Même si votre entreprise n’est qu’une petite boulangerie, elle n’ira pas loin sans ordinateur. Vendre et acheter est impossible sans ordinateur de nos jours et ne pas en avoir au moins un est donc inimaginable ; sans parler des appareils mobiles, qui sont omniprésents et essentiels. Par conséquent, toute personne qui crée une entreprise doit être en mesure de se débrouiller avec les technologies modernes. Nous abordons ici les erreurs de cybersécurité les plus courantes que nous avons vues chez de jeunes chefs d’entreprise.
1. Les mots de passe sur des post-its
Incroyable, mais vrai : les mots de passe de toutes sortes de ressources partagées à travers les organisations sont souvent notés sur des post-its collés aux postes de travail des employés, et n’importe quel visiteur peut les voir. Les conséquences dépendent principalement des ressources que le mot de passe déverrouille (l’hébergeur de votre site Internet, le système de comptabilité ou l’ordinateur qui gère la base de données clients), mais ce type de négligences engendre généralement un vol d’informations ou d’argent.
Solution : Assurez-vous que tous les ordinateurs de bureau, tous les ordinateurs personnels et tous les périphériques mobiles des employés sont protégés par un mot de passe unique. Utilisez un gestionnaire de mots de passe pour éviter les mots de passe faibles ou réutilisés, ou encore les oublis. Les utilisateurs de notre solution pour petites entreprises peuvent utiliser le même code de licence pour activer notre gestionnaire de mots de passe.
2. Les mots de passe partagés
Encore une chose à propos des mots de passe : ils doivent rester confidentiels. Quand certains employés ont plus de droits d’accès que d’autres, ils les partagent quelques fois pour des raisons pratiques ou parce que cela est nécessaire. » Christine, j’ai la grippe et je suis cloué au lit. Tu pourrais envoyer un fichier au chef depuis mon ordinateur ? Je te donne mon mot de passe. » Quelque temps plus tard, il s’avère que Christine démissionne à la suite d’un différend ; même si son mot de passe est révoqué rapidement, elle connaît les identifiants de connexion de l’autre employé, et pourrait faire des ravages.
Solution : Insistez sur l’importance de la sécurité des mots de passe auprès du personnel, et utilisez une identification à deux facteurs si cela est possible.
3. Les mots de passe simples
Si le mot de passe de l’adresse de votre comptable est motdepasse123 ou quelque chose du genre, forcer l’entrée prend environ six secondes depuis un ordinateur de bureau tout simple. Quelque chose dans le genre de MoNmOtDePaSsE123 mettra deux jours à être forcé, ce n’est donc pas vraiment sûr non plus. Cependant, une solution de type M’0’t’D’e’P’@’s’s’e demanderait 3 000 ans à être forcée (tout du moins sans accès aux puissances de calcul au niveau des centres de données). Un cybercriminel qui tente de faire une attaque de force brute ne peut pas se permettre de perdre autant de temps.
Solution : Les mots de passe doivent aussi être différents les uns des autres, ce qui les rend quasiment impossible à retenir. Utilisez une astuce mnémotechnique ou installez un gestionnaire de mots de passe pour ne plus rien avoir à retenir et garder la conscience tranquille. Cependant, il faut reconnaître que même des mots de passe complexes peuvent faire l’objet d’une fuite ; vous devriez donc activer l’authentification à deux facteurs dès que possible, car cette solution vous protège en cas de fuite de données.
4. L’absence de sauvegardes de sécurité
Vos bases de données, vos documents comptables, vos tableaux essentiels et vos autres documents indispensables sont stockés quelque part, que ce soit sur un ordinateur personnel, sur un serveur ou ailleurs. Pour assurer leur sécurité, faites-en régulièrement des copies à un autre endroit ; si un disque dur devient inutilisable, ou si un serveur est compromis, vos fichiers seront tout de même en sécurité. Votre site Internet a également besoin de sauvegardes de sécurité régulières.
