La cybersécurité pour les TPE et PME

La cybersécurité pour les TPE/PME selon l'ANSSI

L’agence nationale pour la sécurité des systèmes d’information (ANSSI), en collaboration avec la Direction Générale des Entreprises (DGE) a publié un guide à destination des TPE et PME qui « présente, en treize questions, des mesures accessibles pour une protection globale de l’entreprise ».

Quelles sont les mesures de protection recommandées ?

Inventorier les logiciels et données vitales

Faire la liste des équipements, logiciels, données, accès et interconnexion avec l’extérieur qui composent votre système d’information. Cette liste doit être mise à jour au moins une fois par an.

Effectuer des sauvegardes régulières

L’objectif est de permettre une restauration plus rapide en cas d’incident. Il convient donc de définir la nature des données sauvegardées et la fréquence des sauvegardes à réaliser en fonction de votre activité.

Il est vivement recommandé d’appliquer la règle du 3 2 1 (3 copies de sauvegarde sur 2 supports différents dont 1 hors ligne) et de tester régulièrement la restauration des sauvegardes.

Réaliser les mises à jour

Effectuer les mises à jour des systèmes d’exploitation et de tout logiciel dès la mise à disposition des correctifs
de sécurité par leurs éditeurs, et si possible, activer les mises à jour automatiques. Ces mises à jours permettent de suivre les évolutions technologiques et ainsi mettre les logiciels à niveau en termes de sécurité.

Utiliser un antivirus

Déployer un antivirus sur l’ensemble de vos équipements, et surtout ceux connectés à internet et s’assurer de leur mise à jour.

Utiliser des mots de passe robustes

Utiliser des mots de passe forts et différents pour chaque service.

Ne pas partager vos mots de passe avec des tiers (et même avec votre expert-comptable ou votre avocat).

Vous pouvez prendre connaissance des recommandations de la Cnil sur ce sujet et utiliser des coffres fort de mots de passe.

Mettre en place des pare feu

Un pare-feu doit être installé sur chaque poste de travail et son paramétrage doit être adapté à votre structure. Le paramétrage par défaut pour les TPE peut parfois suffire. Pour les PME, il est recommandé de vérifier l’homogénéité des configurations et de mettre en place une politique de filtrage des flux.

Si vous souhaitez être accompagné sur ce sujet, l’ANSSI recommande de faire appel à un expert labellisé Expert Cyber.

Sécuriser votre messagerie

Il convient d’être vigilant en ouvrant les pièces jointes ou en cliquant sur les liens contenus dans les emails et, en cas de doute, procéder à des vérifications auprès de l’émetteur par un autre canal (téléphone, SMS, etc.).

En tous cas, les messages professionnels ne doivent en aucun cas être redirigés vers une messagerie personnelle.

Pour contenir les risques, il est est vivement recommandé d’utiliser un antivirus, un anti-spam et une solution anti-phishing pour détecter les emails frauduleux en amont.

Séparer vos usages informatiques

Il est important de cloisonner les usages.

  • entre les différents intervenants

Si votre entreprise compte plusieurs collaborateur ou si vous avez recours à des prestataires externes, il est impératif de mettre en place une politique d’habilitations.

Il est ainsi nécessaire de créer des comptes utilisateurs dédiés à chaque intervenant et de différencier les comptes utilisateurs (qui peuvent être utilisés pour la navigation sur internet) et les comptes administrateurs aux privilèges élevés (qui doivent uniquement être utilisés pour configurer les équipement ou installer des logiciels).

  • entre les finalités

Il est idéal d’utiliser des outils dédiés à sa pratique professionnelle distincts des outils utilisés à titre personnel (téléphones, ordinateurs, tablettes, etc.)

Etre attentif aux usages nomades

En déplacement, vos outils informatiques sont particulièrement vulnérables. L’observation de quelques bonnes pratiques permet de limiter l’exposition aux risques. 

En voici quelques exemples : 

  • utiliser des filtres d’écran 
  •  ne pas laisser vos appareils, supports et fichiers sans surveillance
  • configurer une durée de verrouillage automatique inférieure à 5 minutes
  • ne pas connecter vos équipements professionnels à des équipements qui ne sont pas de confiance (ex. ne pas utiliser les chargeurs USB en libre service)
  • ne pas se connecter aux WIFI mis à disposition par les hôtels, transporteurs, etc.

S'informer et sensibiliser ses collaborateurs

Des informations régulièrement mises à jour sont disponibles en ligne.

 
Pour aller plus loin, les PME ont l’obligation légale de sensibiliser certains de leurs collaborateurs, et notamment s’ils traitent des données à caractère personnel (formations, newsletter, jeux sérieux, etc.).

Vérifier son assurance cyber

Vérifiez que les risques informatiques les plus probables et graves pour votre activité soient bien couverts par votre assurance.

Anticiper la gestion des incidents

Définissez, en amont, un plan de gestion de crise en cas d’incident cyber afin d’être en mesure de mobiliser les bons interlocuteurs dans un temps réduit et quelque soit le moment : expert informatique, avocats, etc.

Il conviendra de contenir l’attaque, de se constituer des preuves, de déployer un plan de communication interne et externe adapté et de vous conformer à vos obligations légales (plainte et le cas échéant, notifications à la Cnil et aux personnes concernées)

Dernières actualités

Nouvel indice SYNTEC : conséquences pour les contrats en cours

Depuis septembre 2022, la Fédération SYNTEC a remplacé l’indice SYNTEC ancien par un nouvel indice dénommé l’indice SYNTEC révisé. Cela n’est pas sans conséquence

Digital Service Act – Etes-vous concerné?

Le règlement sur les services numérique (Digital Services Act en anglais, ou « DSA ») est un règlement européen dans la même veine que le Règlement

Aucun cookie publicitaire

Nous utilisons uniquement des traceurs strictement nécessaires au fonctionnement du site. Ces traceurs ne nécessitent pas de consentement de votre part. Des réglages du navigateur peuvent vous permettre de les bloquer  mais cela pourra impacter le fonctionnement du site.