Peu sensibilisées, souvent mal préparées, les petites structures sont les plus vulnérables aux attaques informatiques – comme nous l’avons constaté dans un précédent article. Pour la plupart d’entre elles, ces cyber-risques semblent abstraits, et les mesures de protection aussi complexes que coûteuses.

Comment changer la donne ? Comment rendre les enjeux de la cybersécurité accessibles aux entreprises ?

Pour ce faire, l’ANSSI a édité un guide destiné aux TPE/PME, en partenariat avec la Direction générale des entreprises et Cybermalveillance.fr.
En douze questions, ce guide présente les bonnes pratiques à adopter pour assurer la sécurité des petites et moyennes entreprises. En voici un résumé.

Les règles de base en informatique

Question 1 : connaissez-vous bien votre parc informatique ?

C’est la toute première question que les TPE/PME doivent se poser en matière de cybersécurité, afin de faire le point sur leurs capacités numériques. Quels sont les équipements et services en place ? Les logiciels utilisés ? Les données traitées ? Qui se connecte au système d’information et selon quelles modalités ? Quelles sont les interconnexions éventuelles avec l’extérieur ?

Question 2 : effectuez-vous des sauvegardes régulières ?

Les sauvegardes régulières des données permettent de restaurer les activités opérationnelles plus rapidement en cas d’attaque. Il faut, pour cela, identifier les données critiques, déterminer le rythme idéal des sauvegardes, et choisir un support (physique ou Cloud).

Question 3 : appliquez-vous régulièrement les mises à jour ?

Les mises à jour (du système d’exploitation et des logiciels) mettent à disposition des correctifs de sécurité indispensables. C’est pourquoi il faut penser à activer la mise à jour automatique.

Question 4 : utilisez-vous un antivirus ?

L’antivirus est un pilier de la cybersécurité pour les TPE/PME. Mais attention : il faut penser à le mettre à jour fréquemment, afin de bénéficier d’une protection optimale contre les méthodes de piratage informatique les plus récentes.

Question 5 : avez-vous activé un pare-feu ?

Le pare-feu local est une fonctionnalité disponible sur la plupart des systèmes d’exploitation, et sur la majorité des antivirus. Il protège contre les attaques venues du web.

Pour aller plus loin dans la sécurisation des données

Question 6 : avez-vous implémenté une politique d’usage de mots de passe robustes ?

L’utilisation de mots de passe trop simples tend à faciliter les attaques cyber. L’ANSSI recommande donc aux TPE/PME d’opter pour des mots de passe « robustes » : entre 9 et 14 caractères (en fonction de la criticité du système), aucun élément personnel, et l’obligation d’en changer régulièrement.

Question 7 : comment sécurisez-vous votre messagerie ?

Premier vecteur d’infection du poste de travail, la messagerie doit faire l’objet d’une politique de cybersécurité avancée. Pour les TPE/PME, cette sécurisation résulte en grande partie du bon comportement des utilisateurs : faire attention à l’expéditeur, éviter d’ouvrir une pièce jointe douteuse, vérifier l’authenticité du message par un autre canal, etc.

Question 8 : comment séparez-vous vos usages informatiques ?

L’ANSSI met en avant un principe d’ « hygiène » informatique qui repose sur une séparation des usages à des fins de cybersécurité. Par exemple, la création de comptes utilisateurs dédiés, employés pour naviguer sur le web. Ou encore la limitation des autorisations données à chaque application pour chaque utilisation.

Question 9 : comment maîtrisez-vous le risque numérique lors des missions et des déplacements professionnels ?

La mobilité accroît les risques cyber. Quelques questions simples permettent de se préparer : que prévoir pour partir en mission (matériel, sauvegarde des données, mots de passe…) ? Quels réflexes adopter pendant et après la mission ?

Question 10 : comment vous informez-vous ? Comment sensibilisez-vous vos collaborateurs ?

Les TPE/PME doivent mettre en place une politique de sensibilisation en interne. Celle-ci passe par des actions de communication ciblées, pour que les utilisateurs aient connaissance des recommandations – notamment celles de l’ANSSI contenues dans ce guide.

Etre prêt en cas de cyberattaque

Question 11 : avez-vous fait évaluer la couverture de votre police d’assurance au risque cyber ?

Les assureurs proposent des garanties adaptées aux risques informatiques, avec différents types de protection en fonction des contrats. Les TPE/PME ont donc intérêt à s’assurer d’être couvertes pour les risques les plus redoutés.

Question 12 : savez-vous comment réagir en cas de cyberattaque ?

Enfin, il est indispensable de prévoir un « plan d’action » dédié au risque cyber, à déployer en cas de sinistre. Par exemple : déconnecter son SI ou son équipement lorsqu’un incident est constaté, tracer les actions et événements liés à celui-ci, communiquer sur le sinistre auprès des parties prenantes, porter plainte, et bien sûr, déclarer une éventuelle fuite de données personnelles à la CNIL (une obligation dans le cadre du RGPD).

En matière de cybersécurité pour les TPE/PME, mieux vaut prévenir que guérir. Pour se prémunir contre les risques informatiques, il faut un soupçon de bon sens, une poignée de partenaires de confiance, et une bonne dose de solutions sécurisées – à l’instar d’ Oodrive Work, un outil qui permet de travailler dans un environnement de confiance pour échanger des documents sensibles.

De quoi collaborer efficacement tout en respectant les préconisations de l’ANSSI !

Par secteur

Santé

Services publics

Énergie

Aérospatiale & Défense

Infrastructures critiques

Services financiers

Par département

Marketing & Ventes

R&D et Ingénierie

Risques et conformité

Services Financiers

Juridique

Ressources Humaines

Sécurité de l’information