[En Essonne Réussir] Prévention des cyberattaques : le top 5 des bonnes pratiques à adopter

1 Mettre à jour les logiciels Une des portes d’entrée des attaquants consiste à exploiter les vulnérabilités des logiciels. La majeure partie est corrigée assez rapidement par les éditeurs : il est donc important de procéder aux mises à jour ! Un matériel ou un logiciel qui ne peut plus être mis à jour doit, par conséquent, être remplacé sans tarder.

2 Créer des mots de passe sûrs Utiliser des mots de passe trop simples ou se servir du même pour accéder à des services internet différents, c’est ouvrir grand la porte aux attaquants. Sont concernés à la fois les services personnels des particuliers mais aussi ceux de leur entreprise – les fraudeurs étant susceptibles d’usurper l’identité d’un salarié pour envoyer des e-mails frauduleux dans son cadre professionnel. Un mot de passe robuste doit être composé d’au moins 12 caractères alphanumériques et il en faut un différent pour chaque service internet (lire ci-dessous). Par ailleurs, il est recommandé d’activer l’authentification multifacteur dès qu’elle est proposée, ce qui est le cas d’un nombre croissant d’organismes, dont les banques. Elle consiste à renforcer le mot de passe par la saisie d’un second élément envoyé par exemple sur le téléphone mobile.

3 Sécuriser la messagerie Les messageries figurent parmi les premiers vecteurs de cyberattaque, les utilisateurs ayant tendance à cliquer sur les liens, à flasher les QR-codes un peu trop vite (avec le risque d’être redirigés vers un site malveillant) ou à télécharger des pièces jointes contenant un code malveillant. Pour éviter ces pièges, la plus extrême prudence est de rigueur. Elle impose de vérifier l’identité de l’expéditeur : le nom de la personne ou de l’organisme et son e-mail sont-ils connus ? L’adresse e-mail correspond-elle au nom indiqué ? Le texte de l’e-mail est-il attendu, cohérent, sans fautes de français grossières, etc ? Autre mesure de prudence pour prévenir la fuite d’informations, veiller à ce que les collaborateurs ne redirigent pas leurs e-mails professionnels vers leur messagerie personnelle.

4 Séparer les usages entre administration du système informatique et navigation internet Il est fortement recommandé, pour naviguer sur Internet, d’utiliser un compte de simple utilisateur, sans aucun privilège d’administration de l’ordinateur. Dans le cas contraire, une fois le compte piraté, l’attaquant a toute latitude pour prendre le contrôle total de l’équipement. Mieux vaut aussi s’abstenir d’utiliser le même ordinateur pour un usage professionnel et pour un usage personnel. À défaut, il est conseillé de créer des comptes utilisateurs différents pour les deux usages. De même, quand un utilisateur quitte l’entreprise, il va de soi que tous ses accès sont à annuler sans tarder.

5 Installer un pare-feu local Ce type de logiciel, installé sur un ordinateur, protège celui-ci des attaques provenant d’Internet et permet de limiter la prise de contrôle du poste de travail. Ils sont paramétrés par défaut pour bloquer les connexions entrantes.

_______________________________________________________________________________________________________

GÉNÉRER DES MOTS DE PASSE ROBUSTES

Un mot de passe robuste doit comporter au moins douze caractères, selon les recommandations de la Cnil (Commission nationale de l’informatique et des libertés) – voire quinze pour les services critiques, comme le conseille l’Anssi. Il doit être composé d’une combinaison de majuscules, minuscules, chiffres et caractères spéciaux et ne doit comporter aucun élément personnel (date de naissance, prénom, etc.), trop facilement repérables par les fraudeurs sur les réseaux sociaux. L’utilisation d’un coffre-fort de mots de passe certifié par l’Anssi peut être une solution pratique pour générer des mots de passe forts et uniques pour chaque service internet. Autre solution, l’emploi d’une « phrase de passe », facile à mémoriser : c’est-à-dire une phrase, entière ou non, choisie au hasard dans un ouvrage et traduite en alphanumérique. La suite « Des mots de passe différents pour chaque service » devient ainsi « D3 m4 d2 p5 d10 p4 c6 s7 » si on conserve l’initiale de chaque mot en la faisant suivre du nombre de caractères contenus dans ce mot. Il suffit ensuite de glisser des caractères spéciaux ici ou là. Ce qui donne par exemple : @D3m4p5&d10p4c6s7/. L’utilisateur n’a alors besoin de retenir que la suite de mots.

