Tribune : 10 règles essentielles de sécurité IT pour PME

Les PME sont considérées comme une cible facile à attaquer par les pirates informatiques, qui cherchent à accéder à des données sensibles.

Les attaquants sont bien conscients que les petites et moyennes entreprises ont des ressources ou du personnel limité dédié à la sécurité du système informatique.

C’est pour cette raison que nous avons rassemblé dix règles à mettre en place pour vous aider à améliorer  la sécurité de votre entreprise, et ainsi pouvoir vous protéger de toute tentative de piratage et de vol de données.

Et cela n’est souvent qu’une question de bon sens…Suivez les pistes suggérés par Lauran Frynich, un spécialiste de la sécurité IT et système qui anime le portail Lebonantivirus.com (comparateur d’antivirus & conseils en sécurité IT)

1 – Isoler et chiffrer les données sensibles

=> Identifier les informations sensibles de votre entreprise, par un inventaire de toute  information potentiellement sensible de votre société (par exemple : les documents contenant des informations client, e-mail, information liée à votre produit, devis, etc.)

=>Garder les informations sensibles dans un nombre d’ordinateurs limité ou dans un serveur qui tourne avec un système d’exploitation sécurisé comme le propose « Linux », et assurez-vous de les séparer du reste des ordinateurs dans un sous-réseau privé ou le déconnecter complètement du réseau, si possible.

=> Chiffrer le disque dur de l’ordinateur ou bien de serveur qui contiendra vos données sensibles. Il y a beaucoup d’options pour crypter les données via des applications, des bases de données ou  des suites de sécurité qui peuvent être exécutées sur un ordinateur ou serveur. Le chiffrement des données rend l’accès à vos documents et informations impossible même en cas de vol.

2- Mettre en place un service d’accès et de contrôle

Il existe différents niveaux en ce qui concerne l’accès et le contrôle à savoir :

=>L’utilisation des ordinateurs en réseau sans fil : il est fortement conseillé d’empêcher l’accès aux ordinateurs et aux réseaux sans fil de l’entreprise à des personnes non autorisées.

=>L’accès aux ressources réseaux et partages : le nombre de personnes autorisées à accéder à toutes les données de votre système doit être limité. Il faut contrôler tous les utilisateurs qui sont autorisés à accéder au serveur et définir une limite à chacun.

=> L’accès au serveur de partage et à tous les autres ordinateurs contenant des données sensibles doit être sous le contrôle total d’un administrateur ou d’une personne de confiance.

De plus, il faut utiliser des mots de passe solides ou bien mettre en place un système d’authentification d’empreintes digitales pour accéder au local technique.

3- Former votre équipe

Lorsque votre entreprise grandit, vous ferez face à la difficulté de tout gérer par vous-même. Il est donc nécessaire de former vos employés à l’art des pratiques de sécurité informatique et de définir une politique d’entreprise claire.

Cela commence par établir une documentation qui décrit toutes les directives à respecter pendant l’exploitation du système informatique de l’entreprise.

Selon l’activité de votre entreprise, les employés pourraient être l’élément le plus facile à exploiter par vos concurrents et ainsi vouloir récupérer des détails sensibles sur les affaires internes de votre société. C’est pour cette raison que votre équipe doit être consciente de toutes ces manœuvres.

Les employés doivent apprendre à répondre à un e-mail, ou publier en ligne de façon à ne pas révéler  des secrets commerciaux concernant l’entreprise, etc.

4- Créer des sauvegardes régulièrement

Les disques durs qui échouent, les employés commettants des erreurs ou encore l’infection par des programmes malveillants sont pires et peuvent détruire complètement toutes  données sur votre ordinateur en un instant.

Voilà pourquoi il est nécessaire de mettre en place un système de sauvegarde pour enregistrer vos bases de données, tableurs de bord, feuilles de calculs, documents relatifs aux finances et aux ressources humaines, etc.

Vous avez plusieurs options de sauvegarde selon votre budget :
– L’utilisation de support de sauvegarde traditionnelle (CD/DVD, disque dur externe);
– La sauvegarde en ligne (cloud);
– L’ajout d’un serveur de sauvegarde dans le réseau de l’entreprise.

Vous pouvez sauvegarder une fois par jour ou une fois par semaine, selon le niveau d’activité de votre entreprise.

Quelle que soit la méthode de sauvegarde que vous choisirez, vous devrez toujours prévoir la conservation d’une copie de vos données dans un endroit sécurisé.

Si vous préférez utiliser un système de sauvegarde en ligne automatique, l’enregistrement de vos données en interne est tout de même fortement conseillé pour renforcer la garantie de sauvegarde.

