L’ANSSI (Agence nationale de la sécurité des systèmes d’information) et la CGPME (Confédération générale du patronat des petites et moyennes entreprises) viennent de publier un guide commun de sensibilisation aux bonnes pratiques de la sécurité informatique à destination des TPE et des PME. Face à la recrudescence des cyberattaques, les deux organisations se sont associées afin d’apporter une expertise adaptée aux réalités des petites structures qui représentent, selon Guillaume Poupard, Directeur Général de l’ANSSI, 90% des entreprises françaises.
Douze conseils illustrés par des exemples concrets sont mis en avant dans ce guide parmi lesquels le choix méticuleux des mots de passe, la mise à jour régulière des logiciels ou encore le suivi attentif des comptes utilisateurs, sans oublier les prestataires/consultants externes qui ont accès au réseau et qui représentent des failles potentielles.
La mise en place d’un guide de sensibilisation aux bonnes pratiques est une excellente initiative pour les TPE et PME qui n’ont ni les mêmes besoins, ni les mêmes moyens que les grandes entreprises pour leur stratégie de sécurisation des données. L’ANSSI et la CGPME mettent en exergue des conseils simples qui constituent la base de la sécurité ; assurer la complexité des mots de passe et la sécurisation des comptes utilisateurs et administrateurs demeurent par exemple des points essentiels dans les bonnes pratiques de sécurité.
Le mot de passe représente la base de la sécurisation de n’importe quel compte, qu’il soit personnel ou professionnel, et ce indépendamment de la taille de l’entreprise. Il permet en effet d’authentifier l’utilisateur sur le réseau. Un mot de passe trop simple de type « 123456 » ou resté trop longtemps inchangé représente une menace potentielle pour l’organisation. Une personne malveillante – hacker ou ex-employé par exemple – peut installer un malware sur le réseau et rester tapis dans l’ombre un certain temps afin de dérober des informations critiques de l’organisation au moment opportun sans être détecté. Le mot de passe complexe reste le rempart initial contre les tentatives d’intrusion et le vol de données ; il ne doit ni être utilisé sur plusieurs comptes à la fois, ni réutilisé ultérieurement. Le guide rappelle l’importance de sensibiliser les collaborateurs à ne pas conserver les mots de passe dans des fichiers ou sur des post-it laissés à la portée de tous ; bien que cela semble évident, ces bonnes pratiques ne sont toujours pas généralisées et l’erreur humaine reste une des failles principales de sécurité de nombreuses organisations.
Au-delà des mots de passe, les entreprises doivent connaître l’activité informatique de l’ensemble des utilisateurs et prestataires externes ayant des accès aux systèmes et comptes de l’entreprise. Cela inclut également les comptes administrateurs qui servent à intervenir sur le fonctionnement global de l’ordinateur, notamment la gestion des comptes utilisateurs, la modification de la politique de sécurité, l’installation ou la mise à jour des logiciels. L’utilisation de ces comptes administrateurs doit être gérée attentivement car contrairement aux comptes utilisateurs, ils ne sont pas nominatifs et peuvent être utilisés par plusieurs personnes, internes ou externes, ou machines qui interagissent entre elles, ce qui augmente la complexité de surveillance. En outre, des procédures strictes doivent être mises en place afin d’encadrer les arrivées et les départs des collaborateurs et veiller à l’application des droits d’accès aux systèmes d’information mais surtout s’assurer qu’ils sont révoqués, lors du départ de la personne afin d’éviter toute action malveillante à posteriori. En effet, si le service informatique prend du retard et met une semaine à fermer les accès dans le cloud d’anciens employés, ceux-ci pourraient être utilisés à mauvais escient. Cela équivaudrait à donner les clés de l’entreprise à n’importe qui !
Des campagnes gouvernementales régulières de sensibilisation aux bonnes pratiques de sécurité telles que celle de l’ANSSI et de la CGPME restent essentielles pour assurer la sécurité optimale des données, notamment pour rappeler aux employés les règles de base en matière de gestion des accès, les employés ignorant souvent qu’ils peuvent être l’élément déclencheur d’une faille informatique, voire d’une attaque. Pour en garantir l’efficacité, chaque organisation doit à présent garder en tête qu’elle peut être confrontée à une cyberattaque à tout moment – que la menace soit interne ou externe. (Par Olivier Mélis, Country Manager France chez CyberArk)