La cybersécurité pour les TPE/PME selon l'ANSSI
L’agence nationale pour la sécurité des systèmes d’information (ANSSI), en collaboration avec la Direction Générale des Entreprises (DGE) a publié un guide à destination des TPE et PME qui « présente, en treize questions, des mesures accessibles pour une protection globale de l’entreprise ».
Quelles sont les mesures de protection recommandées ?
Inventorier les logiciels et données vitales
Faire la liste des équipements, logiciels, données, accès et interconnexion avec l’extérieur qui composent votre système d’information. Cette liste doit être mise à jour au moins une fois par an.
Effectuer des sauvegardes régulières
L’objectif est de permettre une restauration plus rapide en cas d’incident. Il convient donc de définir la nature des données sauvegardées et la fréquence des sauvegardes à réaliser en fonction de votre activité.
Il est vivement recommandé d’appliquer la règle du 3 2 1 (3 copies de sauvegarde sur 2 supports différents dont 1 hors ligne) et de tester régulièrement la restauration des sauvegardes.
Réaliser les mises à jour
Effectuer les mises à jour des systèmes d’exploitation et de tout logiciel dès la mise à disposition des correctifs
de sécurité par leurs éditeurs, et si possible, activer les mises à jour automatiques. Ces mises à jours permettent de suivre les évolutions technologiques et ainsi mettre les logiciels à niveau en termes de sécurité.
Utiliser un antivirus
Déployer un antivirus sur l’ensemble de vos équipements, et surtout ceux connectés à internet et s’assurer de leur mise à jour.
Utiliser des mots de passe robustes
Utiliser des mots de passe forts et différents pour chaque service.
Ne pas partager vos mots de passe avec des tiers (et même avec votre expert-comptable ou votre avocat).
Vous pouvez prendre connaissance des recommandations de la Cnil sur ce sujet et utiliser des coffres fort de mots de passe.
Mettre en place des pare feu
Un pare-feu doit être installé sur chaque poste de travail et son paramétrage doit être adapté à votre structure. Le paramétrage par défaut pour les TPE peut parfois suffire. Pour les PME, il est recommandé de vérifier l’homogénéité des configurations et de mettre en place une politique de filtrage des flux.
Si vous souhaitez être accompagné sur ce sujet, l’ANSSI recommande de faire appel à un expert labellisé Expert Cyber.
Sécuriser votre messagerie
Il convient d’être vigilant en ouvrant les pièces jointes ou en cliquant sur les liens contenus dans les emails et, en cas de doute, procéder à des vérifications auprès de l’émetteur par un autre canal (téléphone, SMS, etc.).
En tous cas, les messages professionnels ne doivent en aucun cas être redirigés vers une messagerie personnelle.
Pour contenir les risques, il est est vivement recommandé d’utiliser un antivirus, un anti-spam et une solution anti-phishing pour détecter les emails frauduleux en amont.
Séparer vos usages informatiques
Il est important de cloisonner les usages.
- entre les différents intervenants
Si votre entreprise compte plusieurs collaborateur ou si vous avez recours à des prestataires externes, il est impératif de mettre en place une politique d’habilitations.
Il est ainsi nécessaire de créer des comptes utilisateurs dédiés à chaque intervenant et de différencier les comptes utilisateurs (qui peuvent être utilisés pour la navigation sur internet) et les comptes administrateurs aux privilèges élevés (qui doivent uniquement être utilisés pour configurer les équipement ou installer des logiciels).
- entre les finalités
Il est idéal d’utiliser des outils dédiés à sa pratique professionnelle distincts des outils utilisés à titre personnel (téléphones, ordinateurs, tablettes, etc.)
Etre attentif aux usages nomades
En déplacement, vos outils informatiques sont particulièrement vulnérables. L’observation de quelques bonnes pratiques permet de limiter l’exposition aux risques.
En voici quelques exemples :
- utiliser des filtres d’écran
- ne pas laisser vos appareils, supports et fichiers sans surveillance
- configurer une durée de verrouillage automatique inférieure à 5 minutes
- ne pas connecter vos équipements professionnels à des équipements qui ne sont pas de confiance (ex. ne pas utiliser les chargeurs USB en libre service)
- ne pas se connecter aux WIFI mis à disposition par les hôtels, transporteurs, etc.
S'informer et sensibiliser ses collaborateurs
Des informations régulièrement mises à jour sont disponibles en ligne.
- Pour les novices, des informations très accessibles sont régulièrement fournies sur le site Cybermalveillance.gouv.
- Pour les sociétés dotées d’un services informatique, une veille technologique est publiée par le CERT-FR
Vérifier son assurance cyber
Vérifiez que les risques informatiques les plus probables et graves pour votre activité soient bien couverts par votre assurance.
Anticiper la gestion des incidents
Définissez, en amont, un plan de gestion de crise en cas d’incident cyber afin d’être en mesure de mobiliser les bons interlocuteurs dans un temps réduit et quelque soit le moment : expert informatique, avocats, etc.
Il conviendra de contenir l’attaque, de se constituer des preuves, de déployer un plan de communication interne et externe adapté et de vous conformer à vos obligations légales (plainte et le cas échéant, notifications à la Cnil et aux personnes concernées)