Cybersécurité Tribunes

Cybersécurité : Les PME doivent aussi protéger leurs accès !

Par Kevin Chapman, SVP and General Manager of SMB, chez Avast.

L’entrée en vigueur du règlement général sur la protection des données (RGPD, ou GDPR en anglais) approche à grands pas. En outre, avec les cybermenaces, la fraude en ligne et le vol d’informations sensibles toujours en hausse, il est plus important que jamais de garder son entreprise aussi sûre et sécurisée que possible, en veillant à la mise à jour des logiciels et des mots de passe.

Dans ce contexte, des évènements tels que la journée mondiale du mot de passe #WorldPasswordDay, le 3 mai dernier, rappelle non seulement au grand public, mais aussi aux chefs d’entreprise, d’être plus vigilants dans la sécurisation de leurs identifiants. Car après tout, chaque organisation est composée d’individus qui peuvent volontairement ou non être source de vulnérabilités. Le constat est sans appel, l’impact de la sensibilisation à la vérification des mots de passe et leur modification régulière n’est pas encore optimum.

Une enquête menée par Avast auprès de 2 000 Britanniques a par exemple révélé que 28 % d’entre eux utilisent des mots de passe composés d’informations facilement identifiables sur les terminaux professionnels, tels qu’un téléphone mobile ou un ordinateur. Encore plus inquiétant, les jeunes générations, qui entrent sur le marché du travail, sont bien plus mal sensibilisées que leurs collègues plus établis : 57 % des 18-24 ans utilisent des mots de passe composés d’informations facilement identifiables sur le lieu de travail, contre seulement 17 % des plus de 55 ans. Une tendance qui s’applique aisément au marché français. En outre, les données montrent que près d’un tiers (29 %) des PC sous Windows fonctionnent toujours avec la vulnérabilité impliquée lors de l’attaque massive WannaCry il y a maintenant un an.

Qu’il s’agisse de mots de passe, de mises à jour des systèmes, ou d’un téléphone mobile, il est indispensable d’être mieux informés et de s’assurer de sa sécurité en ligne. Pour ce faire, des mesures doivent être mises en place. Des bonnes pratiques somme toute, simples à adopter :  » vérifier et modifier  » !

Vérifier…

1. … les routeurs. Ils sont la passerelle vers tous les terminaux connectés d’une entreprise et pourraient les compromettre si le mot de passe n’est pas sécurisé. Si un service en ligne utilisé par un employé a été piraté par le passé, il est possible que le mot de passe soit vulnérable, il est alors essentiel de les changer pour tous les appareils connectés.
2. … l’application des mises à jour logicielles. Que l’entreprise possède deux ou cent employés, il est important de s’assurer que tous les appareils connectés au réseau sont mis à jour dès que les correctifs logiciels sont disponibles. Sont concernés l’ensemble des ordinateurs, appareils mobiles, webcams et équipements de bureau connectés ; tels que les imprimantes ou les systèmes de point de vente.
3. … l’installation d’un antivirus à jour sur le réseau. Il permettra de détecter et de bloquer les logiciels malveillants comme les ransomwares, avant que ces derniers ne causent des dommages. La détection et la suppression de menaces, telles que les logiciels malveillants qui enregistrent les nouveaux mots de passe créés par les employés, sera également possible, grâce notamment aux analyses régulières du logiciel antivirus, afin de protéger les ressources de l’entreprise.
4. … que les mots de passe sont difficiles à déchiffrer. Encourager les employés à choisir une phrase ou une série de mots mémorables, et les modifier afin d’ajouter des caractères spéciaux dans le but de créer des mots de passe uniques et complexes comprenant des chiffres, des caractères et des symboles. Il convient d’éviter toute combinaison simple telle que le nom, la date de naissance, le prénom d’un proche, ou encore ceux trop classiques, tels que « 1234 « , ou encore le très populaire  » dragon  » comme l’a révélé récemment Splashdata dans son étude annuelle.

Modifier…

1. … patchs et (mauvaises) habitudes de mise à jour ! De nombreux appareils peuvent exécuter des mises à jour du jour au lendemain, de sorte que les employés n’ont aucune raison valable de mettre ces dernières en attente. Souvent, elles incluent des correctifs aux vulnérabilités. Par conséquent, ne pas les installer peut entraîner des failles dans la sécurité d’une entreprise dont les pirates informatiques tireront parti. Il est donc important de veiller à ce que les employés exécutent des mises à jour juste avant de quitter le bureau.
2. … les mots de passe tous les deux à trois mois pour l’ensemble des appareils et comptes des employés. De nombreuses personnes ne se rendent pas compte que changer leurs mots de passe régulièrement permettrait de prévenir les problèmes de sécurité les plus courants, tels que la cyber fraude, le vol de données en ligne et le piratage.
3. … le processus de connexion sécurisé au sein de l’entreprise. L’authentification à double facteurs ajoute une étape de sécurité supplémentaire pour la connexion au réseau de l’entreprise et aux sites Internet, tels que Google Drive. Les employés peuvent utiliser leur téléphone mobile comme deuxième niveau de sécurité pour recevoir un code à entrer ou un jeton physique –  » un token  » – pour vérifier leurs informations de connexion. Cette étape supplémentaire permet de rendre encore plus difficile l’accès au réseau et aux données critiques.
4. … la manière dont les employés enregistrent les mots de passe. Les mots de passe ne doivent pas être sauvegardés sur des post-it ou des morceaux de papier collés à l’ordinateur. Cela semble évident, pourtant ces mauvaises pratiques perdurent. Ils ne devraient pas non plus être sauvegardés dans le navigateur Internet de l’employé. Pour pallier cette vulnérabilité trop répandue, l’adoption d’un gestionnaire de mots de passe au sein de l’organisation permet de créer des identifiants forts pour tous les accès des employés et de les stocker en toute sécurité derrière un mot de passe principal. Ainsi, une fois déverrouillé, et les modules complémentaires installés, l’outil de gestion remplira automatiquement les informations de connexion chaque fois que les employés souhaiteront accéder à des comptes protégés.

Quelle que soit sa taille, une organisation, doit partir du principe qu’elle sera tôt ou tard victime d’une attaque. Tandis que les grandes entreprises tendent à investir plus facilement dans des outils de sécurité, les TPE et PME estiment souvent, à tort, que leurs données ne seront pas aussi intéressantes ou importantes pour des cybercriminels. Or, à l’heure actuelle, tout le monde peut être une  » cyber-victime « , et de nombreuses attaques sont sûrement en cours sans que l’on ne le soupçonne. C’est pourquoi des outils de sécurité, abordables et adaptés à chaque besoin, existent et doivent être déployés par les entreprises pour protéger leurs données, mais aussi celles de leurs clients et partenaires. Combinés à des pratiques simples et quotidiennes, ils permettront aux organisations de lutter plus efficacement contre les menaces et d’adopter une posture d’anticipation plutôt que de restauration, un enjeu business majeur pour leur activité mais aussi leur réputation.

Send this to a friend