Le Cybermois touche à sa fin. Durant ce mois, vous avez été sensibilisés aux risques liés à la cybersécurité auxquels particuliers et entreprises peuvent être soumis. Selon Allianz et son baromètre mondial des risques 2018, les incidents de cybersécurité seraient la deuxième source de risques pour les entreprises, les interruptions d’activité étant la première. Face à ce constat, et pour vous aider à renforcer votre cybersécurité, nous vous apportons quelques conseils.

 

Conseil 1 : réalisez des sauvegardes régulières

Les sauvegardes de vos données sont importantes. En cas d’attaque ou de panne, vous pourrez restaurer les données et les activités enregistrées juste avant. Par conséquent, un backup peut être planifié de manière régulière. La duplication des données conserve l’intégralité des données sauvegardées de votre entreprise.

 

Vous devez mettre en place des sauvegardes de manière périodique. Ainsi, vous anticiperez les attaques et éviterez le ralentissement voire l’arrêt de vos activités. Cela rentre également dans des plans de continuité ou de reprise de votre activité.

Conseil pour sauvegarder les données

Conseil 2 : des employés sensibilisés sont la clé de votre cybersécurité

« La plupart des problèmes informatiques se trouvent entre le clavier et la chaise » (Klaus Klages). Cette citation prend tout son sens dans le contexte de sécurité informatique actuel. En effet, mal formés ou peu sensibilisés, les employés représentent le maillon faible de votre cybersécurité.

 

Un seul clic sur un lien infecté peut faire basculer la sécurité de votre entreprise. Sans oublier les risques d’espionnage qui impliquent souvent des employés. De plus, avec le système de télétravail qui prend de l’ampleur, il est important de sensibiliser les personnes de votre organisation aux bonnes pratiques.

 

Par conséquent, sensibiliser vos employés, réaliser des formations fréquentes, des exercices de mise en situation et mettre à disposition les outils adaptés sont des éléments que vous pouvez instaurer pour diminuer les risques.

Conseil pour former les employés à la cybersécurité

Conseil 3 : faites appel à des experts en cybersécurité

Seulement deux entreprises sur dix se disent aptes à gérer une cyberattaque (source : PwC, Les entreprises face aux enjeux de la cybersécurité, Oct 2018). Cela est très faible si on prend en compte les risques et les conséquences d’une cyberattaque.

 

La cybersécurité est un domaine d’expertise à part entière. Si vous ne pouvez pas développer les compétences en cybersécurité dont vous avez besoin, faire appel à des experts peut être une solution. Ils vous feront part de leurs conseils, expertise et expérience pour vous aiguiller dans la mise en place d’une stratégie de cybersécurité.

 

Faire appel à un expert en cybersécurité représente un investissement à court terme. Cependant, vous pourrez contrer les menaces et être prêts en cas d’attaque, minimisant les pertes éventuelles.Conseil pour faire appel à des expert en cybersécurité

Conseil 4 : réalisez des audits fonctionnels et des tests d’intrusions pour améliorer votre cybersécurité

Un audit fonctionnel dresse un état des lieux de la sécurité de votre entreprise. Vous pourrez identifier les forces et les faiblesses de votre sécurité, et ainsi avoir des axes d’amélioration. De même, réaliser des audits fonctionnels fréquemment donne une vision de l’évolution des mesures de sécurité appliquées dans l’entreprise. Vous aurez aussi un aperçu des besoins en ressources structurelles, organisationnelles et matérielles.

 

Les tests d’intrusion, quant à eux, visent à éprouver la sécurité d’un système informatique, d’un réseau ou d’une application, pour en identifier les vulnérabilités. Le testeur devra se mettre dans le rôle d’un hacker, cherchant les failles et agissant dans le rôle d’une attaque malveillante. Les tests d’intrusions évaluent la sécurité d’un système en condition réelle, à un instant précis.

Conseil pour réaliser des audits fonctionnels et des tests d'intrusion

Conseil 5 : mettez en place un PCA et un PRA

Un Plan de Continuité de l’Activité, ou PCA, est un élément clé dans la gestion d’une crise ou d’une cyberattaque. Un PCA prévoit et anticipe les éléments perturbateurs de l’activité d’une entreprise. Une analyse de risque et une analyse de l’impact sont réalisées. En cas d’atteinte sur le plan informatique, le PCA permet de continuer l’activité et les processus métiers critiques sans perdre des données.

