Pour une TPE ou PME, une cyberattaque peut être synonyme de lourdes pertes et dans le pire des cas, de liquidation judiciaire. Les outils et stratégies de protection sont indispensables mais doivent s’accompagner d’actions d’information et sensibilisation des salariés.
Si les grandes entreprises peuvent affronter les conséquences des malveillances numériques sans trop de dommages, il n’en est pas de même pour les petites et moyennes entreprises qui peuvent en ressortir fragilisées. L’Agence nationale de la sécurité des systèmes d'information (ANSSI) détaille ici les mesures simples pour les TPE ou plus avancées pour les PME. L’équipe IT de ces organisations dispose d’un arsenal de mesures techniques efficaces comme le cloisonnement des utilisateurs, la segmentation des réseaux, l’absence de privilèges administrateur pour la plupart des salariés, le paramétrage fin des pare-feux, etc.
Les DSI des PME doivent consulter la veille technique de l’ANSSI, relative aux campagnes d’attaques et aux vulnérabilités, effectuée par le centre gouvernemental de veille, d'alertes et de réponse aux actions malveillantes, le CERT-FR.
RCDevs, société de sécurité informatique spécialisée dans la gestion des identités et l'authentification forte, met l’accent sur la place cruciale de l’humain dans la chaîne de prévention contre les risques numériques, en attirant l’attention des collaborateurs « Si mon employeur est rançonné, si nos datas sont volées ou diffusées, si mon entreprise est à l'arrêt, il y a un risque pour ma rémunération, voire mon emploi, donc je dois être vigilant».
Informer et sensibiliser le personnel
La communication de la direction générale ou des équipes IT sur les mesures indispensables de prévention ne doivent être ni anxiogènes, ni trop simplifiées. Elles réduiront sensiblement les risques d’une cyberattaque.
Concernant la messagerie par laquelle transitent beaucoup les attaques par ransomware, il faut que les salariés sachent répondre aux points basiques qui suivent :
L’e-mail consulté indique t-il une URL (adresse) mais renvoie t-il en fait à une autre ? Le message demande t-il des informations personnelles ? Les informations de l’en-tête correspondent-elles bien à l’expéditeur ?
La gestion des mots de passe est un autre point de vigilance. Outre leur renforcement, l’utilisation du même sésame pour les comptes, personnels et professionnels est à proscrire car il peut donner accès au réseau de l’entreprise s’il est découvert.
En déplacement, la surveillance rigoureuse des ordinateurs portables, smartphones, clé USB confidentielles parait évidente mais il reste toujours des progrès à faire.
De courtes sessions d’information de sensibilisation et information aux risques devraient être dispensées, complétées pour les PME par la diffusion au personnel d’une charte des règles essentielles de prévention au cyberisque. Encore faut-il que les salariés la lisent et l’appliquent.