Article

Nos 7 conseils en sécurité informatique pour les PME

Cybersecurity_Shield_Lock

Si vous n’avez pas envie de lire tout l’article, voici nos 7 conseils en bref :

  • Sensibilisation des collaborateurs
  • Utilisation d’un pare-feu et d’un antivirus
  • Utilisation de l’authentification à deux facteurs
  • Protéger votre réseau
  • Maintenir vos systèmes à jour
  • Gestion des données adéquate
  • Créer un plan d’action

La pandémie de COVID-19 actuelle nous montre que si une société est mal préparée face à la menace d’un virus, les conséquences peuvent être dramatiques.  Ce constat est transposable à un virus informatique. Il est donc indispensable pour les PME de se protéger et de se préparer face à l’éventualité d’une telle attaque.

Nous tacherons ici de vous donner les meilleurs conseils pour améliorer la sécurité informatique de votre PME.

1. Sensibilisation des collaborateurs

Le maillon faible dans la sécurité informatique est encore bien souvent l’être humain. Vos collaborateurs devraient pour cela être avertis que chaque compte nécessite un mot de passe fort et différent des autres quitte à utiliser un gestionnaire de mots de passe.

Il est toujours bon de rappeler comment reconnaitre une attaque utilisant les failles humaines, typiquement le phising. Enfin, si votre entreprise utilise des services dans le nuage, il est important de les former à la bonne utilisation de ceux-ci.

2. Utilisation d’un pare-feu et d’un antivirus

L’installation d’un antivirus et d’un pare-feu à l’échelle globale de l’entreprise constitue une première ligne de défense. Le pare-feu vérifie que chaque connexion sur le réseau de l’entreprise est légitime et la bloque si elle ne l’est pas.

L’antivirus lui vérifie en tout temps qu’aucun fichier n’est infecté. Les deux agissent comme des remparts et limitent grandement l’intrusion de logiciels malveillants dans le réseau. Lancer une analyse sur tous les ordinateurs ainsi que le réseau tous les matins permettra de vérifier que l’antivirus et le pare-feu n’ont pas laissé passer une menace connue pendant leur fonctionnement en mode arrière-plan.

Nous vous recommandons de lire notre notre sélection de pares-feux ainsi que notre guide pour choisir l’antivirus le plus adapté à vos besoins.

3. Utilisation de l’authentification à deux facteurs

2FA signifie « Two-Factor Authentication » littéralement « authentification à deux facteurs ».

Lors de sa dernière conférence RSA, Microsoft a rappelé qu’en moyenne parmi les comptes Azure Active Directory piratés chaque mois, 99,9 % d’entre eux n’utilisaient qu’un mot de passe pour se sécuriser. De plus, les experts en sécurité informatique étaient formels : 95 % des comptes Office365 et G Suite piratés le sont grâce à des attaques d’arrosage de mots de passe et rediffusion de mots de passe.

Ces attaques fonctionnent car les mots de passe utilisés sont trop simplistes et répandus (on pense par exemple au classique Qwerty123). La combinaison de mots de passe forts ainsi que l’utilisation de la double authentification rendent ces genres d’attaques impuissantes. Pour pouvoir pirater les comptes les pirates devront utiliser des méthodes bien plus contraignantes.

La majorité des applications aujourd’hui sont compatibles avec la 2FA. Plusieurs options s’offrent à vous, ainsi Google propose son application Google Authenticator, RSA propose ses solutions physiques SecurID et d’autres solutions telles que les clés USB YubiKey existent.

4. Protéger votre réseau

En complément du pare-feu, un réseau peut être protégé de plusieurs manières.

Si vous avez la possibilité de connecter tous les périphériques ayant besoin d’avoir accès au réseau interne de l’entreprise par câble Ethernet, nous vous le recommandons. Restreindre l’accès au réseau interne seulement aux périphériques connectés par câble complexifie grandement l’intrusion dans votre réseau car l’attaque devra être menée en étant physiquement sur place.

Si le Wi-Fi est nécessaire à votre activité, dans un premier temps il est possible de faire deux réseaux différents. Ainsi, un premier réseau sera un réseau Wi-Fi caché dont seuls vos collaborateurs connaîtront l’existence, ce réseau sera celui qui permettra d’accéder à tout le réseau interne de l’entreprise (les différents ordinateurs, imprimantes, etc.) et au réseau internet extérieur.

Un second réseau Wi-Fi sera créé, ne permettant que d’accéder au réseau internet extérieur, ce sera celui que vous donnerez à vos clients lorsque ceux-ci auront besoin d’accéder à internet lorsqu’ils seront présents dans vos locaux.

