Guide de survie en cybersécurité pour les PME

Les entreprises contemporaines doivent obligatoirement composer avec la technologie. De même, la pandémie de COVID-19 et la ruée inévitable vers le travail à distance a mis à l'épreuve la résilience de nombreuses entreprises, tout en créant un terreau fertile pour la cybercriminalité.

Cette pandémie n'est pas encore totalement éradiquée que les experts de la cybersécurité tirent la sonnette d'alarme concernant un autre danger mondial: le risque de retombées majeures de la guerre en Ukraine qui pourrait perturber les opérations des organisations dans le monde et, dans certains cas, déclencher un crise en cascade.

Le risque est important pour les agences gouvernementales et les multinationales, les petites et moyennes entreprises (PME). Ces dernières sont les plus vulnérables car dépourvues des ressources des grandes entreprises. Dans cette situation, les petites entreprises peuvent trouver particulièrement difficile de se défendre contre les cybercriminels ou de rebondir après une attaque réussie.

En effet, les PME sont une cible privilégiée des cybercriminels, ayant plus d'actifs et d'argent que les consommateurs lambdas, mais des cyberdéfense moins sophistiquées que les grandes entreprises. Ainsi, ces entreprises doivent régulièrement évaluer leurs capacités de réponse aux incidents, d'autant plus en période de risque accru.

Si une PME n’en est qu’au stade de l’évaluation de ses risques de sécurité, on peut supposer qu’elle n’en est qu’à ses débuts. Il existe cependant quelques mesures simples qu'elle peut prendre immédiatement pour protéger ses données et celles de ses employés :

  1. Faire un inventaire pour évaluer le risque : Si on ne sait pas ce qu'on a, on ne peut le protéger. Il faut donc tenir une liste de tout le matériel : PC, ordinateurs portables, téléphones mobiles, routeurs et imprimantes. Inclure également vos services numériques, les logiciels utilisés, les comptes bancaires et les services cloud. Grâce à cet inventaire, il sera plus facile de savoir où et ce qui pourrait mal tourner.
  2. Définir les politiques de sécurité : La sécurité et un bon leadership vont de pair. La direction de la PME doit veiller à communiquer à ses employés pourquoi il s’agit d’un sujet important, pourquoi seul le personnel autorisé peut entrer dans le bureau, ou pourquoi ils ne doivent pas utiliser d’ordinateurs portables personnels ou d’autres appareils pour accéder aux données professionnelles. S’ils travaillent à distance, il faut des explications sur pourquoi ils doivent être prudents lorsqu’ils se connectent à des points d’accès Wi-Fi publics.
  3. Mettre en place des contrôles : Pour s’assurer que les politiques convenues sont appliquées, il est important de mettre en place des contrôles informatiques. Une étape fondamentale consiste à définir un nom d’utilisateur et un mot de passe ou une phrase de passe unique pour que chaque employé puisse accéder à son ordinateur portable et à l’intranet de l’entreprise. Définir le protocole que les employés doivent suivre en cas de problème ou d’incident de sécurité. Il faut également utiliser un logiciel de sécurité pour protéger les employés contre les logiciels malveillants. Enfin, envisager d’utiliser le chiffrement pour empêcher l’accès aux données et leur lecture par un attaquant et l’authentification à deux facteurs pour fournir une couche supplémentaire en plus du mot de passe.
  4. Tester les politiques de sécurité : Avec les mesures prises précédemment, l'entreprise bénéficie déjà d’un certain niveau de protection. Mais il faut s'assurer que toutes les étapes ont été bien adoptées et qu’elles offrent une réponse fluide en cas d’attaque. 
  5. Sensibiliser : Sensibiliser les employés à la cybersécurité est un effort quotidien. Même des travailleurs bien informés peuvent se laisser prendre à de simples courriels de tentative d’hameçonnage. Une stratégie de sécurité efficace dépend du leadership pour informer et éduquer les employés.
  6. Continuer à tester : Une fois que les étapes précédentes sont franchies, il réévalue ces processus au moins une fois par an, voire plus souvent en période de crise. S'assurer que les employés respectent les directives, que tous les logiciels sont à jour pour rester à l’abri des vulnérabilités connues, et désactiver ou supprimer les comptes et les accès des employés qui ont quitté l’entreprise.

En suivant ces étapes simples, la sécurité d'une PME passera à un niveau supérieur. Cependant, il faudra s'attendre à ce que des attaques se produisent. Quand elles se produisent, l'entreprise doit savoir qui appeler pour obtenir de l’aide (CERT National, Consultant privé, etc..), car les menaces peuvent se manifester sous différentes formes. Il est aussi important de garder à l'esprit que les données des clients sont tout aussi précieuses pour l'entreprise que pour les attaquants. Ces derniers peuvent les utiliser à des fins illicites, les partager en ligne pour nuire à la crédibilité de l'entreprise, ou les voler pour pousser à payer une rançon. Ils peuvent aussi simplement les effacer sans motif apparent et nuire gravement à l'entreprise.

Les patrons de PME doivent ajouter quelques préoccupations supplémentaires qui ne faisaient pas partie de leur liste de contrôle de sécurité il y a encore peu de temps. Mais ils ne doivent pas se laisser submerger. S’assurer que les mots de passe sont forts et que les employés comprennent la nécessité de suivre les politiques de sécurité est un bon point de départ.


La Rédaction d'Africa Cybersecurity Mag