GUIDE Guide de survie Cybersécurité pour les PME · 2 CYBERSÉCURITÉ : technologies, procédures...

13
Guide de survie Cybersécurité pour les PME Tout savoir pour conserver en sécurité ses données GUIDE

Transcript of GUIDE Guide de survie Cybersécurité pour les PME · 2 CYBERSÉCURITÉ : technologies, procédures...

Page 1: GUIDE Guide de survie Cybersécurité pour les PME · 2 CYBERSÉCURITÉ : technologies, procédures et pratiques destinées à protéger réseaux, ordinateurs, applications et données

datto.com

Guide de survie Cybersécurité pour les PMETout savoir pour conserver en sécurité ses données

GUIDE

Page 2: GUIDE Guide de survie Cybersécurité pour les PME · 2 CYBERSÉCURITÉ : technologies, procédures et pratiques destinées à protéger réseaux, ordinateurs, applications et données

2

CYBERSÉCURITÉ : technologies, procédures et pratiques destinées à protéger réseaux, ordinateurs, applications et données des attaques, dommages ou accès non autorisés.

Dans un rapport récent d’AT&T, 62 % des entreprises reconnaissent avoir subi ce qui s’apparente à une cyberattaque.En 2016, ces incidents sont de plus en plus courants.Les entreprises ne se demandent plus si elles seront touchées mais comment faire le jour où cela arrivera.

Aujourd’hui, les employés sont connectés à Internet chaque jour et toute la journée, pour

communiquer avec leurs collègues ou partenaires, partager des informations critiques ou

naviguer d’un site à un autre. Le piratage, les failles de sécurité et les attaques de ransomware

sont en constante augmentation, il est donc essentiel pour toutes les entreprises de se préparer

au pire, avec des formations obligatoires à la cybersécurité pour tous les employés et des

solutions appropriées pour minimiser les risques.

Désormais, les menaces sur les données ne font pas de discrimination : des entreprises de toutes

tailles sont susceptibles d’être attaquées. Cependant, les petites et moyennes entreprises sont

souvent moins préparées à faire face aux menaces que leurs homologues plus grandes. Les

raisons peuvent varier d’une entreprise à l’autre, mais souvent, c’est par manque de ressources

allouées aux efforts sur la cybersécurité.

Ce guide contient des conseils pratiques et des astuces simples pour former les employés à la

cybersécurité et aux bonnes pratiques à adopter avec des exemples concrets. Sont aussi mises

en avant les solutions de base conçues pour aider les entreprises à se défendre et à récupérer

après un incident de sécurité.

www.quantic-support.fr info-support@quantic. fr

Tél. 01 85 33 01 24

Page 3: GUIDE Guide de survie Cybersécurité pour les PME · 2 CYBERSÉCURITÉ : technologies, procédures et pratiques destinées à protéger réseaux, ordinateurs, applications et données

datto.com 3

FORMATION DES EMPLOYÉS À LA CYBERSÉCURITÉD'après plus d’un millier de prestataires informatiques, le manque de vigilance des

employés vis-à-vis de la cybersécurité est une des plus grandes causes de réussite des

attaques de ransomwares contre les PME. C’est pour cela que la formation des

employés est une composante primordiale à un programme de protection vertueux en

matière de cybersécurité. C’est même le seul moyen pour le personnel de comprendre

les menaces auxquelles il peut être confronté et le plus important pour qu'il soit vigilant

à ne pas devenir une victime.

Petit traité de CyberescroquerieEn 2016, on estime qu’environ 80 % des entreprises américaines ont subi une

cyberattaque et que 47 % d’entre elles ont subi un incident apparenté à un ransomware.

La majorité des ransomwares fonctionnent à partir de tactiques qui consistent à

manipuler la ou les personnes dans le but d’accéder aux systèmes ou à des informations

privées. Cette technique de manipulation joue sur notre inclinaison naturelle à la

confiance. Pour les cybercriminels, c’est le moyen le plus simple d’accéder aux

systèmes d’informations des entreprises. Après tout, pourquoi passer du temps à

essayer de découvrir le mot de passe de quelqu’un alors qu’il suffit de le lui demander ?

