La cybersécurité : bonnes pratiques en sécurité informatique

Pourquoi sécuriser son informatique ?

L'impact croissant du numérique

La place du numérique s'agrandit de manière exponentielle et impacte nos vies personnelles et professionnelles. Il s'avère que la sécurité est rarement un paramètre prise en compte dans nos usages. Les nouvelles technologies, omniprésentes, génèrent de nouveaux risques qui pèsent sur les entreprises.

Les risques pour les données sensibles

Par exemple, les données les plus sensibles (fichiers clients, contrats, projets en cours entre autres) peuvent être dérobées par des attaquants informatiques ou récupérées en cas de perte ou vol d'un smartphone, d'une tablette ou d'un PC portable.

Sécurité des systèmes industriels

La sécurité informatique est aussi une priorité pour la bonne marche des systèmes industriels (création et fourniture d'électricité, distribution d'eau entre autres). Une attaque informatique sur un système de commande industriel peut causer la perte de contrôle, l'arrêt ou la dégradation des installations.

L'importance de la sensibilisation

A cet effet, la sensibilisation des collaborateurs de l'entreprise aux règles d'hygiène informatique est fondamentale et surtout très efficace pour limiter une grande partie des risques.

Protection des informations par les mots de passe

Pour bien protéger vos informations, voici quelques conseils clés sur les mots de passe.

Complexité et longueur

Choisissez des mots de passe d'au moins 12 caractères, en combinant majuscules, minuscules, chiffres et caractères spéciaux. Évitez les informations personnelles ou des mots du dictionnaire.

Méthodes de création

Méthode phonétique

Transformez une phrase en mot de passe.

Exemple

"J'ai acheté 5 CDs pour cent euros cet après-midi" devient 'ght5CDs%E7am'.

Méthode des premières lettres

Utilisez la première lettre de chaque mot dans une phrase.

Exemple

"Allons enfants de la patrie, le jour de gloire est arrivé" devient 'aE2lP,lJ2Géa!'.

Unicité

Utilisez un mot de passe unique pour chaque service sensible.

Exemple

Banque, messagerie professionnelle.

Stockage

Évitez de stocker vos mots de passe, surtout sur des post-its ou fichiers non sécurisés. Si nécessaire, optez pour un gestionnaire de mots de passe certifié CSPN.

Recommandations en entreprise

En entreprise, il est nécessaire d'imposer des règles strictes sur la création et la longueur des mots de passe. Il faut changer systématiquement les mots de passe par défaut des équipements.

On peut également sensibiliser vos collaborateurs sur les risques liés au stockage et à l'enregistrement des mots de passe, en particulier sur des ordinateurs partagés.

En suivant ces recommandations, on réduit considérablement les risques d'accès non autorisé à vos données et à vos systèmes.

Les vulnérabilités des systèmes d'exploitation et logiciels

Chaque système d'exploitation (Android, iOS, MacOS, Linux, Windows, etc.), logiciel ou application peut contenir des vulnérabilités. Une fois découvertes, ces failles sont corrigées par les éditeurs, qui proposent alors des mises à jour de sécurité aux utilisateurs. Cependant, nombreux sont ceux qui ne les installent pas, permettant ainsi aux attaquants de tirer parti de ces vulnérabilités longtemps après leur correction.

Règles de protection pour l'entreprise

Pour protéger l'entreprise, il est crucial de mettre en place des règles spécifiques :

Définir et appliquer une politique de mises à jour régulières

Si l'entreprise dispose d'un service informatique, celui-ci doit gérer les mises à jour des systèmes d'exploitation et des logiciels. En l'absence de ce service, la responsabilité incombe aux utilisateurs, sous la supervision du chef d'entreprise.

Configurer les logiciels pour des mises à jour automatiques

Lorsque cela est possible, les mises à jour de sécurité doivent s'installer automatiquement. Dans le cas contraire, il est important de télécharger manuellement les correctifs disponibles.