5 – Se protéger contre les virus, logiciels espions et autres codes malveillants

Chaque ordinateur connecté au réseau de l’entreprise devrait avoir un programme antivirus et anti-malware, fonctionnant de préférence en temps réel.

Vous devriez être en mesure de le configurer pour qu’il scanne les fichiers téléchargés, e-mails et la vérification des liens et des pièces jointes.

Les logiciels antivirus et anti-espion doivent être à jour, ainsi que pour tout le reste des programmes et applications installés sur l’ordinateur.

Sachez que les fournisseurs de ces logiciels, applications et systèmes d’exploitation diffusent des corrections de bugs d’où l’importance des mises à jour .Tout en sachant que de nouvelles menaces apparaissent à chaque instant.

6 – Utiliser des mots de passe solides

Exiger des employés d’utiliser des mots de passes uniques respectant les normes de sécurité pour tous leurs comptes de connexions, et de les changer régulièrement.

Il est possible de renforcer davantage le processus de connexion tout en appliquant l’authentification multi-facteurs, qui nécessite des informations supplémentaires au-delà d’un mot de passe pour pouvoir se connecter tel que la confirmation par appel téléphonique ou SMS.

7 – Sécuriser le réseau Wi-Fi

Un réseau sans fil non sécurisé présente un vrai danger,  si vous disposez d’un réseau Wi-Fi pour votre entreprise, assurez-vous qu’il est bien sécurisé.

L’une des techniques avancées pour protéger un réseau Wi-Fi est de masquer la diffusion de la clé SSID, il suffit de configurer votre point d’accès ou routeur sans fil afin que le nom du réseau SSID ne soit pas diffusé.

De plus, assurez-vous du mode d’authentification activé sur le routeur (le plus recommandé est le WPA2) et le mot de passe doit être complexe comme mentionné ci-dessus. Il est également essentiel de changer le mot de passe de l’administrateur par défaut.

8- Installer un pare-feu

Le but de pare-feu est d’empêcher à personne non-autorisé l’accès aux données sur un réseau privé.

Il est utilisé pour protéger les ordinateurs contre les attaques de pirates et autres menaces venant d’internet. Il existe deux types de pare-feu :
– Un pare-feu logiciel qui s’installe sur un ordinateur ou serveur;
– Un pare-feu matériel sous forme d’un boitier qui s’ajoute au réseau informatique pour filtrer le trafic provenant de l’extérieur.

Concernant le pare-feu logiciel, vous avez le choix entre le pare-feu du système d’exploitation ou installer un  logiciel de pare-feu supplémentaire. Si les employés travaillent depuis leur domicile, il est conseillé d’utiliser un service VPN sécurisé.

Le pare-feu basé sur le matériel protège tous les ordinateurs de votre réseau. Il est plus facile à maintenir et à administrer qu’un pare-feu logiciel individuel.

9 – Sécuriser les appareils mobiles

Les appareils mobiles et les supports de stockages de données (comme les clés USB, disque dur externe, etc.) permettent à votre entreprise d’être plus productive et facilitent la communication. Toutefois, les données qu’ils contiennent pourraient être utilisées et ainsi nuire au système informatique de votre entreprise.

Voici quelques conseils à appliquer pour garantir une sécurité adéquate d’un appareil mobile :

=>Assurez-vous que tous vos appareils professionnels mobiles (téléphones, tablettes, etc.) ont accès au système via des mots de passe forts.

=>Bien protéger les données sur les appareils mobiles en utilisant les fonctions de sécurité  intégrée ou l’installation d’un logiciel de sécurité puissant.

=>Chiffrez toutes vos données sensibles sur les dispositifs de stockages portables.

=>Assurez-vous que vous appliquez la sécurité Web et les conseils de sécurité de messagerie au fonctionnement  de votre appareil mobile.

10 – Rubrique fourre-tout : autres conseils rapides et précieux :

=>Élaborer et mettre en œuvre un plan de sécurité du système qui définit clairement les meilleures pratiques pour tous les employés.

=>Recruter au moins une personne qui se charge de la sécurité du système de votre entreprise, et assurez-vous de lui donner des instructions claires et précises.

=>Il faut toujours se méfier des appels téléphoniques, des courriels ou d’autres communications provenant de source inconnue.

=>Limiter l’accès à votre réseau, seulement au personnel autorisé pour un besoin précis.

=>Demandez à vos employés de verrouiller leurs ordinateurs et de ranger les documents sensibles lorsqu’ils ne sont pas à leur bureau.

Une tribune libre de Lauran Frynich, un spécialiste de la sécurité IT et systèmes qui anime le portail didactique Lebonantivirus.com (comparateur d’antivirus & conseils en sécurité IT)

(Crédit photo : Shutterstock.com – Droit d’auteur : SFIO CRACHO)