Aidons les utilisateurs à acquérir du discernement. Ci-dessous, vous trouverez un rapide

tour d’horizon sur les escroqueries et les techniques de manipulation les plus courantes.

Cette liste est à tenir à portée de main des employés dès maintenant. Pourquoi ne pas

l’inclure dans votre livret d’accueil des employés ? S’ils ne connaissent pas les

techniques les plus utilisées par les pirates, ils risquent de tomber dans leurs filets.

D'après + de 1000 prestataires informatiques, le manque de vigilance des employés vis-à-vis de la cybersécurité est une des plus grandes causes de réussite des attaques de ransomwares contre les PME.

$

Page 4: GUIDE Guide de survie Cybersécurité pour les PME · 2 CYBERSÉCURITÉ : technologies, procédures et pratiques destinées à protéger réseaux, ordinateurs, applications et données

datto.com 4

5 types de techniques d’extorsion à connaître Phishing : (ou « hameçonnage ») technique principalement utilisée par les pirates

informatiques, habituellement utilisée sous la forme d’un email, d’un chat, d’une

publicité web ou d’un site web conçu pour se faire passer pour une organisation réelle.

Souvent détournés pour donner un sens d’urgence et de gravité, ces emails se font

souvent passer pour un organisme gouvernemental ou une entreprise majeure en

empruntant des graphismes ou logos réels.

Baiting : (ou technique « d’appât”) proche du phishing, le baiting regroupe diverses

manières d’inciter l’utilisateur à échanger ses données contre un appât. « L’appât » peut

être soit numérique, télécharger de la musique ou un film, soit physique, comme un

disque dur externe nommé « Tableau de rémunération des dirigeants 2016 » qui aurait

été laissé sur un bureau afin d’être récupéré par un utilisateur. Une fois l’appât attrapé,

le logiciel malveillant vient s’installer directement dans l’ordinateur de la victime.

Contrepartie : proche de la technique de l’appât, la contrepartie (ou « Quid Pro Quo »)

consiste en une demande de données en échange d’un service. Par exemple, un

employé pourrait recevoir un message d’un pirate lui proposant de lui offrir une

assistance informatique gratuite en échange de ses mots de passe de connexion.

Fausse identité : quand un pirate instaure une relation de confiance avec un utilisateur

en usurpant l’identité d’un collègue ou d’un cadre dirigeant de l’entreprise afin d’accéder

à des données privées. Par exemple, un hacker pourrait se faire passer pour le chef du

support informatique qui vous demanderait des données pour réaliser un audit interne.

Tailgating : (ou technique de « talonnage ») quand une personne non autorisée suit un

employé dans une zone à l’accès réglementé. Typiquement, l’escroc pénètre en même

temps qu’un employé en prétextant avoir oublié son badge. En informatique, l’escroc

demande à un employé d’emprunter son ordinateur portable quelques instants, durant

lesquels il pourra voler des données ou installer un logiciel malveillant.

À RETENIR : La vigilance des utilisateurs sur les techniques de manipulation est essentielle pour assurer la sécurité de l’entreprise.

Si l’utilisateur connaît les principales caractéristiques des attaques, il y a plus de chance pour qu’il les évite. La plupart d’entre nous sommes « visuels », alors assurez-vous que chacun voit des exemples de ces types d’escroquerie.

Page 5: GUIDE Guide de survie Cybersécurité pour les PME · 2 CYBERSÉCURITÉ : technologies, procédures et pratiques destinées à protéger réseaux, ordinateurs, applications et données

datto.com 5

À RETENIR : Assurez-vous que tous les utilisateurs soient vigilants sur tout message non attendu contenant une pièce jointe, d’autant plus si c’est un fichier Microsoft Office. Avant d’ouvrir ou de cliquer sur quoi que ce soit, ils doivent s’assurer de l’identité de l’expéditeur.

