La cybersécurité est devenue un sujet d’enjeu important du fait que le digital se soit répandu dans les usages de l’ensemble de nos activités.
Avoir une partie de son activité en ligne, de la gestion des emails à la comptabilité  représente un gain de temps et de praticité, mais aussi un risque éventuel en termes de confidentialité si l’aspect cybersécurité est ignoré.

Découvrez dans ce numéro, les cinq grands axes d’une cybersécurité bien menée et leur importance.

1) Avoir des mots de passe forts et variés

Petite histoire : 

Marie est la gérante d'une petite entreprise de vente en ligne de produits de beauté naturels. Elle utilise un mot de passe simple pour se connecter à son compte administrateur sur son site Web. Malheureusement, un hacker a réussi à deviner son mot de passe et a pu accéder à son compte.
Le hacker a pu accéder aux informations de paiement des clients et a volé les coordonnées bancaires de plusieurs clients. Le hacker a également changé le mot de passe de Marie, l'empêchant ainsi de se connecter à son propre site Web.
Marie a découvert la situation lorsqu'elle a reçu plusieurs plaintes de clients concernant des débits non autorisés sur leurs cartes de crédit. 

Bien que cela puisse être contraignant, les mots de passe génériques sont réellement à proscrire. 
Hive Systems rappelle dans son rapport annuel que même un mot de passe composé de 6 caractères (majuscules, minuscules, chiffres, symboles) peut être piraté instantanément et un mot de passe de 8 caractères en 5 minutes. 

Ces chiffres peuvent sembler incroyables mais les logiciels de piratage employés par les hackers sont de plus en plus rapides et performants. 
Il est donc préférable d’utiliser des générateurs pour créer des mots passe de plus de 12 caractères variés en changeant de mot passe pour chaque plateforme.

Pensez donc à : 

• Avoir un mot de passe par plateforme;
• Conserver ses mots de passe en sécurité;
• Utiliser des mots de passe forts par l’usage de minuscules, majuscules, chiffres et symboles le tout dans un minimum de 12 caractères;
• Changer de mot de passe au moindre doute;

Comment créer un bon mot de passe ? 

De nombreux générateurs de mots de passe puissants sont disponibles de manière gratuite en ligne comme generateurmotdepasse.com ou generateur-motdepasse.com.

Comment s’y retrouver dans ses mots de passe ?

C’est pourquoi il existe des gestionnaires de mots de passe qui vous permettent d’enregistrer de manière très sécurisée vos identifiants d'accès pour chacune de vos plateformes.

• Lastpass
• Dashlane 
• Keepass 

2) Maîtriser ses mises à jour

Petite histoire : 

Pauline est la gérante d'une petite entreprise de location de voitures. Elle utilise un logiciel de gestion de flotte pour suivre la disponibilité de ses véhicules, les réservations et les paiements des clients. Pauline est très occupée à gérer son entreprise et elle n'a pas le temps de vérifier régulièrement les mises à jour du logiciel de gestion de flotte.
Un jour, un hacker a découvert une vulnérabilité dans la version obsolète du logiciel de Pauline. Le hacker a profité de cette faille pour accéder à la base de données de l’entreprise et récupérer les informations des clients.
Pauline a découvert la situation lorsque des clients lui ont affirmé avoir reçu des emails de demande de paiement de cautions en ligne alors qu’ils n’avaient fait aucune demande.  

Voici quelques bonnes pratiques pour vous aider à maintenir l'ensemble de vos outils à jour :

• Lister les éléments nécessitant une mise à jour : Il est important de prendre le temps de lister les éléments de son exploitation qui pourraient nécessiter une mise à jour afin de n’en oublier aucun au moment de passer à l’action.
• Planifier ses mises à jour : Chaque semaine ou tous les 15 jours, au même titre qu’un commerce ferait son inventaire. Cette pratique est à insérer dans les habitudes de chaque entreprise s'il n’y a pas de service informatique dédié à cela. 
  Cette action peut être mise en rappel dans les calendriers de fonctionnement de l‘entreprise par exemple. 
• Ne passer que par les liens et sites officiels : Les éditeurs de programmes ou d’appareils sont et seront toujours les mieux placés pour vous proposer une mise à jour. Inutile de chercher sur internet une mise à jour douteuse, il est préférable de se rendre directement sur le site de l'outil en question.

Pour aller plus loin : Le site gouvernemental chargé de la prévention aux cyberattaques propose un mémo clés en main pour gérer correctement ses mises à jour. 
Et l’Agence Nationale de la Sécurité des systèmes d’Information propose également un MOOC pour s’initier à la cybersécurité.

3) Sécuriser son réseau Wi-fi 

Petite histoire  : 

Jean Luc est le propriétaire d'un petit restaurant. Il avait mis en place un accès wifi gratuit non sécurisé pour les clients du restaurant, sans se rendre compte des risques encourus.
Il pensait que l'accès wifi était un atout pour son entreprise, car cela permettait à ses clients de travailler en ligne pendant leur repas et donc de les fidéliser.
Un jour, Jean Luc a reçu une lettre de son fournisseur internet lui indiquant qu'ils avaient détecté une activité suspecte sur son réseau. Après enquête, il a découvert que son accès wifi avait été utilisé par un pirate informatique pour mener des activités illégales en ligne.
Le pirate avait également installé un logiciel malveillant sur le réseau, qui compromettait la sécurité de toutes les données pouvant passer par le réseau, y compris les informations personnelles des clients du restaurant.