Les récents évènements nous ont montré que le télétravail est voué à se développer à grande échelle. Il est donc fondamental de permettre aux collaborateurs d’accéder au réseau interne de l’entreprise, cependant, on ne veut pas que n’importe qui puisse y accéder depuis l’extérieur. C’est pourquoi l’utilisation d’un VPN est nécessaire pour augmenter la sécurité informatique de votre organisation.

5. Maintenir vos systèmes à jour

Un autre vecteur important de sécurité informatique est de garder toutes vos applications et appareils à jour. Celles-ci sont indispensables pour assurer la sécurité des logiciels et appareils utilisés car les éditeurs corrigent au fur et à mesure les failles de sécurité trouvées après la sortie du produit ou du logiciel.

De plus, ces mises à jour implémentent parfois de nouvelles fonctionnalités utiles et améliorent la stabilité générale du produit. Il est primordial de prévoir une plage horaire chaque semaine pendant laquelle vous vérifiez que tous vos postes de travail sont à jour. Par ailleurs, certains antivirus permettent de vérifier si toutes vos applications sont à jour lors du scan journalier.

6. Gestion des données adéquate

Jusqu’à présent nous avons présenté les manières de se protéger d’une intrusion dans l’optique de protéger ses données. Il est tout aussi important de protéger les données en elles même pour augmenter la sécurité informatique de votre organisation.

Dans un premier temps, il est important de faire des sauvegardes régulières et dans plusieurs endroits pour pouvoir se prémunir d’une suppression de données due à une attaque ou un bug informatique. Nous recommandons d’avoir trois sauvegardes de vos données : deux à des locations différentes et une hors-site, donc dans le cloud. C’est la règle du 3-2-1.

Il est ensuite important pour une entreprise de crypter ses données pour améliorer sa sécurité informatique. Le cryptage permet de rendre des données inutilisables pour celui qui ne possède pas la clé de déchiffrement. Ceci rajoute une couche de sécurité car même en possession des données, le pirate ne peut rien en faire s’il ne possède pas la clé de déchiffrement.

7. Créer un plan d’action

Malgré toutes les précautions que l’on prend, une attaque peut malheureusement arriver. La grande question n’est finalement pas de savoir si une attaque arrivera, mais quand!

En effet, certaines failles ne pas encore découvertes par les développeurs et peuvent ainsi être exploitées par des pirates. On parle alors de failles zero-day. Il est donc primordial après avoir mis en place les conseils précédents de se préparer au jour ou une attaque informatique sera découverte sur le réseau de votre entreprise.

Ce plan vous permettra de faire les choix approprié pour la sécurité informatique de votre PME lors de ces crises, qui pourraient avoir des conséquences dramatiques si elles sont mal gérées.

Nexxo peut vous aider à améliorer la sécurité informatique de votre PME

La sécurité informatique des PME est une bataille sans cesse qui nécessite les ressources adéquates. Si après la lecture de cet article vous avez des question, contactez-nous. Nous regarderons ensemble comment nous pouvons vous assister dans la gestion de la sécurité informatique de votre entreprise et tirer plein profit des TI pour croître.


À Propos de Nexxo Solutions informatiques

Nexxo Solutions informatiques est une entreprise qui se spécialise dans la prestation de services informatiques et technologiques auprès des entreprises québécoises. Sa mission est d’offrir aux entreprises québécoises des services informatiques adaptés à leurs besoins. En agissant comme un département T.I. externe, elle prend en charge toutes les tâches informatiques d’une entreprise pour lui permettre de se concentrer sur ses activités d’affaires. Elle y arrive en collaborant étroitement avec ses clients et en mettant leurs intérêts au centre de ses préoccupations.

Articles similaires

article
Attention aux ransomwares qui se font passer pour des mises à jour de Windows

C'est la jungle ! Ne vous fiez pas à toutes les "mises à jour Windows" que vous rencontrez. Restez vigilant, renforcez vos défenses et protégez-vous des attaques de ransomware ! Consultez notre…

article
Les 10 erreurs erreurs courantes que les PME font en matière de cybersécurité

PME, prenez note! Évitez ces 10 erreurs courantes de cybersécurité pour protéger votre entreprise des menaces numériques. Vos données et votre réputation en valent la peine!

article
Pourquoi vous devez comprendre les pratiques de cybersécurité « Secure by Design »

La construction d'un avenir numérique plus sûr commence par la conception! Découvrez pourquoi les pratiques de cybersécurité « Secure-by-Design » sont essentielles pour garder une longueur d'avance sur les cybermenaces et protéger…