- mis à jour le 12-11-2019 -

Il est de la responsabilité d’un chef d'entreprise de bien veiller à la sécurité du patrimoine numérique de sa société car sa responsabilité civile ou pénale peut être engagée en cas de manquement avéré.
(voir les textes législatifs sur le sujet en fin d'article)

Les principaux vecteurs de cyberattaques dans les TPE et PME.

Moins équipées en systèmes de sécurité et donc bien plus susceptibles d’être hackées.

• Un stockage des données peu sécurisé et une mauvaise gestion des accès et des mots de passe.
• Les pratiques dangereuses des salariés dues à une méconnaissance des risques.
• La mobilité et la multiplication des appareils connectés au réseau d’entreprise.
• Les emails, principal mode de diffusion des malwares et ransomwares et méthode privilégiée pour les escroqueries financières ou le vol de mot de passe.

Voici les règles essentielles pour sécuriser son environnement informatique professionnel.

1 - Mettre en place une politique de sécurité

Résumer dans un document écrit et accessible à tous les règles de sécurité du système d'information de l’entreprise :

• Les bonnes pratiques de sécurité de la téléphonie, du web et de la messagerie électronique
• Les règles concernant le téléchargement et/ou l’installation de nouveaux logiciels
• Comment bien choisir ses mots de passe, etc.
• Les vulnérabilités du système informatique

2 - Sensibiliser le personnel aux risques encourus 

On ne le dira jamais assez : Il faut en parler aux employés, aux partenaires, aux clients, aux fournisseurs, etc. La sensibilisation des collaborateurs aux risques de la cybercriminalité est primordiale ! Les conséquences financières d’une cyberattaque peuvent être catastrophiques pour une entreprise, et sa première arme est l’éducation de ses employés. Pour cela, le dispositif gouvernemental Cybermalveillance.gouv a diffusé un Kit de Sensibilisation à la Cybersécurité à destination des PME et de leurs employés. Diffusez-le autour de vous, mieux vaut prévenir !

3 - Sauvegarder ses données informatiques

Le patrimoine numérique d’une société est le socle de son activité. Les données capitales d’une entreprise doivent être centralisées et sauvegardées quotidiennement sur un serveur local (pour plus de contrôle) et distant en cas de sinistres physiques (vols/incendies/intempéries). On peut aussi opter pour une solution plus simple : Une box présente au sein de l’entreprise et entièrement sécurisée contre les risques physiques.

4 - Sécuriser le réseau d'entreprise 

Les cyberattaques (ransomwares, malwares, phishing et autres virus) sont des agressions extérieures qu’il faut pouvoir bloquer avec un pare-feu et un proxy qui protègent les connexions web. La cybersécurité d’une entreprise passe aussi par la protection du réseau local, des accès wifi, de la messagerie électronique ainsi que de tout accès distant.

5 - Protéger les terminaux mobiles   

• Ordinateurs portables / tablettes : avec un anti-malware de nouvelle génération et mis à jour
• Smartphones : Il existe aujourd’hui des antivirus et des anti-malwares pour mobiles. Il faut également penser à activer le verrouillage automatique pour empêcher toute utilisation frauduleuse en cas de perte/vol.

6 - Protéger les données personnelles 

Le nouveau Règlement Européen de Protection des Données Personnelles (RGPD) exige la mise en place d’une politique de protection de la vie privée. Il faut donc intégrer une clause de confidentialité dans les contrats de sous-traitance informatique avec les prestataires informatiques et fournisseurs Cloud (surtout depuis le vote du Cloud Act).

7 - Gérer les données sensibles

Les fichiers confidentiels d’une entreprise doivent à minima être :

• encryptés lors de leur sauvegarde (le chiffrement des données considérées comme sensibles au regard de la loi est obligatoire)
• à accès limité aux personnes habilitées (connexion grâce à une authentification personnelle).

8 - Sécuriser les locaux  

Les locaux d’une entreprise restent son point névralgique. L'accès physique des bureaux et serveurs informatiques doit absolument être sécurisé : Accès fermé et contrôlé avec digicodes et autres badges nominatifs pour les personnes habilitées.

9 - Faire des tests de sécurité

Tout comme les exercices d’évacuation, les tests de restauration des données (fichiers, images système, serveurs et systèmes d’exploitation) sont nécessaires pour se préparer aux prochaines cyberattaques.

10 - Assurer la continuité d’activité en cas de cyberattaque

Si malgré toutes ces mesures l’entreprise est victime d’une cyberattaque, il est possible de reprendre son activité dans encombres et sans payer de rançon. La solution ? L’anticipation ! Mettre en place un Plan de Reprise d’Activité grâce à un logiciel de sauvegarde spécialisé permet de restaurer toutes les données perdues ou encryptées en quelques heures ! 

Vous avez validé tous les points de cette check list ? Votre activité est alors protégée contre les sinistres. 

Vous n'avez pas validé tous ces points ?

Demandez un bilan gratuit de votre sécurité informatique !

Vous voyez d'autres points à ajouter ? N'hésitez pas à réagir !

Quelques textes : • Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés - Article 34 (Modifié par Loi n°2004-801 du 6 août 2004) • Article 226-17 du Code Pénal (relatif au traitement et à la protection des données personnelles) • Article 1242 du Code Civil (relatif à la responsabilité civile liée à un dommage causé à autrui)