sécurité de vos données.

Je suis victime de chantage. Que faire?

Ne payez pas la somme exigée! Souvent, la somme augmente par la suite, sans pour autant que les données soient décryptées. De plus, il est conseillé de demander l’aide de spécialistes. Avec la cyberassurance de la Bâloise, un réseau de spécialistes se tient à votre disposition en cas de problème. Cela peut constituer une grande décharge dans une situation de stress.

Gestion des mots de passe
Les mots de passe doivent être modifiés régulièrement. À cet égard, il est important de ne pas remplacer uniquement un chiffre ou une lettre mais de choisir un tout nouveau mot de passe.

Check-list pour la sécurité des mots de passe

  • Le mot de passe doit contenir au moins huit caractères
  • Utiliser une combinaison de minuscules et de majuscules, de chiffres et de caractères spéciaux
  • Ne pas utiliser de séquences de lettres figurant dans un dictionnaire
  • Toujours choisir un mot de passe qui n’a jamais été utilisé auparavant

Consignes concernant la création d’un mot de passe
Formulez une phrase facile à retenir. Créez le nouveau mot de passe en utilisant les initiales et les chiffres. Remplacez en plus les signes de ponctuation par un caractère spécial. Ainsi, votre mot de passe sera sûr.

Exemple de phrase: Mon fils Paul est né en février 1994. Cette année, il a 24 ans.

Mot de passe: MfPenef94$Ca?ia24a

Par ailleurs, l’authentification à deux facteurs est une manière simple d’augmenter la sécurité d’un compte. À cet égard, un SMS est envoyé au numéro de téléphone portable enregistré de l’utilisateur. Ce SMS contient un code à chiffres temporaire pour la connexion finale.

Désignation de responsables de la sécurité
Chaque collaborateur est responsable de la sécurité des informations. Néanmoins, vous devriez désigner une personne responsable ainsi qu’un suppléant. Ce responsable de la sécurité a pour tâche de vous informer régulièrement, vous et votre équipe, et sert d’interlocuteur en cas de questions, d’incertitudes et de cas concrets.

Création de copies de sauvegarde
Le risque de perdre des données sensibles n’existe pas uniquement dans le cas d’une cyberattaque. Un incendie ou des dégâts d’eau peuvent également entraîner une perte de données. C’est pourquoi vous devez créer régulièrement des copies de sécurité. Il est important que vous conserviez les sauvegardes ailleurs que sur les supports de données d’origine.

Mise à jour des programmes
Les systèmes d’exploitation et les programmes ne sont pas exempts d’erreurs. Ce sont précisément de telles lacunes que les auteurs de maliciels utilisent pour accéder à des ordinateurs ou à des smartphones. C’est pourquoi, installez régulièrement les Service Packs et les mises à jour de sécurité disponibles pour votre système d’exploitation et vos programmes. Ces correctifs permettent de supprimer les erreurs et de combler les lacunes.

«Have I Been Pwned?»
Le site Internet «Have I Been Pwned?» réunit et analyse des «data dumps», c’est-à-dire des vidages de mémoires, qui ont été mis en ligne par des pirates informatiques suite à un pillage de données. Ce site offre aux utilisateurs et aux utilisatrices la possibilité de rechercher leurs propres données divulguées. Il est également possible de rechercher les mots de passe publiés.

Soutien de l’État
Depuis 2010, l’État met à disposition la Centrale d’enregistrement et d’analyse pour la sûreté de l’information. Vous y obtiendrez des informations sur les mesures et les risques actuels ainsi qu’un formulaire de déclaration des incidents touchant les particuliers et les PME.

(Source: Baloise Scouts Digitaux) 

Découvrez-en plus sur le sujet dans l’interview avec notre IT Security Manager, Marcello Bellini.

Cyberattaque: protégez votre entreprise

Cela pourrait vous intéresser:

Magazine
Avez-vous une question? Top