Comment identifier une Cyberescroquerie

Escroqueries par email

Image 1

L’image ci-dessus est un bon exemple d’email de phishing pour propager Locky, un

type de ransomware courant. Pour le destinataire, l’email paraît venir d’un interlocuteur

professionnel demandant de « voir la facture jointe » en cliquant sur le document Word

attaché. Notez comment ce message semble inoffensif et comment un utilisateur

distrait pourrait l’ouvrir et cliquer, cette action provoquerait la contamination

immédiate. C’est malheureusement ce qui arrive tous les jours.

Page 6: GUIDE Guide de survie Cybersécurité pour les PME · 2 CYBERSÉCURITÉ : technologies, procédures et pratiques destinées à protéger réseaux, ordinateurs, applications et données

datto.com 6

Image 2

Ci-dessus, voici un autre exemple d’escroquerie par email, qui ressemble à une note

officielle d’Amazon.com et qui attire le lecteur vers un lien à cliquer plutôt qu’une

pièce jointe, mais dont les effets néfastes sont les mêmes.

Dans l’image 3, remarquez que le lien semble amener le destinataire vers une page

PayPal légitime mais en le survolant, on constate qu’il dirige sur un site malveillant

destiné à injecter un virus ou collecter des informations personnelles.

ATTENTION : Aux noms d’expéditeurs ou de destinataires manquants, aux salutations

génériques, aux adresses mal orthographiées (par exemple

[email protected]) et aux adresses email qui ne correspondent pas au

nom de l’entreprise. Tout email qui demande au destinataire de télécharger un

élément ou de remplir un formulaire sont hautement suspicieu. Un employé ne DOIT

pas cliquer sur quoi que ce soit de suspicieux et signaler cet email à l’administrateur. Image 3

À RETENIR : un email d’un site marchand est probablement suspicieux si le destinataire n’y a pas effectué d’achat récemment. Les employés doivent être avertis et ne JAMAIS cliquer sur quoi que soit, mais se connecter sur le site officiel en tapant l’adresse dans l’explorateur web et contrôler les notifications à cet endroit-là. Tout email de phishing doit être signalé à l’administrateur, surtout SANS cliquer sur aucun lien.

Page 7: GUIDE Guide de survie Cybersécurité pour les PME · 2 CYBERSÉCURITÉ : technologies, procédures et pratiques destinées à protéger réseaux, ordinateurs, applications et données

datto.com 7

Sites web malicieux et fausses publicités

À RETENIR : Assurez-vous que les utilisateurs comprennent le bien-fondé d’acquérir un comportement sécuritaire en n’accédant qu’aux sites avec le protocole de communication sécurisé HTTPS et de se méfier des sites demandant des informations personnelles. Aussi, montrez-leur comment contrôler les URL des liens contenus dans les emails (survoler avec la souris permet d’indiquer l’adresse complète dans la barre inférieure de l’explorateur).

image 4

Les sites web malicieux (ou de « malvertising ») sont conçus pour ressembler aux

pages d’un site légitime, avec des graphismes et des logos existants. En copiant si bien

les sites réels, les cybercriminels conduisent un bon nombre d’utilisateurs à donner des

informations personnelles ou à télécharger des logiciels malveillants. Généralement,

les pirates introduisent du code dans un site légitime qui conduit vers un site

malveillant. Vous trouverez ci-dessus un exemple d’une page qui ressemble à un site de

la banque Chase.

Page 8: GUIDE Guide de survie Cybersécurité pour les PME · 2 CYBERSÉCURITÉ : technologies, procédures et pratiques destinées à protéger réseaux, ordinateurs, applications et données

datto.com 8

Pop Up

À RETENIR : Assurez-vous que le personnel comprenne que ce type d’escroquerie joue sur la peur de contrevenir à la loi. Les utilisateurs avisés ne devraient JAMAIS cliquer sur ce type de pop-up. Dans le cas contraire, redémarrer le poste ou contacter l’administrateur si la fenêtre est toujours présente. image 5

Une autre escroquerie courante consiste à ouvrir une fenêtre pop-up indiquant que

l’ordinateur a été bloqué par le FBI ou une autre institution pour éviter l’accès à des

contenus illégaux ou à de la pornographie, comme dans l’exemple ci-dessus. Dans cette

fenêtre, il est demandé à l’utilisateur de cliquer sur un lien pour payer une fausse amende.

