Dans le monde technologique d’aujourd’hui, les entreprises ne peuvent pas fonctionner sans technologie, ce qui les expose chaque jour à des risques de cyberattaques. Alors que les organisations augmentent régulièrement leur budget consacré à la cybersécurité, le nombre d’incidents n’a fait qu’augmenter en fréquence et en gravité au fil des ans.
Aujourd’hui, les pirates informatiques évoluent aussi rapidement que les technologies, ce qui oblige les entreprises à être proactives dans la gestion de leur cybersécurité.
Voici cinq bonnes pratiques en matière de cybersécurité pour les entreprises de toutes tailles :
1. Créer des copies de sauvegarde
Ce point, bien qu’incroyablement important, est souvent négligé par de nombreuses organisations, quelle que soit leur taille. Il est essentiel qu’ils créent des copies de sauvegarde de tout ce qu’ils considèrent comme important pour leurs opérations habituelles, qu’il s’agisse de machines virtuelles, de bases de données, de serveurs internes, etc.
Ils doivent non seulement créer des copies de sauvegarde, mais aussi les héberger en utilisant des services externes afin d’éviter des événements catastrophiques tels que celui de VFEmail, dont l’entreprise a été entièrement détruite en quelques heures à la suite d’une attaque destructrice. Toutes leurs données critiques, leur infrastructure en nuage et leurs sauvegardes ont été formatées avant qu’ils ne puissent faire quoi que ce soit.
Les entreprises devraient également insister sur l’utilisation de services de “copies illimitées”, qui créent des copies de sauvegarde chaque fois qu’une modification est apportée à un fichier, plutôt que de créer des copies de sauvegarde selon un calendrier déterminé. Si une organisation est victime d’une attaque de ransomware, elle pourra revenir à l’état exact dans lequel elle se trouvait au moment de l’attaque.
2. Établir et appliquer des politiques en matière de mots de passe
Parmi ces 5 meilleures pratiques en matière de cybersécurité, les politiques relatives aux mots de passe constituent l’un des moyens les plus simples de sécuriser votre entreprise.
Non seulement les employés doivent avoir des mots de passe forts utilisés exclusivement au travail, mais un mot de passe ne doit jamais être réutilisé dans l’ensemble de l’organisation. Par exemple, vos administrateurs de réseau ne devraient jamais utiliser le même mot de passe pour toutes les technologies qu’ils gèrent. Lorsqu’un pirate informatique parvient à compromettre un mot de passe – qu’il ait été mal chiffré dans le système ou trouvé ailleurs – il tentera de l’utiliser partout pour s’authentifier dans le système, ce qui lui permettra parfois d’accéder à des éléments très importants pour votre entreprise.
Lorsqu’une base de données est violée par un pirate informatique, comme dans le cas de la faille de LinkedIn, les mots de passe sont vendus en ligne sur le dark web, ce qui est généralement la première chose qu’un pirate recherche lorsqu’il essaie de pirater une entreprise. Si un employé utilise le même mot de passe pour son travail que dans sa vie privée, il est très probable que ce mot de passe ait déjà été divulgué en ligne et qu’il soit utilisé par des pirates pour tenter de se connecter aux différentes technologies utilisées par l’entreprise.
Les pirates utilisent également des outils avancés qui exploitent une combinaison de dictionnaires, de listes de mots de passe courants et de modèles de mots de passe courants (par exemple : mot + chiffres + symbole) pour créer un algorithme de cassage de mots de passe qui tente des millions de combinaisons de mots de passe en l’espace de quelques minutes. La mise en place d’une politique de mot de passe solide permet de décourager les attaquants d’utiliser ces outils. Un bon moyen d’imposer des mots de passe forts est d’exiger l’utilisation de mots de passe générés de manière aléatoire à l’aide de gestionnaires de mots de passe, tels que Lastpass. Ces mots de passe sont pratiquement impossibles à déchiffrer à l’aide d’outils avancés.
Cette politique en matière de mots de passe devrait également exiger une authentification multifactorielle dans la mesure du possible. Voici quelques exemples d’AMF :
- Bandes de cartes magnétiques
- Codes des cartes de sécurité
- Codes d’accès (comme un code PIN) envoyés sur leurs appareils mobiles
- Biométrie (empreintes digitales ou reconnaissance faciale)
- Défi/réponse (l’utilisateur répond à une question impliquant généralement des informations personnelles qu’il est le seul à connaître)
L’AMF offre une protection supplémentaire en cas de fuite ou de découverte d’un mot de passe dans votre système. Si ces bonnes pratiques en matière de mots de passe sont respectées et que tous les mots de passe sont changés régulièrement, vous atténuerez une grande partie des risques de cybersécurité au sein de votre organisation.
