En collaboration avec France Num, la Confédération des petites et moyennes entreprises (CPME) et la direction générale des entreprises (DGE), l’ANSSI a publié un guide focalisé sur la cybersécurité des PME-TPE. En 13 questions, cette feuille de route tracée avec le soutien de Cybermalveillance.gouv.fr avance des solutions simples à mettre en place dans toute société pour se prémunir d’une éventuelle cyberattaque.
Treize questions pour protéger son entreprise
“En l’absence de préparation, lorsque l’incident survient, il est déjà trop tard. N’attendons pas que le pire arrive. Protégeons-nous !” C’est en ces mots que se conclut l’avant-propos du guide de la cybersécurité publié par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). La publication a pour but de sensibiliser les PME-TPE sur les risques qu’elles encourent en cas de cyberattaque et en l’absence de protection suffisante.
Avec le concours de partenaires issus du numérique et de l’entrepreneuriat, ainsi que du soutien du dispositif Cybermalveillance.gouv.fr, l’ANSSI met à disposition une boîte à outils constituée de 13 questions. Chacune d’entre elle questionne les salariés et chefs d’entreprise sur les pratiques mises en place ou non au sein de leur structure pour parer à toute cyberattaque. Elles présentent tous un niveau de difficulté évalué de facile à expert et sont adaptées en fonction de chacun des publics.
Connaissez-vous bien votre parc informatique et vos actifs métier ?
De l’entreprise unipersonnelle aux PME, cette question invite à effectuer un inventaire complet de son parc informatique. Équipements, accès, logiciels utilisés, données et leurs traitements… Tout ce qui compose le volet numérique de l’entreprise doit être passé au crible pour “faire le point sur les besoins et les capacités numériques de l’entreprise (…), dixit le guide. Afin d’aider au choix des solutions numériques adaptées”. Cet état des lieux doit être réalisé une fois par an avec des mises à jour régulières. En cas de sous-traitance auprès d’un prestataire, ce dernier aura alors tous les éléments à sa disposition pour proposer des réponses adéquates.
Effectuez-vous des sauvegardes régulières ?
En cybersécurité, les sauvegardes occupent une place prépondérante pour toute entreprise. Dans le cas d’une attaque, compter sur des sauvegardes des données régulières et récentes permet une reprise plus rapide des activités. Le guide préconise ainsi d’identifier les données à sauvegarder (fichiers client, sources d’installation, licences et configuration de logiciels) et le rythme des sauvegardes (en fonction du volume), les supports (deux supports différents dont un en ligne) et enfin le chiffrement des données. Sans oublier le cadre juridique avec la question du RGPD (règlement général sur la protection des données).
Appliquez-vous régulièrement les mises à jour ?
Les attaquants profitent souvent des failles des plateformes ou des logiciels pour mettre à mal un système d’informations. Pour assurer sa cybersécurité, une PME ou une TPE doit compter sur du matériel à jour et dont la maintenance est assurée. Ainsi, le guide préconise d’utiliser des solutions actualisées et de désinstaller et remplacer tout ce qui est obsolète. Cela passe par la mise en place d’actualisations automatiques des logiciels et du matériel. Dans le cadre d’une sous-traitance, l’entreprise doit s’assurer que son prestataire effectue bien ces mises à jour.
Utilisez-vous un antivirus ?
Pour tout un chacun, particulier comme entreprise, la cybersécurité passe par l’installation d’un antivirus sur les équipements informatiques. Surtout ceux connectés au réseau internet. L’antivirus protège le matériel de toute intrusion et alerte en cas de présence de fichiers malveillants. Cet antivirus doit être constamment mis à jour afin de répondre aux menaces qui pullulent sur le net. Le guide préconise, en fonction des usages, de souscrire à des services et fonctionnalités supplémentaires proposés par l’éditeur.
Avez-vous implémenté une politique d’usage de mots de passe robustes ?
Les attaques sur internet peuvent trouver leur origine dans la fébrilité d’un mot de passe ou de son utilisation commune à plusieurs plateformes et sites. L’ANSSI liste plusieurs façons de déchiffrer le mot de passe d’un usager :
● par force brute : consistant à tenter un grand nombre de combinaisons
● par dictionnaires : même principe que la force brute mais en cherchant des mots de passe simples et courants (azerty ou noms communs)
● par ingénierie sociale : en tenant compte d’informations personnelles d’utilisateurs
L’ANSSI préconise l’utilisation de mots de passe entre 9 et 15 caractères selon l’importance du service concerné. Un mot de passe robuste doit contenir des lettres capitales et des minuscules, des chiffres et des caractères spéciaux. On oublie donc le fameux 123456. L’utilisation de phrase de passe (choisir une suite de mots) est conseillée afin de mémoriser plus facilement le mot de passe.
Il est recommandé également d’utiliser un coffre-fort de mots de passe. Ce système permet de générer des mots de passe robustes et différents, tout en étant sécurisé. Privilégiez les coffres-forts certifiés par l’ANSSI.
Il est aussi conseillé d’utiliser le plus souvent possible l’authentification à deux facteurs. Enfin, plus à destination de la cybersécurité des PME, l’ANSSI suggère d’utiliser l’authentification par jeton physique (carte à puce ou token USB).
Avez-vous activé un pare-feu ? En connaissez-vous les règles de filtrage ?
À l’instar des antivirus, les pare-feux protègent l’ordinateur de toute attaque provenant d’Internet. Aussi, il ralentit l’intrusion d’un acteur malveillant avant qu’il ne prenne le contrôle de tout un système d’informations. En fonction du public, l’ANSSI prévoit deux façons d’utiliser un pare-feu.