ATTENTION : Aux liens qui dirigent vers un autre nom de domaine, aux fenêtres pop-up

qui vous demandent des informations personnelles, aux URL mal orthographiées ou

avec des noms de domaine inhabituels. Ce type d’attaque peut être très difficile à

détecter, même avec des employés extrêmement vigilants. C’est pourquoi il est

important de déployer une solution de protection anti-malware haut de gamme — nous

en parlerons plus loin.

Page 9: GUIDE Guide de survie Cybersécurité pour les PME · 2 CYBERSÉCURITÉ : technologies, procédures et pratiques destinées à protéger réseaux, ordinateurs, applications et données

datto.com 9

METTRE EN PLACE UN PROGRAMME DE FORMATION À LA CYBERSÉCURITÉL’organisation de formations à la cybersécurité sera dictée par la nature spécifique de votre entreprise

ainsi que des équipements et applications utilisés. Cependant une des priorités est de s’assurer que

tous les nouveaux employés soient formés et que chacun reçoive une formation deux fois par an. Pour

maintenir la sécurité, ce plan doit être structuré afin d’être toujours à jour sur la sécurité et informé

des nouvelles menaces.

Bien qu’une formation formelle soit utile, la formation plus informelle peut être efficace aussi.

Montrez à vos utilisateurs des blogs sur la sécurité, faites-leur remplir en ligne un questionnaire sur la

sécurité, affichez ou diffusez des dessins humoristiques sur ce thème. Faites ce qui vous paraît bon

pour informer les employés sur les bonnes pratiques.

SOLUTIONS DE CYBERSÉCURITÉ INDISPENSABLES POUR LES PMEIl y a un point sur lequel les professionnels de la cybersécurité tombent d’accord : pas un seul produit

disponible aujourd’hui n’est capable de résoudre tous les problèmes liés à la cybersécurité.

Actuellement, il faut plusieurs technologies et procédures pour fournir une gestion globale des

risques. De plus, les PME devraient continuellement contrôler la vulnérabilité de leurs systèmes,

s’informer sur les nouvelles menaces, se mettre dans la peau d’un pirate et ajuster leurs défenses si

besoin.

L'indispensable pour la cyberprotection : la sécurité multi-couchesLogiciel antivirus

Les moyens technologiques pour la sécurité commencent avec un logiciel antivirus. L’antivirus,

comme son nom l’indique, est conçu pour détecter, bloquer ou supprimer les virus et les malwares.

Les logiciels antivirus modernes peuvent protéger des ransomwares, des backdoors, des virus tels

que Cheval de Troie, Vers et Espions. Certaines solutions protègent également contre d’autres

menaces, comme les URL malveillantes, les attaques de phishing, les techniques d’ingénierie sociale,

le vol d’identité, les attaques DDoS.

Page 10: GUIDE Guide de survie Cybersécurité pour les PME · 2 CYBERSÉCURITÉ : technologies, procédures et pratiques destinées à protéger réseaux, ordinateurs, applications et données

datto.com 10

Firewalls

Il est essentiel d’avoir un firewall sur le réseau. Les firewalls sont conçus pour surveiller

le trafic entrant et sortant du réseau à partir de la mise en place de règles de

configuration simples — en dissociant le réseau interne de l’accès Internet, pratique qui

n’est pas sécurisée. Les firewalls sont en général déployés en tant qu’appliance sur le

réseau et offrent des fonctionnalités complémentaires comme un réseau virtuel privé

(VPN) pour les employés en télétravail.

