La cybercriminalité augmente dans des proportions alarmantes. Les petites et moyennes entreprises sont devenues des cibles privilégiées pour les cybercriminels. Le Wall Street Journal a récemment déclaré que les petites entreprises se remettent rarement d’une cyberattaque, mais quelques étapes très simples vous permettent cependant de protéger votre entreprise. DataSecurityBreach.fr vous proposait, il y a quelques jours, des méthodes à mettre en place lors de vos voyages, avec votre ordinateur portable.
Quels sont les mots de passe que les cybercriminels tentent d’abord d’utiliser ? Comment sensibilisez-vous vos employés à la politique de sécurité ? Vos employés ont-ils conscience des risques liés aux réseaux sociaux ? Check Point répond notamment à ces questions pour vous aider à améliorer votre sécurité dès aujourd’hui. Cet article décrit les 10 meilleures pratiques de sécurité que les petites entreprises doivent prendre en compte pour protéger leur réseau.
1. Les mots de passe communs sont de mauvais mots de passe
Les mots de passe sont votre première ligne de défense en matière de sécurité. Les cybercriminels qui tentent de s’introduire dans votre réseau débutent leur attaque en essayant les mots de passe les plus courants. Une étude de SplashData a déterminé les 25 mots de passe les plus communément utilisés dans les pays anglophones. Vous n’en croirez pas vos yeux… Assurez-vous que vos utilisateurs utilisent des mots de passe longs (plus de 8 caractères) et complexes (comprenant des minuscules, des majuscules, des chiffres et des caractères non alphanumériques).
1 password
2 123456
3 12345678
4 abc123
5 qwerty
6 monkey
7 letmein
8 dragon
9 111111
10 baseball
11 iloveyou
12 trustno1
13 1234567
14 sunshine
15 master
16 123123
17 welcome
18 shadow
19 ashley
20 football
21 jesus
22 michael
23 ninja
24 mustang
25 password1
2. Verrouillez chaque entrée
Il suffit d’une seule porte ouverte pour permettre à un cybercriminel de pénétrer dans votre réseau. Tout comme vous protégez votre domicile en verrouillant la porte d’entrée, la porte du jardin et les fenêtres, pensez à protéger votre réseau de la même façon. Réfléchissez à toutes les manières dont quelqu’un pourrait s’introduire dans votre réseau, puis assurez-vous que seuls les utilisateurs autorisés peuvent le faire.
· Utilisez des mots de passe renforcés sur les ordinateurs portables, les smartphones, les tablettes et les points d’accès Wifi. · Utilisez un pare-feu intégrant un système de prévention des menaces pour protéger l’accès à votre réseau (tel que l’Appliance Check Point 600)
· Protégez vos postes (ordinateurs portables et ordinateurs de bureau) par des logiciels antivirus, antispam et antiphishing · Prémunissez-vous contre l’une des méthodes d’attaque les plus courantes en demandant aux employés de ne pas connecter de périphérique USB inconnu
3. Segmentez votre réseau
Une manière de protéger votre réseau consiste à le découper en zones et protéger chaque zone de manière appropriée. Une zone peut être réservée uniquement au travail important, tandis qu’une autre peut être réservée aux invités, dans laquelle les clients peuvent surfer sur Internet sans être en mesure d’accéder à la zone de travail. Segmentez votre réseau et imposez des exigences de sécurité plus strictes là où c’est nécessaire.
· Les serveurs web destinés au public ne devraient pas être autorisés à accéder à votre réseau interne · Vous pouvez autoriser l’accès invité, mais ne permettez pas à des invités d’accéder à votre réseau interne · Découpez éventuellement votre réseau selon les différentes fonctions de l’entreprise (service clientèle, finance, reste des employés)
4. Définissez et appliquez une politique de sécurité, et sensibilisez vos utilisateurs
Définissez une politique de sécurité (de nombreuses petites entreprises n’en ont pas) et utilisez votre système de prévention des menaces à sa pleine capacité. Prenez le temps de déterminer les applications que vous souhaitez autoriser sur votre réseau et celles que vous n’autorisez pas. Formez vos employés à l’utilisation conforme du réseau de l’entreprise. Officialisez la politique de sécurité, puis appliquez-la où vous le pouvez. Notez tous les manquements à la politique et toute utilisation excessive de la bande passante.
· Mettez en place une politique d’utilisation appropriée pour les applications et les sites web autorisés/non autorisés · N’autorisez pas l’utilisation d’applications à risque, telles que Bit Torrent et autres applications de partage de fichiers en P2P, qui sont une des méthodes courantes de diffusion de logiciels malveillants
· Bloquez TOR et tout autre anonymiseur dont l’objectif est de masquer les comportements et contourner la sécurité
· Pensez aux réseaux sociaux durant la définition de la politique
5. Prenez conscience des risques liés aux réseaux sociaux
Les réseaux sociaux sont une mine d’or pour les cybercriminels qui cherchent à obtenir des informations sur des individus pour améliorer les chances de succès de leurs attaques. Les attaques de phishing, de spearphish et d’ingénierie sociale, débutent toutes par la collecte de données personnelles sur des individus.