- Pour les TPE : l’activation du pare-feu préinstallé sur un poste de travail et le blocage de toute connexion entrante doit déjà être mise en place.
- Pour les PME : l’application du pare-feu préinstallé sur tous les postes et l’instauration d’une politique de filtrage. En fonction de la taille de la PME, l’ANSSI recommande la segmentation du réseau en zones de sensibilités.
Si la PME confie sa cybersécurité à un prestataire, celui-ci doit être labellisé ExpertCyber.
Comment sécurisez-vous votre messagerie ?
Il est souvent arrivé à tous d’avoir ouvert le mail ou la pièce jointe qu’il ne fallait pas ouvrir ou d’avoir cliqué sur un lien néfaste. La messagerie fait partie des principales sources d’infection d’un poste de travail. À la réception d’un mail, se poser des questions sur l’origine du mail, sa pertinence ou vérifier l’adresse mail de l’émetteur permet d’éviter toute interaction malencontreuse.
Pour les TPE, l’ANSSI conseille de se doter d’un antivirus, d’un anti-spam et d’une solution anti-phishing. Ne pas concilier les messageries personnelle et professionnelle évite la fuite de données critiques. Enfin, l’ANSSI préconise l’utilisation du cloud, qui intègre des fonctions de sécurité supplémentaires.
Les PME doivent disposer d’un système d’analyse antivirus prévenant la réception de fichiers infectés. Elles doivent s’assurer que les échanges entre collaborateurs internes et externes sont bien chiffrés.
Comment séparez-vous vos usages informatiques ?
Comme pour les messageries, séparer les usages informatiques consiste à ne pas mélanger personnel et professionnel pour éviter toute fuite de données. Cela passe par la création de comptes utilisateurs et administrateurs et une bonne hiérarchisation des autorisations.
En cas d’utilisation professionnelle et personnelle sur une seule et même machine, un compte utilisateur dédié doit être créé.
Les PME doivent faire en sorte que chaque poste et son utilisation reviennent à une seule personne. Aussi, l’ANSSI suggère de cloisonner les activités numériques en secteurs selon les usages.
Comment maîtrisez-vous le risque numérique lors des missions et des déplacements professionnels ?
Les déplacements professionnels, mais aussi le télétravail doivent faire l’objet de sensibilisation des salariés pour la cybersécurité des PME et TPE. Ils peuvent être à l’origine d’une fuite d’information, de vols …
Les TPE et les PME doivent faire adopter de bons réflexes, comme la sauvegarde régulière des données, l’utilisation de filtres d’écran de confidentialité, le refus d’utiliser du matériel tiers dont la confiance n’est pas vérifiée ou la mise en place de VPN sécurisés pour travailler de façon nomade.
Comment vous informez-vous ? Comment sensibilisez-vous vos collaborateurs ?
La mise en place de bonnes pratiques passe par la prise d’informations et leur partage. Les TPE doivent s’informer sur les risques, les recommandations et les bonnes pratiques sur les sites officiels, comme ceux de l’ANSSI ou de Cybermalveillance.gouv.fr
Les PME doivent aller plus loin pour assureur leur cybersécurité, notamment en mettant en place une veille informationnelle et technique sur les attaques et les vulnérabilités sur le site du CERT-FR. Des messages de sensibilisation doivent aussi être régulièrement émis aux collaborateurs.
Avez-vous fait évaluer la couverture de votre police d’assurance au risque cyber ?
De plus en plus d’assureurs intègrent dans leurs contrats des clauses garantissant la prise en compte du risque cyber ou numérique. Toute entité doit ainsi vérifier les termes de son contrat d’assurance et s’assurer qu’il compte bien un volet numérique.
Lire aussi : Cyber assurance : « Faciliter la protection des entreprises »
Savez-vous comment réagir en cas de cyberattaque ?
Il vaut mieux prévenir que guérir, dit l’adage. C’est d’autant plus vrai en matière de cybersécurité des PME et TPE. Chacune doit avoir identifié des prestataires capables de répondre aux incidents. La plateforme Cybermalveillance.gouv.fr permet de répondre aux questions de tous les usagers afin de résoudre les problèmes rencontrés et d’être mis en relation avec des professionnels. En cas de cyberattaque, posséder de récentes sauvegardes sécurisées facilitera la relance de l’activité.
En cas d’incident, l’ANSSI détaille une multitude d’usages à appliquer, comme la déconnexion de son SI d’Internet ou ne pas éteindre ni modifier les postes touchés. Ils pourraient détenir des informations essentielles aux enquêteurs après avoir porté plainte.
En 2023, la Région Bretagne se dotera d’un CSIRT (centre de réponses à incidents cyber). TPE, PME, associations et collectivités territoriales. Le CSIRT breton leur permettra de bénéficier d’un accompagnement et d’être mises en relation avec des partenaires afin de bénéficier d’une assistance. Plus d’infos à venir.
Envisagez-vous d’utiliser des solutions cloud ?
Avant de penser cloud, il faut réfléchir à l’utilisation d’un tel service. Les offres sont nombreuses aujourd’hui. Chaque solution cloud propose des fonctionnalités diverses et variées. En utilisant le cloud, il convient également d’être sensibilisé aux risques qui peuvent en découler.
Enfin, le guide prévoit une utilisation différente pour la cybersécurité d’une PME et d’une TPE.