3. Former les employés aux meilleures pratiques en matière de cybersécurité
Les employés qui traitent régulièrement des courriels doivent recevoir une formation complète sur les meilleures pratiques en matière de cybersécurité. L’année dernière, l’erreur humaine a été à l’origine de 90 % des cyberattaques, dont la plupart étaient dues à l’hameçonnage. (L’acte d’envoyer un courriel coercitif pour infecter un système et parfois même obtenir l’accès à son système)
Les attaques par hameçonnage ont conduit à certains des plus grands incidents de cybersécurité de l’histoire, comme l’attaque par ransomware du NHS qui a interrompu les soins aux patients pendant une semaine dans plusieurs centres médicaux au Royaume-Uni. Ces attaques nécessitent le moins d’efforts de la part des pirates et peuvent avoir des conséquences dramatiques.
Nous effectuons régulièrement des tests d’hameçonnage avec nos clients pour déterminer le niveau de sensibilisation de leurs employés aux risques d’hameçonnage, et nous avons remarqué des tendances alarmantes qui révèlent que la plupart des entreprises ne fournissent pas de formation adéquate sur les risques de cybersécurité associés à l’hameçonnage.
Les employeurs devraient fournir à leurs employés des exemples d’attaques par hameçonnage et leur expliquer la probabilité qu’ils soient également touchés par ces attaques. S’ils ne sont pas certains de la sensibilisation de leurs employés, ils devraient envisager d’effectuer des simulations d’hameçonnage pour démontrer à leurs employés les risques que cela pourrait représenter pour leur entreprise.
4. Mettez votre logiciel à jour dès que des mises à jour sont disponibles
La plupart des gens sont ennuyés par la perspective de mettre à jour leur système d’exploitation et leurs logiciels, mais ils ne devraient jamais prendre cette tâche à la légère. La majorité des correctifs sont publiés à des fins de sécurité, c’est pourquoi il ne faut jamais les négliger.
Par exemple, Microsoft a récemment publié une mise à jour d’urgence pour Internet Explorer afin de corriger une vulnérabilité qui aurait pu permettre à des pirates d’obtenir un accès administrateur complet à l’ordinateur de l’utilisateur.
Les pirates informatiques sont toujours à l’affût de ces vulnérabilités, qui font partie de leur boîte à outils et qu’ils tenteront d’exploiter chaque fois que l’occasion se présentera.
5. Attention aux privilèges des utilisateurs
Un employé malveillant disposant de plus de privilèges qu’il ne devrait en avoir pourrait facilement accéder à des données sensibles, en faire des copies et les vendre à des acteurs malveillants sur le dark web. Cette fuite d’informations peut entraîner de lourdes amendes en cas d’infraction à la législation sur la protection de la vie privée, une atteinte importante à la réputation dont il est difficile de se remettre et la divulgation de secrets commerciaux – voire d’informations techniques – qui pourraient ensuite être utilisés par des pirates informatiques pour accéder à vos systèmes critiques ou être vendus à vos concurrents.
Les entreprises doivent régulièrement vérifier leurs systèmes internes pour s’assurer que les privilèges des utilisateurs sont correctement respectés par leur infrastructure. Bien que les privilèges des utilisateurs soient souvent bien définis et que les utilisateurs se voient généralement accorder le moins de privilèges possible au sein de leur écosystème, il peut souvent être très facile pour ces utilisateurs d’élever leurs privilèges ou d’exploiter leur moyen de sortir de leurs privilèges limités.
En conclusion
Ces cinq bonnes pratiques en matière de cybersécurité, bien que faciles à appliquer, sont souvent négligées et laissées de côté, ce qui expose les organisations à divers types d’incidents de cybersécurité dont il peut être difficile de se remettre.
Besoin de tester la sensibilisation de vos employés, d’auditer les privilèges de vos utilisateurs ou de vérifier que ces bonnes pratiques sont respectées au sein de votre entreprise ? Contactez nos experts pour connaître la solidité de votre cybersécurité face aux pirates modernes.