· Sensibilisez vos employés en les invitant à faire preuve de prudence lorsqu’ils communiquent sur les réseaux sociaux, même lorsqu’il s’agit de leur compte personnel
· Faites savoir à vos utilisateurs que les cybercriminels constituent des profils sur les salariés pour augmenter la réussite de leurs attaques de phishing et d’ingénierie sociale
· Formez vos employés sur les paramètres de confidentialité des réseaux sociaux afin de protéger leurs données personnelles
· Les utilisateurs devraient faire attention aux informations qu’ils partagent car les cybercriminels pourraient deviner les réponses de sécurité (telles que le prénom des enfants) pour réinitialiser des mots de passe et ainsi réussir à accéder à leur compte
6. Chiffrez tout
Une seule fuite de données peut être dévastatrice pour votre entreprise et sa réputation. Protégez vos données en chiffrant celles qui sont confidentielles, et facilitez ce processus pour vos employés.
Intégrez le chiffrement à votre politique de sécurité.
· Installez des mécanismes de chiffrement avant le démarrage sur les ordinateurs portables de l’entreprise pour les protéger en cas de perte ou de vol
· Achetez des disques durs et des clés USB avec chiffrement intégré
· Renforcez le chiffrement de votre réseau Wifi (en utilisant notamment la norme WPA2 avec chiffrement AES)
· Protégez vos données des écoutes clandestines en chiffrant les communications Wifi via VPN (réseau privé virtuel)
7. Maintenez votre réseau au top de ses performances
Votre réseau et l’ensemble des composantes qui y sont connectés, devraient fonctionner comme une machine bien huilée. Une maintenance régulière permet de garantir des performances optimales et d’éviter tout ralentissement.
· Vérifiez que les systèmes d’exploitation des ordinateurs portables et des serveurs sont à jour (Windows Update est activé sur tous les systèmes)
· Désinstallez tout logiciel qui n’est pas nécessaire à votre activité pour éviter d’avoir à le mettre à jour régulièrement (Java, par exemple)
· Mettez à jour les navigateurs et les applications Flash, Adobe et autres, sur vos serveurs et ordinateurs portables
· Activez les mises à jour automatiques le cas échéant pour Windows, Chrome, Firefox, Adobe
· Utilisez un système de prévention des intrusions (IPS) tel que l’Appliance Check Point 600 pour stopper les attaques sur les ordinateurs portables qui ne sont pas à jour
8. Faites preuve de prudence envers le Cloud
Le stockage et les applications dans le Cloud sont à la mode, mais comme vous le rappelle souvent datasecuritybreach.fr, soyez prudent. Tout contenu déplacé vers le Cloud échappe à votre contrôle. Les cybercriminels profitent des faiblesses de sécurité de certains fournisseurs de service.
· Lorsque vous utilisez le Cloud, vous devez considérer que les contenus que vous y envoyez ne sont plus privés
· Chiffrez les contenus avant de les envoyer (y compris les sauvegardes système)
· Vérifiez la sécurité de votre fournisseur de service
· N’utilisez pas le même mot de passe partout, en particulier ceux que vous utilisez pour le Cloud
9. Ne laissez pas l’administration aux soins de tous
Les ordinateurs portables sont accessibles via des comptes utilisateur et des comptes administrateur. L’accès administrateur donne plus de liberté aux utilisateurs et de contrôle sur leur ordinateur portable, mais ce contrôle est transféré aux cybercriminels lorsque le compte administrateur est piraté.
· Ne laissez pas les employés utiliser Windows avec des privilèges administrateur dans le cadre de leur activité quotidienne.
· L’utilisation d’un compte avec des droits utilisateur réduit la capacité des logiciels malveillants à provoquer des dégâts, comme ils pourraient le faire avec des privilèges administrateur.
· Prenez l’habitude de changer les mots de passe par défaut sur tous les appareils, y compris les ordinateurs portables, les serveurs, les routeurs, les passerelles et les imprimantes réseau.
10. Maîtrisez l’utilisation des appareils personnels
Commencez par définir une politique d’utilisation des appareils personnels (BYOD). De nombreuses entreprises évitent le sujet, alors que datasecuritybreach.fr vous l’indique très souvent, c’est une tendance qui continue de se développer
. Ne faites par l’erreur d’ignorer ce sujet ! Sensibilisez plutôt vos utilisateurs.
· Autorisez uniquement l’accès invité (Internet seulement) aux appareils appartenant aux employés
· Verrouillez les appareils appartenant aux utilisateurs par mot de passe
· Accédez aux données confidentielles uniquement à travers un VPN chiffré. Datasecuritybreach.fr vous conseille l’excellent VYPRVPN.
· N’autorisez pas le stockage de données confidentielles sur des périphériques personnels (données des clients et de cartes de paiement notamment)
· Prévoyez un plan d’action en cas de perte ou de vol d’un appareil personnel
Surtout n’utiliser que ce dont on a réellement besoin:
-Si on peut ce passer de Wifi, il faut le faire.
– Ne pas ouvrir de port sur en entrée. Un réseau (si il n’héberge rien: serveur mail, web, ftp, …) ne doit pas être accessible de l’extérieur. Privilégiez les tunnels VPN si vos utilisateurs ont besoin d’accéder à votre infrastructure à distance. Typiquement, ne pas ouvrir un port RDP, plutôt créer un tunnel VPN car une fois l’utilisateur connecté au VPN il aura accès au RDP (pour l’exemple) sans que le port soit ouvert et en plus, le tunnel VPN est chiffré.
-Mettre en place un proxy pour bloquer tout les sites dont vous n’avez pas besoin, cela permet de limiter les entrée virales.
-Un serveur ne doit servir qu’à une seule chose (surtout si il est accessible de l’extérieur). Par exemple, un serveur web ne doit pas être un serveur de sauvegarde.
– N’autorisez que les ports nécessaire en sortie de votre réseau et bloquez tous les autres. Les boitier type ISA500 Series vous permette de recevoir un mail en cas de tentative de connexion sur un port fermé.