La numérisation des entreprises présente de nombreux avantages et opportunités. Cependant, ce phénomène s’accompagne également de nombreux risques qui ne cessent de se multiplier : vol de données, demandes de rançon, atteinte à l’image pour n’en citer que quelques-uns. Les petites et moyennes entreprises sont souvent peu préparées face à ce type de risques supposant, à tort, que ceux-ci ne concernent que les grandes entreprises. En déployant souvent peu de mécanismes de protection, les structures de petite taille sont ainsi une cible parfaite pour les attaquants. 

Or, en se protégeant, les entreprises protègent aussi leurs partenaires et renforcent la confiance non seulement de ces derniers mais aussi de leurs clients. La cybersécurité étant un enjeu global, chacun a un rôle à jouer. Découvrez les 5 bonnes pratiques (et une bonus) que chaque salarié peut mettre en oeuvre dès aujourd’hui au quotidien.

Adopter des mots de passe robustes 

Les mots de passe sont la première ligne de défense contre les intrusions. Pourtant, les mots de passe choisis sont souvent trop simples à deviner et exposent ainsi les comptes à des risques de piratage. Utiliser des combinaisons évidentes comme « 123456 », « password » ou encore son propre nom facilite le travail des cybercriminels. Voici donc quelques recommandations utiles : 

• Utiliser des mots de passe complexes avec majuscules, minuscules, chiffres et caractères spéciaux.
• Ne pas inclure d’éléments personnels (nom, date de naissance, etc.).
• Utiliser un mot de passe différent pour chaque service.

En ce qui concerne la longueur des mots de passe, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) recommande un minimum de 9 caractères pour les services peu critiques (c’est-à-dire ne donnant accès à aucune donnée personnelle, financière ou pouvant impacter le fonctionnement de l’entreprise) et au moins 15 caractères pour les services critiques. 

La Commission nationale de l’informatique et des libertés (CNIL) quant à elle préfère se baser sur la notion d’entropie du mot de passe, c’est-à-dire son degré de hasard ou de complexité. Un mot de passe créé aléatoirement présente une entropie élevée, alors qu’un mot de passe incluant des mots courants ou des motifs répandus a une faible entropie. Afin de simplifier le choix de mot de passe, la CNIL a créé un générateur de mots de passe solides. Par ailleurs, si vous souhaitez vérifier la robustesse de votre politique de mots de passe, la CNIL propose également un outil dédié. 

Il est aussi possible d’utiliser une phrase de passe, c’est-à-dire une suite de mots choisis aléatoirement dans un dictionnaire. Celle-ci devrait alors comporter au moins 4 mots et 15 caractères. 

Maintenir ses logiciels à jour

Cela peut sembler évident mais nombreux sont encore les salariés qui ne mettent pas régulièrement à jour leurs logiciels et systèmes d’exploitation. C’est pourtant l’un des moyens les plus efficaces de se protéger contre les cyberattaques. 

Il est ainsi fortement recommandé d’appliquer rapidement les mises à jour de sécurité permettant de corriger les vulnérabilités exploitables. Par ailleurs, il faudrait éviter d’utiliser des logiciels obsolètes, ceux-ci pouvant en effet présenter des failles de sécurité. 

Être vigilant face aux tentatives de phishing

Le phishing, aussi appelé hameçonnage, est une technique consistant à tromper l’interlocuteur en se faisant passer pour un tiers de confiance afin de l’inciter à communiquer des données personnelles et/ou bancaires. Si vous pensez avoir reçu un tel mail ou message : 

• ne répondez pas 
• ne cliquez pas sur les liens 
• n’ouvrez pas les pièces jointes. 

Si vous avez un doute sur l’authenticité d’un email ou message, n’hésitez pas à contacter l’émetteur par un autre moyen (téléphone, message, mail etc.) ou le service informatique en cas de doute avant d’interagir avec le message ou l’email. Ne transférez aucune information sensible sans vérification préalable. 

Signalez par ailleurs tout email suspect au service informatique et au responsable de la sécurité des systèmes d’information de votre structure. Le site www.internet-signalement.gouv.fr permet aussi de signaler les escroqueries. 

Cet article pourrait vous intéresser : RGPD et emails professionnels : Bonnes pratiques pour les collaborateurs

Adopter les bons réflexes en télétravail 

Le télétravail s’est très largement répandu ces dernières années. Toutefois, travailler à distance s’accompagne aussi de plusieurs risques : espionnage des informations sensibles, piégeage des équipements, vols etc. C’est la raison pour laquelle il est conseillé, dès que possible, d’adopter plusieurs comportements : 

• utilisez un VPN chiffré pour les connexions à distance ;
• effectuez des sauvegardes régulières de vos documents pour pouvoir les restaurer en cas de vol ou de perte de vos appareils ;
• utilisez des filtres écran pour préserver la confidentialité ;
• privilégiez des modes d’authentification où les mots de passe ne sont pas pré-enregistrés sur votre appareil ;
• ne laissez jamais vos appareils sans surveillance et les verrouillez si vous vous absentez. Il est recommandé de fixer une durée de verrouillage automatique inférieure à 5 minutes ;
• ne connectez pas vos équipements à des supports externes non fiables ;
• chiffrez les données les plus sensibles sur votre appareil ou l’ensemble du disque dur. N’oubliez pas de configurer un mot de passe de déchiffrement d’urgence ;
• informez votre entreprise en cas de perte ou de vol de matériel.

Séparer les usages professionnels et personnels

Il est de plus en plus fréquent aujourd’hui pour les collaborateurs d’utiliser leurs appareils personnels dans le cadre professionnel. Mais ce mélange de vie personnelle et professionnelle peut entraîner des risques. 

Il est ainsi recommandé de ne pas transférer vos emails professionnels vers une messagerie personnelle. De même, il ne faut pas héberger des données personnelles sur vos équipements personnels ou connecter des supports amovibles aux ordinateurs de l’entreprise.

Cet article pourrait vous intéresser : Bonnes résolutions RGPD en entreprise : Adoptez les bons réflexes pour protéger les données !

Conseil bonus : se tenir informé et signaler les incidents

Le site Cybermalveillance.gouv.fr permet de se tenir informé sur les bonnes pratiques, sur les alertes relatives aux menaces en cours et sur les mises à jour disponibles. 

Certaines entreprises proposent par ailleurs des formations de cybersécurité à leurs collaborateurs.

Quoi qu’il en soit, il ne faut pas hésiter à signaler les incidents afin que votre structure puisse réagir rapidement, limiter les conséquences de l’incident et prendre toutes les mesures nécessaires pour éviter que l’incident ne se reproduise. 

Pour en savoir plus : vous pouvez consulter les recommandations de la CNIL en matière de cybersécurité.

Conclusion

En adoptant ces bonnes pratiques, vous renforcerez votre protection contre les cybermenaces. La sécurité informatique est l’affaire de tous : vigilance, sensibilisation et discipline sont essentielles pour assurer la protection de vos données et celles de votre entreprise.