Les bonnes pratiques de Cybersecurité pour les startups et PME : Les 7 Conseils d'Africa Cybersecurity Mag pour 2020

Les jeunes entreprises, en particulier les startups, offrent souvent des environnements de travail très flexibles à leurs collaborateurs. Néanmoins, cela ne va pas sans risques. Quelles sont les mesures de sécurité à mettre en place dès le début de la nouvelle année ?


Les entreprises récemment créées sont nombreuses à plébisciter le télétravail, le flex office et le BYOD (Bring Your Own Device), à la fois pour des raisons de coûts et pour répondre aux besoins de flexibilité de leurs collaborateurs. Ces usages font cependant courir des risques en termes de sécurité et protection des données, dont les conséquences peuvent être majeures, notamment dans les startups dont l’essentiel de la valeur repose souvent sur des actifs immatériels. Comment ces entreprises innovantes peuvent-elles intégrer la cybersécurité dans leurs pratiques le plus tôt possible ? Quelles sont les actions prioritaires pour renforcer la protection de leurs données et équipements sensibles ? Voici nos sept (07) conseils d'Africa Cybersecurity Mag pour se prémunir.


1. Mettre en place une authentification forte

 

Pour protéger les réseaux, les données et les applications d'entreprise, les solutions d’authentification fortes sont un prérequis indispensable. Cette authentification peut passer par l'imposition de mots de passe forts. 
Cependant, l’option privilégiée à l’heure actuelle est une authentification en deux étapes, qui combine des certificats numériques et des tokens. Cette solution, à la fois pratique et sécurisée, permet de sécuriser l’accès à divers équipements : serveurs de contrôleur de domaine, certificats de machines, terminaux mobiles, connexions à l'aide d'une smart card, services cloud, clés USB approuvées, VPN, passerelles et réseaux wifi.


 
2. Éteindre le Bluetooth

 

Le Bluetooth est une porte d’entrée privilégiée pour plusieurs attaques, qui exposent au vol de données, voire à la prise de contrôle totale de l’appareil. Il faut donc inciter les collaborateurs à le désactiver de manière systématique, sauf en cas d’usage temporaire.

 

3. Dissuader (vivement) ses collaborateurs de débrider leurs terminaux

 

Le déverrouillage/déplombage (jailbreaking) et de débridage/rootage (rooting) des terminaux renvoient à des opérations qui consistent à lever les limitations logicielles des systèmes d'exploitation d'un appareil, pour accéder à des fonctionnalités autrement interdites.
En déverrouillant ces fonctions avancées, en particulier sur les terminaux Android, l'appareil est exposé à toutes sortes d'attaques. Une personne mal intentionnée peut notamment en prendre le contrôle, puis exécuter toutes sortes d'opérations sur le téléphone : écoutes via le micro, accès à la connexion Internet, connexion aux applications via le compte de l'utilisateur.

 

4. Chiffrer la connexion Internet du bureau

 

Souvent, les jeunes pousses se contentent des fonctions de sécurité élémentaire du routeur fourni par leur fournisseur d'accès Internet (FAI), avec un trafic Internet non chiffré.
Dans les entreprises de moins de 25 employés, la mise en place d’un VPN sur le routeur lui-même permet de chiffrer toutes les données transmises via le réseau. Les VPN peuvent légèrement ralentir la connexion Internet, mais avec un routeur de qualité, ce retard devrait être minime.

 

5. Instaurer des règles pour les téléchargements et les antivirus

 

Cette pratique de base, généralement connue de beaucoup de salariés, est malheureusement souvent peu respectée dans les faits. Il revient donc à l’entreprise de responsabiliser ses collaborateurs, en rappelant régulièrement les menaces associées au téléchargement et les moyens de s’en prémunir, notamment sur les appareils personnels.
Chaque collaborateur doit ainsi disposer d’un antivirus à jour et de qualité sur les appareils utilisés dans le cadre du BYOD. À chacun également de s'assurer qu'une analyse de ses appareils est régulièrement effectuée. Tout fichier téléchargé individuellement doit enfin être analysé avant d'être ouvert.

 

6. Interdire les clés USB

 

Les clés USB sont pratiques, mais dangereuses. Leur absence de chiffrement et la facilité avec laquelle elles peuvent être égarées constituent les principaux facteurs d'inquiétude. Celles-ci peuvent également propager des programmes malveillants si elles sont connectées à un appareil du réseau interne de l’entreprise. Mieux vaut donc prévenir, en interdisant l’usage de clefs, à l’exception de solutions sécurisées.

 

7. Adopter une politique interne de Cybersécurité et assurer la sensibilisation des collaborateurs.

 

Les employés doivent avoir une meilleure connaissance du moment où les données  professionnelles sont en sécurité ou non. Un des plus grands enjeux que les organisations doivent affronter est l’envoi par les employés des documents d’entreprise sensibles sur leur messagerie personnelle. Une fois qu’un document est divulgué, il n’est plus sous le contrôle de l’organisation, sa sécurité ne peut plus donc être contrôlée. Pour cela, un rappel permanent de ces enjeux par le chargé de la sécurité des données est indispensable.
 

Fawaz MOUSSOUGAN