5 conseils de cybersécurité pour commencer l’année 2022
Une nouvelle année qui débute est souvent signe de bonnes résolutions. Chez smartcockpit nous avons décidé de vous donner un petit coup de pouce en établissant une liste de 5 bonnes pratiques de cybersécurité à mettre en place pour atténuer vos risques de vol ou de perte de données. En effet, la cybersécurité est un enjeu de plus en plus complexe pour les organisations. En cas de cyber attaque, une organisation peut se retrouver paralysée pendant des mois avec les conséquences que ça implique : perturbation de l’activité, pertes financières, frais juridiques atteinte à la réputation, … La cybersécurité n’est donc pas uniquement un sujet technique et résulte de l’implication de chacun. Après avoir lu ses quelques lignes, vous ne serez plus une proie facile pour les hackers.
1) Utilisez un mot de passe long et complexe, le meilleur rempart en cybersécurité
Créez des mots de passe forts contenant des majuscules, des minuscules, des chiffres et des symboles. Il faut penser à un mot de passe n’ayant aucun lien avec vous. Ainsi, il sera difficile de le retrouver à l’aide d’outils automatisés et impossible à deviner par une tierce personne.
Nous vous conseillons vivement de changer régulièrement vos mots de passe car les plateformes que vous utilisez ne sont pas infaillibles. En effet, si vous utilisez un iPhone et que vous stockez vos mots de passe sur le Trousseau iCloud, vous avez sans doute déjà vu ce message « ce mot de passe a été identifié dans le cadre d’une fuite de données ». C’est une fonctionnalité très efficace apparue avec iOS 14 qui peut vous indiquer si vous avez été compromis. Si vous n’utilisez pas le Trousseau iCloud ou si vous êtes sur Android, n’ayez pas d’inquiétude. Dirigez-vous sur haveibeenpwnd.com et entrez l’adresse courriel que vous utilisez habituellement avec vos comptes pour savoir si elle a été compromise et quelles informations ont été divulguées.
Choisissez un mot de passe différent pour chaque site. Il est essentiel que vos mots de passe n’aient pas de lien les uns avec les autres notamment lorsque vous en changez. En effet, il peut être tentant de réutiliser le début d’un mot de passe ou de créer une construction logique afin de s’en souvenir. C’est un exemple de construction à bannir. Si vous vous reconnaissez dans ce genre de pratique, vous devriez changer vos mots de passe.
Tout ceci paraît limpide en théorie mais nous avons tous une cinquantaine de comptes en ligne en moyenne ce qui rend la mémorisation très complexe. Au lieu de noter vos mots de passe dans un carnet qui rendrait inutiles les précautions que vous avez prises jusqu’à présent, nous vous proposons d’utiliser des logiciels dédiés à cette fonction comme Keepass. Un gestionnaire de mots de passe publié sous licence libre permettant de sauvegarder un ensemble de mots de passe dans une base de données chiffrée. Ce fichier de base de données s’ouvre avec un mot de passe maître et avec d’autres méthodes d’authentification comme un fichier clé.
Enfin, votre banquier vous a sûrement déjà prévenu de ne jamais communiquer votre code de carte bancaire à qui que ce soit. Et il en est de même pour vos mots de passe. En effet, l’erreur de cybersécurité qui entraîne une attaque ne proviendra pas forcément de vous, mais pourrait venir d’une autre personne, moins vigilante. Vous l’aurez compris, ce n’est uniquement par souci de confiance que vous ne devez pas communiquer votre mot de passe mais plutôt parce que la personne à qui vous le communiquez n’a pas forcément lu cet article ou n’applique pas encore les bonnes pratiques de sécurité. Alors si vous devez partager votre mot de passe à une tierce personne, veillez à le changer ensuite.
Et comme si tout cela ne suffisait pas, car nous ne sommes jamais trop prudents en matière de cybersécurité, nous vous recommandons fortement d’utiliser la double authentification lorsque celle-ci est possible. Aujourd’hui de plus en plus d’outils et d’applications proposent une authentification à double facteur afin de mieux sécuriser votre compte qui fait appel à un autre appareil comme votre téléphone. Paypal va vous proposer par exemple l’envoi d’un code de sécurité par SMS. Donc, n’hésitez pas à utiliser cette option car ce système ajoute une étape supplémentaire à l’accès à vos comptes. C’est un moyen de décourager les hackers.
2) Méfiez-vous du phishing, une redoutable cyber attaque
Le « phishing » ou l’hameçonnage en français constitue un point d’entrée pour une cyber attaque. Gardez bien à l’esprit que votre banque ne vous demandera jamais de communiquer vos identifiants par email tout comme la poste ne vous enverra jamais un message avec l’adresse email suivante « abzecskt@mb.mails.com » en vous demandant de payer pour débloquer votre courrier. Ce sont des indices pour vous aider à détecter le phishing mais parfois il est plus difficile de l’identifier. Il arrive aussi que la page d’hameçonnage soit placée sur le site d’une entreprise sérieuse après piratage de celui-ci. Il est important de ne jamais remplir de formulaire sur ces sites factices. L’utilisation de ce procédé est surtout connue dans le domaine des services bancaires en ligne. Ainsi, si vous avez un doute sur un lien, un fichier, etc. que ça soit sur les réseaux sociaux, par mail, sur le web, ne cliquez pas dessus. Essayez de contacter l’expéditeur s’il s’agit d’un message comme dans l’exemple précédent pour vous assurer de sa légitimité, ou contacter votre service informatique si vous êtes en entreprise.