Comme Jean Luc, beaucoup de commerçants font le choix de mettre en place un réseau wifi à disposition de leurs clients ou collaborateurs. Afin de se prémunir des tentatives de piratage comme celle rencontrée par Jean Luc, plusieurs actions sont à mener : 

• Changer le mot de passe wifi initialement fourni par l’opérateur.
• Configurer un réseau distinct pour les clients pour la gestion d'entreprise
• Restreindre l'accès au réseau wifi en limitant le nombre de connexions simultanées et en définissant des plages horaires d'accès.
• Configurer un pare-feu pour filtrer le trafic entrant et sortant du réseau wifi.
• Préférer un système de connexion au réseau client, par QR code avec une acceptation de conditions générales d’utilisation.

Toutes ces mises en place peuvent s’avérer techniques, c’est pourquoi il est conseillé de faire appel à son fournisseur internet pour qu’il procède à ses opérations de sécurisations.

4) Sauvegarder régulièrement ses données

Petite histoire : 

Pascale est la propriétaire d'une petite entreprise de vente en ligne de bijoux artisanaux. Elle a mis en place un site web avec une base de données contenant les informations de ses clients et de ses stocks de bijoux. Cependant, Pascale n’a jamais effectué de sauvegarde de ses données, pensant que cela n'était pas nécessaire pour une petite entreprise comme la sienne.
Un jour, son site web a été piraté et la base de données a été corrompue. Elle a alors réalisé qu'elle avait perdu toutes ses données, y compris les informations de ses clients et ses stocks de bijoux. Elle a tenté de récupérer les données, mais sans succès.

Selon une étude de Dell, “En 2021, 37 % des entreprises disaient avoir subi un incident cyber avec perte d'accès aux données. En 2022, elles étaient 48 %.” Il est donc important de se sensibiliser sur ce point.

Voici quelques bonnes pratiques à mettre en place : 

- Lister les appareils et logiciels concernés : Comme pour les mises à jour, il est important de prendre le temps d’identifier les outils d’exploitation concernés par la nécessité de sauvegarde. Le listing permet de simplifier l’exécution de sauvegarde sans oublier un seul outil. 

- Planifier ses sauvegardes : La planification permettra d’apporter une certaine rigueur et assurance d’exécution à ce devoir. Il est conseillé de faire des sauvegardes de manière régulière en fonction du flux de données. 

- Opter pour une solution de sauvegarde adaptée : En fonction des besoins, les sauvegardes peuvent se présenter sous différentes manières. 

• Sauvegarde matérialisée : Il est possible de procéder à des sauvegardes matérialisées grâce à des disques durs externes ou des clés USB. Mais cela expose au risque de la faille technique de matériel, il faut donc penser à dupliquer ses supports de sauvegarde. 
• Sauvegarde dématérialisée : De nos jours il existe de nombreuses solutions gratuites et payantes en fonction du volume pour stocker en ligne de manière sécurisée des sauvegardes de données. Il est important cependant de veiller à choisir un espace de sauvegarde qui est protégé par les réglementations européennes et françaises: 
  - Google Drive
  - Microsoft OneDrive 
  - Dropbox

Pour aller plus loin : Le site gouvernemental chargé de la prévention aux cyberattaques propose un mémo clés en mains pour gérer facilement ses sauvegardes.

5) Sensibiliser son personnel et ses clients à la cybersécurité

Petite histoire : 

Jean Marc est le fondateur d’une petite agence de communication. Il travaille avec une équipe de graphistes, de commerciaux et de responsables de communication. Un jour, son entreprise a été victime d'une attaque de phishing en raison d’un manque de sensibilisation de ses employés à la cybersécurité. Un employé du service clientèle a reçu un e-mail suspect prétendant être d'une société de paiement tiers et demandant des informations de connexion. Croyant que l'e-mail était légitime, l'employé a fourni les informations demandées, donnant ainsi au pirate l'accès aux informations de paiement des clients de l'entreprise.
Les pirates informatiques ont alors utilisé ces informations pour effectuer des achats frauduleux sur le site Web de l'entreprise, causant des pertes financières importantes et une perte de confiance des clients envers l'entreprise.

Afin de prévenir ce genre de situation, il est conseillé de : 

• Communiquer en interne sur la cybersécurité;
• Mettre en place si possible des formations de sensibilisation à l’aide de cabinets spécialisés;
• Mettre en place une charte informatique qui recense les bonnes pratiques des usages du numérique dans un environnement professionnel.

Il est également envisageable de sensibiliser sa clientèle si besoin : 

• Communiquer de façon transparente sur les moyens de communication auxquels les clients peuvent s’attendre de votre part afin de se méfier des mails ou appels douteux.
• Mettre en place une bannière dans les emails et sur le site internet pour rappeler aux clients de rester vigilants envers les emails et appels non conventionnels.
• Ne communiquer qu’avec un nom de domaine clair et distinct pour ne pas semer le doute chez vos clients lors d’envois d’emails par exemple. 

Vous l’aurez compris, la sécurité numérique d’une entreprise n’est pas optionnelle car elle peut remettre en question toute une activité si elle n’est pas contrôlée avec sérieux.

N'hésitez pas à pousser plus loin vos actions de cybersécurité en consultant le site Gouvernemental cybermalveillance.gouv.fr et www.ssi.gouv.fr qui proposent des solutions complémentaires ainsi qu’une assistance d’analyse en cas de cyber malveillance.