Utiliser exclusivement les sites officiels des éditeurs

Pour toute mise à jour ou installation de logiciels, il est essentiel de passer par les sites officiels afin d'éviter des versions compromises. Ces mesures simples mais cruciales permettent de réduire les risques liés à l'exploitation de failles de sécurité et de protéger l'intégrité des systèmes informatiques de l'entreprise.

Sécurité des données et sauvegardes

Pour assurer la sécurité de vos données, il est essentiel d'effectuer des sauvegardes régulières, idéalement chaque jour ou chaque semaine. Ces sauvegardes vous permettront de restaurer vos informations en cas de panne du système d'exploitation ou d'une attaque.

Supports de sauvegarde recommandés

Utilisez des supports externes comme un disque dur dédié uniquement à cet usage. Si ce n'est pas possible, optez pour un CD ou un DVD enregistrable, que vous stockerez dans un lieu distant de votre ordinateur, idéalement en dehors de l'entreprise. Cela protège la copie de sauvegarde contre les risques de destruction (incendie, inondation) ou de vol simultané avec l'ordinateur.

Services de sauvegarde en ligne (cloud)

Si vous envisagez d'utiliser des services de sauvegarde en ligne (cloud), il est important de connaître les risques potentiels :

• Confidentialité : Les données en ligne peuvent être ciblées par des attaques.
• Risques juridiques : La localisation des données est souvent incertaine, ce qui peut poser des problèmes juridiques.
• Disponibilité et intégrité : Les données peuvent devenir inaccessibles ou altérées.
• Contrats irréversibles : Les conditions des contrats cloud sont souvent difficiles à modifier.

Mesures de protection pour le cloud

Pour limiter ces risques, lisez attentivement les conditions générales des services cloud. Les offres standard ne couvrent généralement pas tous les risques. Si possible, il faut faire appel à des experts pour rédiger des contrats personnalisés adaptés à votre entreprise. De plus, pour protéger la confidentialité, chiffrez vos données avant de les stocker en ligne.

Glossaire

Sécurité informatique

Antivirus : Programme informatique conçu pour détecter, neutraliser, et supprimer les logiciels malveillants.

Cheval de Troie : Programme malveillant qui s'installe de manière frauduleuse pour accomplir des actions hostiles, telles que l'espionnage ou l'envoi massif de spams, à l'insu de l'utilisateur.

Chiffrement : Méthode de cryptographie utilisée pour rendre un document illisible à toute personne ne disposant pas de la clé de (dé)chiffrement.

Logiciel espion : Programme malveillant qui s'installe sur un ordinateur dans le but de collecter et transmettre des données ou informations, souvent sans que l'utilisateur en ait connaissance.

Pare-feu (firewall) : Logiciel et/ou matériel utilisé pour protéger les données d'un réseau en filtrant les connexions entrantes et sortantes selon des règles définies par l'utilisateur, protégeant ainsi un ordinateur personnel ou un réseau d'entreprise.

Phishing (hameçonnage) : Technique frauduleuse consistant à imiter l'apparence d'une institution ou d'une entreprise (banque, services fiscaux) pour inciter les destinataires à divulguer des informations personnelles.

Gestion système

Compte d'administrateur : Compte utilisateur doté de privilèges permettant d'effectuer des modifications qui impactent l'ensemble des utilisateurs, comme la modification des paramètres de sécurité ou l'installation de logiciels.

Mise à jour : Processus de mise à niveau d'un logiciel ou d'un service informatique en téléchargeant et installant la dernière version disponible.

Système d'exploitation : Logiciel central d'un appareil électronique qui gère les composants matériels et exécute les instructions des utilisateurs ou d'autres logiciels.

Réseaux et communication

Fournisseur d'Accès Internet (FAI) : Organisation, entreprise ou association qui fournit une connexion à Internet.

Paquet : Unité de transmission utilisée pour échanger des données sur un réseau.

Routeur : Dispositif réseau qui dirige les paquets de données en déterminant le prochain point de transmission dans un réseau informatique.