Les réflexes à adopter en matière de sécurité informatique dans une PME

La cybercriminalité ne s’adresse pas uniquement aux entreprises dont la sécurité informatique est techniquement vulnérable. Elle utilise aussi la crédulité des utilisateurs d’une entreprise ; on parle d’ingénierie sociale. Cette méthode est destinée aux collaborateurs directement, parfois peu sensibilisés à ce type d’attaques, en incitant soit par le biais de pièces jointes intégrant du code malveillant, soit en cliquant sur des liens renvoyant vers des sites criminels ou encore diverses méthodes de phishing (hameçonnage) pour obtenir des données personnelles.

Des cyberattaques quotidiennes et omniprésentes

Ces derniers jours, la centrale d’enregistrement et d’analyse pour la sûreté de l’information de la Confédération Suisse (MELANI), enregistre l’utilisation de l’ingénierie sociale par des escrocs à destination du personnel des entreprises suisses. En effet, les escrocs, en se faisant passer pour les employés d’une banque, annoncent une prétendue mise à jour de l’e-banking afin de tenter de faire exécuter des paiements.

De manière similaire, le Groupe T2i a reçu plusieurs appels de clients ces dernières semaines ayant été contactés téléphoniquement par des prétendus employés de Microsoft s’exprimant en anglais pour demander les accès à l’ordinateur de leur correspondant afin d’effectuer des opérations de maintenance ou de contrôle. Ceci est également l’illustration d’une des multiples utilisations malveillantes de l’ingénierie sociale qui peut avoir des conséquences fâcheuses pour l’entreprise, en particulier si cette dernière n’est pas pourvue d’un système de défense efficace et tenu à jour contre les cyberattaques.

Les réflexes sécurité à adopter dans une PME

Afin de prévenir au mieux de ces attaques, dans une PME qui n’a pas ou peu de ressources informatiques, la clé est la sensibilisation des collaborateurs. La mise en place de quelques règles de sécurité que le personnel devrait observer en entreprise peut permettre de se protéger efficacement :

• Choisir des mots de passe offrant un certain niveau de qualité, difficiles deviner
• Ne pas enregistrer ses mots de passe dans des fichiers locaux, mais sur l’infrastructure mise à disposition à cet effet (si possible encryptée)
• Disposer d’une station de travail ou d’un laptop qui a un système d’exploitation et des logiciels tenus à jour
• Ne pas oublier de réaliser des sauvegardes régulières
• Séparer les activités personnelles des activités professionnelles
• Se méfier des tentatives d’usurpation d’identité (phishing) – ne pas cliquer trop rapidement sur des liens
• Se méfier des pièces jointes aux e-mails et vérifier l’identité de l’expéditeur
• Se méfier des clés USB qui peuvent contenir des malwares
• Ne jamais faire confiance à des liens dans des e-mails non-sollicités ou suspects
• Contrôler la diffusion d’informations personnelles
• Ne jamais naviguer sur internet à l’aide d’un compte administrateur
• Sur un site HTTPS (protocole de transfert hypertexte sécurisé), ne pas ignorer les messages d’erreur concernant le certificat du site, car ils pourraient signaler une tentative d’interception de communication
• Les chaînes de lettres, les porte-bonheurs etc. ne doivent jamais être relayés
• Etre conscient que la malveillance est omniprésente et agir avec méfiance et logique

Consultez aussi les 10 règles de base préconisées par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

MELANI met à disposition un document, intitulé « Sécurité de l’information : aide-mémoire pour les PME », à destination des PME Suisses pour les accompagner à mettre en place des mesures préventives et sécuriser informatiquement les réseaux d’entreprise.

Consultez notre article sur le renforcement des mesures de sécurité contre les cyberattaques