Gestion des patchs

La gestion des patchs est un autre point important. Les cybercriminels conçoivent leurs

attaques à partir des vulnérabilités des logiciels les plus courants comme Microsoft

Office ou Adobe Flash Player. Quand ces faiblesses sont détectées, les éditeurs de

logiciel publient des mises à jour pour y remédier. C’est pour cela que l’utilisation de

versions obsolètes des logiciels peut exposer votre entreprise à des failles de sécurité.

Pour automatiser la gestion des patchs, diverses solutions sont disponibles.

Gestion des mots de passe

Des études récentes montrent que les mots de passe faibles sont à l’origine de la montée

des cybermenaces, en causant 76 % des pertes de données. Pour minimiser les risques,

les entreprises devraient adopter des solutions de gestion des mots de passe pour leurs

utilisateurs. Beaucoup utilisent un document listant toutes les informations sur les mots

de passe : une pratique qui n’est pas du tout sûre. De nombreuses applications de gestion

des mots de passe sont disponibles aujourd’hui. Ces outils permettent aux utilisateurs de

garder la trace de leurs mots de passe et si des comptes sont corrompus, tous les mots

de passe peuvent être changés rapidement. Le cryptage des données est aussi une

option à prendre en compte. Par exemple, en cas de vol d’un ordinateur portable, le

cryptage des données du disque les rendra inaccessibles.

Page 11: GUIDE Guide de survie Cybersécurité pour les PME · 2 CYBERSÉCURITÉ : technologies, procédures et pratiques destinées à protéger réseaux, ordinateurs, applications et données

11

Ces mesures protègent contre un large spectre de cyberattaques. Mais les menaces de

type ransomware sont en constante évolution et les solutions de sécurité ne sont

qu’une partie de la stratégie de défense. Il vous faut aussi des solutions actives pour

vous permettre de redevenir opérationnel rapidement si vous êtes victime d’une

cyberattaque. Les technologies de protection des données sont la seconde couche de

défense contre le cybercrime.

La solution n°1 de protection Sauvegarde et reprise d'activité

Sauvegarder les données critiques de votre business : c’est ce qui est le plus critique. La

fréquence précise des sauvegardes dépend des besoins spécifiques de votre entreprise.

Généralement, la plupart des entreprises effectuent des sauvegardes journalières et

cela peut convenir pour certaines entreprises. Cependant, les solutions actuelles de

sauvegarde sont conçues pour faire des sauvegardes incrémentales des données tout

au long de la journée afin de minimiser les pertes de données. Avec des solutions qui

procèdent à des sauvegardes régulières, les données peuvent être restaurées à un point

antérieur à une cyberattaque ou une défaillance sans perdre de donnée significative (ce

qui n’est pas le cas avec une sauvegarde datant de la veille).

Il existe des solutions de sauvegarde capables de stocker des sauvegardes basées sur

une image sous un format de machine virtuelle — principalement une capture de vos

fichiers, logiciels et systèmes d’exploitation. Cela permet aux utilisateurs de faire

fonctionner leurs applications à partir des copies des sauvegardes. On appelle en

général cette fonctionnalité « restauration instantanée » ou « restauration en local ».

Chez Datto, cette technologie est appelée la « virtualisation instantanée ». Il devient

possible de faire fonctionner une application sur une machine virtuelle à partir d’une

sauvegarde. Après un incident, l’utilisateur peut continuer à travailler dès que la

restauration est faite sur le serveur. Ainsi le temps d’indisponibilité est

considérablement réduit. Une solution comme Datto améliore encore cette capacité

avec le cloud pour protéger des défaillances qui peuvent toucher les sauvegardes en

local.

datto.com

Page 12: GUIDE Guide de survie Cybersécurité pour les PME · 2 CYBERSÉCURITÉ : technologies, procédures et pratiques destinées à protéger réseaux, ordinateurs, applications et données

datto.com 12

Checklist de cybersécurité Les petites et moyennes entreprises sont la cible majeure des cyberattaques. Utilisez cette

checklist pour vous assurer que vos données critiques sont protégées.