Le phishing est la méthode la plus efficace et la plus utilisée pour diffuser des codes malveillants. Il est important de former régulièrement vos collaborateurs aux enjeux de la cybersécurité et aux pratiques en cours. En effet, par manque de connaissance ou pas mégarde, un collaborateur peut mettre en péril une organisation. Comme décrit dans l’introduction, une cyber attaque peut avoir de lourdes conséquences et elles sont de plus en plus nombreuses depuis l’accélération de la digitalisation provoquée par le Covid19. Il faut ainsi mettre en place des protocoles de sécurités et une gouvernance pour limiter les risques en cas de phishing.
En tant que responsable de la sécurité informatique ou néophyte qui s’interrogerait, nous vous conseillons de mettre en place un catalogue des rôles et profils d’accès afin de prévenir l’accumulation des droits d’accès inutiles qui peuvent avoir un impact lourd en cas de modifications accidentelles ou d’intrusion. Il est primordial d’attribuer les autorisations adéquates pour que les utilisateurs aient accès aux bonnes ressources. N’utilisez pas un compte administrateur par exemple pour travailler ou naviguer sur le web. Un accès utilisateur est généralement suffisant et limite les risques.
3) Effectuez des sauvegardes régulières pour vous assurer de la continuité des activités
« Vous devez faire preuve de résilience ». C’est un terme que l’on entend souvent en ces temps de crise et qui prend tout son sens lors d’une cyber attaque. La résilience c’est la capacité à surmonter un choc et quand on sait que selon de rapport d’IBM security, une entreprise met en moyenne 287 jours à se relever d’une attaque par ransomware, la gestion de la continuité est mise à rude épreuve. Nous vous invitons à vous renseigner sur la norme ISO 22301 qui traitent de la gestion de la continuité des activités dans un cadre réglementaire. Par ailleurs, si vous cherchez à mettre en place une solution de gouvernance, nous avons un cockpit dédié à cette thématique.
Dans le cadre de cet article, nous allons aborder uniquement la sauvegarde. En effet, c’est une des meilleures défenses en cybersécurité pour pouvoir réagir rapidement en cas d’attaque informatique ou de dysfonctionnement majeur. En effectuant une sauvegarde, vous avez la garantie qu’en cas de perte ou de vol de données, vous aurez toujours la possibilité de récupérer et d’accéder à vos données. Nous vous invitons à instaurer des sauvegardes complètes et récurrentes. En revanche, elles doivent être désolidarisées de votre système d’information principal. En effet, si vous sauvegardez sur le serveur de votre entreprise, vous allez rapidement le saturer inutilement et surtout cela n’aura aucun intérêt en cas d’attaque. Privilégiez un cloud, disque dur externe, clé USB, etc.
4) Faites des mises à jour régulières, un gage de cybersécurité
Vous avez sûrement entendu parler il y a quelques semaines de la faille Log4Shell. Cette faille de sécurité concerne une bibliothèque Java nommée Log4j et développée par la Fondation Apache. Il s’agit d’un outil utilisé pour enregistrer des informations sur un logiciel, comme des rapports d’erreurs. Plusieurs experts ont découvert qu’il est possible d’envoyer un lien vers une page Web à un serveur et que la bibliothèque lise le contenu de cette page. Si cette page contient du code Java, celui-ci peut alors être exécuté sur le serveur. Selon Apache, la vulnérabilité affecte Log4j dans les versions 2.0-beta9 à 2.14.1.
Nous vous invitons donc à mettre à jour vos serveurs, navigateurs, systèmes d’exploitation, et logiciels que vous utilisez. Ces mises à jour sont utiles non seulement pour l’ajout de fonctionnalités ou l’amélioration des solutions en elles-mêmes, mais également pour corriger des failles de cybersécurité potentielles. Les hackers ont pour coutume de rechercher les ordinateurs dont les logiciels n’ont pas été mis à jour afin de les utiliser à mauvais escient. Pour plus de simplicité, nous vous conseillons d’autoriser les mises à jour automatiques de vos systèmes et de vos solutions logicielles.
5) Installez un VPN et un Antivirus pour renforcer votre protection
Votre système d’exploitation offre généralement une première protection comme c’est le cas pour Windows Defender ou MacOs mais si votre appareil contient des données sensibles et que vous souhaitez renforcer votre cybersécurité, vous pouvez installer un antivirus. D’autres programmes comme Adwcleaner permettent de supprimer les logiciels espions et publicitaires mais l’antivirus reste la solution la plus sûre. Ce logiciel, qu’il faudra toujours maintenir à jour, détecte et supprime les virus. Combiné avec un pare-feu qui a pour objectif d’empêcher les virus d’envahir votre ordinateur, il offre une protection optimale. Il est donc important de bien configurer votre pare-feu en amont.
Enfin, avec la tendance du BYOD (Bring Your Own Device) et l’émergence du télétravail, il devient primordial d’utiliser un VPN (Virtual Private Network) en entreprise. C’est un lien qui vous permet de créer un réseau privé sur les réseaux publics. En effet, peu importe l’endroit où vous vous trouvez sur terre, le VPN vous permettra d’avoir accès à internet comme si vous l’utilisiez depuis la Suisse. Ainsi, vous protégerez vos collaborateurs qui sont susceptibles de travailler à distance sur des réseaux qui ne sont peut-être pas sécurisés.
En bonus, nous vous conseillons de vérifier votre système de management de la sécurité de l’information (SMSI) en vous faisant auditer régulièrement et en mettant en place une solution de gouvernance cyber comme smartcockpit. Ainsi, que vous soyez une PME ou une plus grande structure, vous pourrez facilement identifier, protéger, détecter, répondre aux sources de menaces et rebondir rapidement en cas de cyber attaque grâce à des plans de continuité de l’activité. Vous pouvez télécharger notre livre blanc qui résume le principe de gouvernance cyber.
