ASSURER SA SÉCURITÉ INFORMATIQUE AVEC DES PROCÉDURES SIMPLES
Des mots de passe trop simples, des logiciels non remis à jour, un stockage de données sur un cloud aux tarifs trop attractifs… autant de portes ouvertes à des risques multiples. En entreprise, la sécurité informatique commence par des mesures de bon sens. Un guide édité par la CPME propose douze règles de base.
Cela n’arrive pas qu’aux autres. Julien, comptable, a choisi le mot de passe 123456, pour aller consulter les comptes bancaires en ligne de son entreprise. Résultat : celle-ci s’est fait dérober 10 000 euros, lors d’une attaque informatique… Victime d’une simple panne d’ordinateur, Patrick, commerçant, a perdu la totalité de son fichier clients. Il n’avait pas effectué de copie de sauvegarde… Voici quelques déboires du quotidien de la PME ou TPE du XXIe siècle, relayés par le Guide des bonnes pratiques de l’informatique. Édité en septembre dernier par la CPME et l’Agence nationale de sécurité des systèmes d’information (Anssi), l’ouvrage est téléchargeable en ligne. Les risques informatiques sont multiples : ils peuvent engendrer des pertes financières, mais aussi troubler les process de production de l’entreprise ou entacher sa réputation, par exemple, si elle se fait dérober des fichiers clients… « Quelle que soit sa taille, une PME doit prendre conscience qu’elle peut être à tout moment confrontée à la cybercriminalité (…) Si les contraintes financières des petites structures restent un frein à la construction d’une cybersécurité optimale, il existe des bonnes pratiques peu coûteuses et faciles à mettre en œuvre permettant de limiter une grande partie des risques liés à l’usage de l’informatique », prévient, en préambule, François Asselin président de la CPME, dans l’ouvrage. Ce dernier liste une douzaine de démarches, comme la mise à jour régulière des logiciels, la protection de ses données lors des déplacements, les précautions à prendre lors des paiements en ligne, la sécurisation de l’accès au réseau Wifi de son entreprise, ou la sécurisation des mots de passe. Pour chaque sujet, le guide propose une liste de gestes ou de procédures simples mais nécessaires, destinés à éviter ces mésaventures qui peuvent coûter cher à l’entreprise.
QUI MET À JOUR LES LOGICIELS ?
Concernant les mots de passe, par exemple, le guide propose des méthodes mnémotechniques pour en élaborer des complexes, difficiles à retrouver à l’aide d’outils automatisés ou à deviner par une tierce personne. Autres précautions à prendre : ne pas préenregistrer les mots de passe dans les navigateurs, ni les conserver dans des fichiers ou sur un post-it… Autre enjeu de taille, celui de la mise à jour régulièrement des logiciels. « Dans chaque système d’exploitation (…), logiciel ou application, des vulnérabilités existent. Une fois découvertes, elles sont corrigées par les éditeurs qui proposent alors aux utilisateurs des mises à jour de sécurité. Sachant que bon nombre d’utilisateurs ne procèdent pas à ces mises à jour, les attaquants exploitent ces vulnérabilités pour mener à bien leurs opérations encore longtemps après leur découverte et leur correction », rappelle le guide, qui invite à définir, au sein de l’entreprise, la personne chargée de cette démarche… Autre préconisation encore, la sauvegarde régulière et à échéance rapprochée des données informatiques. Pour ce, il est préférable d’utiliser un disque dur externe réservé exclusivement à cet usage, conservé si possible à l’extérieur de l’entreprise : en cas d’incident, comme un incendie, ou de vol, la copie de sauvegarde sera ainsi préservée. Quant aux solutions de stockage sur le cloud, sur des plates-formes Internet proposées par des prestataires, la CPME invite à la prudence. « Soyez conscient que ces sites de stockage peuvent être la cible d’attaques informatiques et que ces solutions impliquent des risques spécifiques », met en garde le guide. Il faut lire avec attention les contrats proposés, sachant que les versions standard ne couvrent pas tous les risques. Et, si possible, recourir à un spécialiste pour faire réaliser un contrat adapté aux besoins de l’entreprise.