o Procédez à un audit sur les risques en matière de sécurité. Comprenez les

impacts que pourraient avoir l’indisponibilité sur votre activité. Par exemple, si

votre entreprise subit un arrêt de son activité à cause d’un ransomware, quelle

serait la perte de revenus ? Grâce aux informations de cet audit, concevez une

stratégie en rapport avec vos besoins.

o Formez vos utilisateurs. Comme les menaces évoluent constamment, mettez en

place un plan pour que vos employés suivent une formation au moins deux fois par

an. Montrez-leur des exemples de menaces tout en leur communiquant des bonnes

pratiques (par exemple verrouiller son poste en partant). Rendez vos employés

responsables.

o Protégez votre réseau et vos postes. Implémentez une politique pour des mots de

passe forts expirant au bout de 90 jours. Déployez un firewall, un VPN et des

technologies antivirus pour assurer que vos réseaux et machines ne soient pas

vulnérables aux attaques. La surveillance permanente des réseaux est également

essentielle, comme le cryptage des disques durs.

o Gardez vos logiciels à jour. Il est indispensable d’utiliser des produits récents et

d’être vigilants sur la gestion des patchs. Les cybercriminels exploitent les

vulnérabilités des logiciels pour accéder aux postes et aux fichiers.

o Établissez des politiques directives pour la cybersécurité. Rédigez des règles et des

instructions claires sur les bonnes pratiques et diffusez-les au personnel. Ces

consignes peuvent varier d’une entreprise à l’autre, mais elles peuvent inclure entre

autres : les réseaux sociaux, le BYOD, les paramètres d’authentification.

o Sauvegardez vos données. Les sauvegardes journalières sont indispensables pour

restaurer des données après corruption ou pertes dues à des failles de sécurité.

Pensez à utiliser un outil moderne de protection des données qui effectue des

sauvegardes incrémentales des données au fur et à mesure de la journée pour éviter

toute perte.

Page 13: GUIDE Guide de survie Cybersécurité pour les PME · 2 CYBERSÉCURITÉ : technologies, procédures et pratiques destinées à protéger réseaux, ordinateurs, applications et données

datto.com 13

o Donnez à votre activité la possibilité de fonctionner en continu. Avec des solutions

actuelles comme celles de Datto, faites appel à la restauration instantanée pour

vos données, applications et systèmes. L’indisponibilité peut impacter votre

activité, ne perdez pas de revenus.

o Sachez où sont stockées vos données. Conserver de la visibilité sur ses données

est une pièce indispensable dans le puzzle de la sécurité. Plus il y a d’endroits où

les données sont stockées, plus il y a de risques que des personnes non

autorisées y aient accès. Évitez les zones d’ombre dans vos systèmes

informatiques avec des applications haut-de-gamme pour centraliser et

contrôler vos données.

o Contrôlez l’accès aux postes de travail. Utilisez des cartes d’accès ou des

systèmes de sécurité similaires pour pister l’accès aux installations. Assurez-

vous que les employés utilisent des mots de passe forts sur leurs ordinateurs

fixes et portables. Les accès réservés ne doivent être donnés qu’au personnel

habilité.

ConclusionLe cyber-crime augmente à vitesse grand V et de plus en plus d’entreprises sont ciblées.

Aux États-Unis, c’est près de 44 % des petites entreprises qui ont été victimes d’une

cyberattaque et le nombre continue à augmenter chaque année. Cette criminalité

pourrait coûter plus de 2 milliards de dollars en 2019, soit 4 fois plus qu’en 2015.

Développer une stratégie de sécurité solide et multi-couches peut sauver une entreprise.

Une formation en continu des employés et la mise en place de technologies de sécurité

assureront une première ligne de défense et diminueront considérablement le nombre

de failles de sécurité. Enfin, une solution de sauvegarde et de restauration fiable sera la

seconde couche et la plus importante pour se défendre, en donnant la possibilité aux

entreprises de redémarrer rapidement en cas d’incident majeur.

Pour obtenir des réponses et en savoir plus sur les solutions de PRA Datto :Contactez Quantic Support au 01 85 33 01 24ou visitez le site : www.quantic-support.fr