 

Un Plan de Reprise de l’Activité, ou PRA, est un ensemble de procédures qui permettent de rétablir et de reprendre les activités après un incident, grâce à des mesures temporaires. Au travers d’une identification des activités critiques, des ressources et des solutions pour le maintien des activités, l’objectif d’un PRA est de reprendre les activités informatiques le plus rapidement possible.

 

Un PRA peut être intégré au PCA ou peut être mis en place de manière indépendante.

Conseil pour mettre en place un PCA et un PRA

Conseil 6 : appliquez le RGPD et répondez aux exigences de la norme ISO/IEC 27001:2013

Des normes et des exigences réglementaires actuelles protègent les utilisateurs et les entreprises. Respecter les exigences et normes en vigueur permettent de mettre en place des mesures de sécurité en interne.

 

En particulier la norme ISO/IEC 27001 représente la base solide d’une stratégie de cybersécurité efficace et stable. Cette norme renforce les bonnes pratiques en termes de sécurité. Elle répond aux exigences d’un Système de Management de la Sécurité de l’Information (SMSI) sur la base du risque, dans l’objectif de protéger les personnes, les processus, les données et les technologies.

 

Le RGPD, quant à lui, rend les entreprises responsables des données qu’elles ont à disposition. Elles sont dans l’obligation de mettre en place des mesures pour assurer la sécurité des données. Des dispositifs de cybersécurité garantissent la vie privée des personnes. La confidentialité, l’intégrité, la disponibilité et la traçabilité des données sont assurées.

Conseil application du RGPD et de la norme ISO/IEC 27001

Conseil 7 : réalisez des mises à jour de logiciels et de mots de passe

Les mises à jour sont importantes. Au-delà de l’aspect souvent esthétique et ergonomique de ces dernières, elles ont la majorité du temps une visée sécuritaire. En effet, dans les logiciels, applications et systèmes d’exploitation, des failles peuvent être décelées ; les mises à jour permettent de réduire les risques.

 

Vous êtes certainement exposés à une faille de sécurité connue si vous ne réalisez pas les mises à jour lorsqu’elles sont disponibles.

 

De même, changer les mots de passe est une solution souvent oubliée. Utiliser un mot de passe fort est important. Cependant, il est tout aussi important de le changer régulièrement et de ne pas l’utiliser sur tous vos comptes. L’ANSSI recommande de changer le mot de passe tous les 90 jours. Pour retrouver toutes les recommandations de l’ANSSI concernant la sécurité des mots de passes : ICI.

Mise à jour des logiciel et des mots de passe

Conseil 8 : mettez en place des veilles

Soyez au courant des dernières actualités, menaces et outils dans le domaine de la cybersécurité par la mise en place de veilles informationnelles et technologiques.

 

Vous adapterez votre entreprise et vos méthodes en fonction des dernières actualités. Découvrez un nouveau logiciel, préparez-vous à une nouvelle forme de menace, détectez des nouvelles recommandations de l’ANSSI… La veille donne la possibilité d’être proactif et vigilant pour améliorer la sécurité de votre entreprise.

Conseil mise en place de veille

Conseil 9 : sécurisez votre infrastructure avec les bons outils de sécurité

Les outils adaptés à votre entreprise et à vos activités ont pour objectif d’assurer votre sécurité. Vous pouvez utiliser différents types d’outils : firewall, antivirus, VPN, double authentification…

 

Mettez en place des audits internes et fonctionnels. Vous identifierez quels outils sont les plus adaptés à vos activités et à votre infrastructure. Même si un outil est performant, si son utilisation n’est pas correcte ou s’il n’est pas adapté à vos besoins, cela pourrait être néfaste pour votre entreprise et pour votre sécurité.

Conseil mise en place d'outils de sécurité

 

 

Avec ces différents conseils, vous avez à disposition plusieurs champs d’application pour renforcer la cybersécurité de votre entreprise. Si vous avez besoin de conseils supplémentaires ou d’accompagnement, nos experts restent à votre disposition. N’hésitez pas à nous contacter !