Avant d'envisager d'investir lourdement dans des solutions onéreuses, ou en parallèle de ce déploiement, quelques processus simples peuvent être mis en place pour adopter une stratégie de cyber-sécurité qui ne nécessite pas de dépenser une fortune.
Les organisations élargissent leur surface d'attaque, l'augmentation des volumes de données et l'explosion de la géographie des utilisateurs (mobilité) n'arrange pas les choses. Si les grandes entreprises ont su s'armer pour se défendre contre les cyber-attaques, et même si leur défense demeure encore fragile face à des attaques de plus en plus complexes et ciblées, les organisations de taille moyenne à petite doivent également se préoccuper des menaces qui pèsent sur elles.
La cyber-sécurité est trop souvent considérée au travers de ses aspects techniques et de ses solutions innovantes. Dans ces conditions, elle est jugée complexe et financièrement réservée aux grandes organisations. Pourtant, quelques démarches et solutions simples, empreintes de bon sens et ne nécessitant pas de dépenser une fortune, peuvent être lise en place.
Les conseils qui suivent sont dérivés de l'analyse de Joseph Steinberg, CEO de SecureMySocial, un spécialiste de la sécurité sur les réseaux sociaux. Ils ont le mérite d'être applicables immédiatement, et non pas à la suite d'un audit des risques permettant de déterminer une stratégie de sécurité et les outils qui devront l'accompagner.
1 – Sensibiliser
Chacun doit comprendre et garder à l'esprit qu'il est une cible afin d'agir différemment dans ses actes du quotidien. La réflexion sur la cyber-sécurité doit être permanente.
2 – Former
Il existe des principes de base et des cyber-comportements qui doivent être acquis, compris et acceptés. La formation – directe ou libre et en ligne - représente une ligne de défense, certes insuffisante, mais indispensable.
3 – Réglementer
L'entreprise doit disposer de règles, et chacun doit en prendre connaissance et s'y conforter. Ces règles doivent également prendre en compte les règlementations et normes applicables dans l'entreprise et s'y conformer.
4 - Sélectionner
Ne donnez pas les clés du château à tout le monde. Les accès au SI et aux données sont à réserver aux personnes qui en ont besoin dans leur fonction.
5 – Sauvegarder
La sauvegarde est un outil indispensable pour assurer la copie et donc la protection des données, ainsi que pour les retrouver en cas d'incident et/ou de perte des données. Sauvegardez souvent, régulièrement, et hors site.
6 – Crypter
Les données sensibles doivent être stockées dans un format crypté. Il vaut d'ailleurs mieux pêcher pas prudence, et chiffrer plus largement que les seules données sensibles. De nombreux environnements et solutions (comme Windows) proposent des solutions de chiffrement.
7 – Identifier
Chaque personne qui dispose d'un accès au système doit posséder son propre identifiant. La personnalisation encourage les individus à mieux protéger son mot de passe et permet éventuellement de suivre son activité.
8 – Authentifier
A minima, exigez des mots de passe complexe, composés de lettres en majuscule et minuscule, de chiffres, voire de caractères typographiques. Un petit truc simple, conseillez l'usage de plusieurs noms propres encadrant les chiffres faisant référence à un évènement personnel. C'est ertes long mais plus facile à retenir par l'usager. Et si cela ne vous suffit pas ou que vos données sont très sensibles, choisissez d'autres formes d'authentification, comme le multi-facteurs ou la biométrie.
9 – Utiliser un logiciel
Même critiqué, le logiciel de sécurité demeure indispensable, pour a minima offrir un antivirus, un anti-spam, et un parefeu. Et pour les mobiles, vérifiez que la solution retenue permet l'effacement à distance.
10 – Séparer les accès
Si votre routeur le permet, séparez les accès internet et mettez en oeuvre des réseaux distincts, comme un réseau pour l'entreprise, un réseau pour les smartphones, un réseau pour les visiteurs. Ces mesures accompagnent la sensibilisation des utilisateurs à la protection de leurs équipements personnels, car ne nous faisons pas d'illusion, dès que l'in utilise son PC oiu son smartphone personnel, les règles sont vite oubliées...
Joseph Steinberg accompagne ses conseils de deux autres recommandations :
Mettre en place une politique de sécurité à destination de l'usage des réseaux sociaux. En l'absence de règles, de contrôles et d'éventuelles sanctions, l'usage de ces réseaux peut devenir rapidement un véritable cauchemar
Recruter un professionnel de la cyber-sécurité et de la protection de la donnée, lorsque c'est possible. Pour tenir votre comptabilité, vous embauchez un comptable, pour régler un conflit, vous recrutez les services d'un avocat, et pour assurer la cyber-sécurité de votre entreprise ?
Crédit image iStock @ Askold Romanov