_______________________________________________________________________________________________________

SE PROTÉGER POUR MIEUX RESPECTER LE RGPD

Logiciels et équipements à jour, messagerie sécurisée, plan de gestion des cyberattaques, etc. Tout ce qu’une entreprise met en œuvre pour prévenir les cyberattaques concourt au respect de son obligation en matière de protection des données personnelles et donc à sa conformité au RGPD (Règlement général sur la protection des données). Les données personnelles, ce sont toutes les informations se rapportant à une personne physique identifiée ou identifiable, directement (nom, prénom, etc.) ou indirectement (identifiant client, téléphone, etc.). Le RGPD impose de les protéger par la mise en œuvre de « mesures techniques ou organisationnelles appropriées », pouvant inclure le « chiffrement de données », et de « moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience ». L’absence de conformité au RGPD expose à des sanctions financières (jusqu’à 10 M€) par la Cnil (Commission nationale de l’informatique et des libertés). La Cnil a élaboré une charte à l’intention des entreprises, à télécharger sur son site. Elle propose aussi un MOOC (module de formation en ligne) ainsi que des formations gratuites destinées aux délégués à la protection des données. À noter qu’une entreprise souhaitant valoriser le niveau de protection des données offert par ses produits, ses services, ses processus ou ses systèmes de données peut faire certifier sa démarche RGPD par un organisme agréé par la Cnil. Plus d’infos sur cnil.fr.

________________________________________________________________________________________________________

RESSOURCES EN LIGNE

L’ANSSI

Cet organisme gouvernemental met à la disposition des entreprises de toute taille un grand nombre de supports d’information. Parmi ceux-ci, des guides à télécharger, dont le « Guide des TPE-PME », « La cybersécurité pour les TPE/PME en 13 questions », « Attaques par rançongiciels, tous concernés : comment les anticiper et réagir ». Mais aussi des fiches relatives aux « Précautions élémentaires » : « 5 réflexes à avoir lors de la réception d’un courriel », « 10 règles d’or préventives », etc. L’Anssi propose aussi une formation en ligne gratuite sur la sécurité informatique, pour permettre aux utilisateurs en milieu professionnel d’apprendre et assimiler les notions de base. Un MOOC de 20 heures, à suivre par petits modules indépendants de trois à sept minutes, sur secnumacademie.gouv.fr. Enfin, l’Anssi propose sous l’onglet « Visa de sécurité » une liste de produits certifiés et de professionnels qualifiés. À retrouver sur ssi.gouv.fr

CYBERMALVEILLANCE

Ce site internet est publié par un groupement d’intérêt public d’une cinquantaine d’acteurs du web. Il propose à l’intention d’un large public des outils d’information et d’accompagnement en cas de cyberattaque, notamment un outil de diagnostic. Celui-ci permet de déterminer la nature du problème assorti de conseils pour faire cesser l’attaque et d’une proposition de mise en relation avec un prestataire situé à proximité (parmi un ensemble de 1 200 recensés). Les TPE et les PME pourront aussi y trouver un « expert cyber », avec un label de deux ans octroyé par le site, capable d’opérer un travail de sécurisation de leur système informatique. Enfin, Cybermalveillance publie des fiches sur les bonnes pratiques et un bulletin sur les failles majeures des logiciels et les menaces repérées par le CERT-FR, Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques. À découvrir sur cybermalveillance.gouv.fr