Cela dit, faire des sauvegardes est une tâche fastidieuse que l’on a tendance à vouloir remettre à plus tard. Mais vous devez vraiment faire des sauvegardes de sécurité, et souvent ! Les situations d’urgence arrivent toujours sans prévenir : un beau jour, le concierge débranchera la prise de courant, le disque dur (et la base de données du système de comptes qui s’y trouve) tombera en panne, ou un logiciel malveillant verrouillera vos fichiers critiques. Cela se produira-t-il demain ou dans un an et trente-trois jours ? Personne ne le sait, mais nous parions que, quel que soit l’événement, personne n’aura pu le prévoir. Votre concierge actuel est peut-être très prudent, mais qu’en est-il de son éventuel remplaçant ? Tous les ordinateurs de la comptabilité sont peut-être nouveaux, mais les disques durs ont une durée de vie limitée. Et si une tuyauterie explosait juste au-dessus de votre salle de serveurs ? Vous pouvez vous préparer à toutes sortes de possibilités, mais il y a toujours des imprévus.
Solution : Faites des sauvegardes de sécurité des données importantes et mettez régulièrement à jour tous les microprogrammes et logiciels, ce qui permettra au moins de minimiser le nombre de points faibles du système et de logiciels qu’une personne non invitée pourrait utiliser pour pénétrer dans votre réseau. Utilisez une solution de sauvegarde de sécurité dédiée. Si vous utilisez déjà Kaspersky Small Office Security, vous disposez déjà d’un utilitaire d’automatisation des sauvegardes sécurisé.
5. Les droits d’accès oubliés
Il arrive souvent que des employés ne soient pas en très bons termes avec leur entreprise lorsqu’ils la quittent. Si un développeur de site Internet, par exemple, démissionne dans un élan de colère, il pourrait potentiellement supprimer des parties du site. La révocation des accès est un élément essentiel de toute séparation, mais même avant cela, l’accès des employés doit être limité aux ressources dont ils ont besoin pour leur travail.
Solution : Si un membre du personnel démissionne, change de poste ou est renvoyé, examinez immédiatement ses droits et révoquez-les ou transférez-les si nécessaire.
6. Les réglages par défaut
Même une boulangerie a besoin d’un routeur. Est-ce que le vôtre a été bien installé ? Dans de nombreux cas, la priorité de l’employé du FAI est simplement d’établir la connexion : il saisit les réglages du FAI, et c’est tout. Mais l’identifiant et le mot de passe d’administration par défaut laissent votre réseau ouvert. Se faire pirater et être ajouté à un botnet n’est pas le pire qui puisse arriver. Par exemple, quelqu’un pourrait installer un analyseur réseau (sniffer) ; il s’agit d’un outil qui scanne tout votre trafic, et si vous en êtes victime, même les mots de passe les plus complexes ne pourront rien faire pour vous. En résumé, il est essentiel de modifier les paramètres par défaut des routeurs et autres périphériques réseau, et il est souhaitable de le faire pour tous les autres périphériques.
Solution : Configurez votre routeur et votre réseau correctement. Ce n’est pas une tâche amusante, mais c’est rapide à faire. Changez au moins le nom et le mot de passe de l’administrateur, mais prenez aussi un moment pour vous assurer que votre réseau utilise le cryptage WPA2, désactiver la gestion à distance du routeur, vérifier s’il y a des mises à jour de micrologiciels disponibles et toutes les installer.
7. L’absence de protection par un antivirus
Il est tentant et très courant de se dire que l’on est trop insignifiant pour représenter une cible. Il existe d’autres excuses : » Je suis intelligent et je ne prends pas de risques, rien de mal ne peut m’arriver « , ou » J’ai un Mac, alors je ne risque pas d’avoir de virus « . Être intelligent et utiliser un système plus sûr ciblé par moins de programmes malveillants, c’est bien. Mais tous vos employés doivent être aussi malins que vous, et les logiciels malveillants ne sont qu’un des nombreux dangers qui les guettent. Enfin, n’oubliez pas de prendre garde au phishing, qui représente un danger pour les Macs tout comme pour Windows, et qui est une attaque d’entreprises extrêmement répandue.
Solution : Installez et configurez une solution de sécurité fiable comme Kaspersky Small Office Security. Configurez-la pour qu’elle recherche et installe automatiquement les mises à jour. Cette solution spécialement conçue pour les petites entreprises est dotée d’un module antiphishing qui vous aidera à éviter les sites Internet qui veulent voler vos identifiants de connexion et autres données.
8. Les employés mal informés
La première étape, c’est de comprendre que vous avez un problème ; les employés qui ne connaissent pas bien les protocoles de sécurité modernes sont peu susceptibles de vous en parler ; ils n’en sont peut-être même pas conscients. Identifier ce gros problème est déjà un grand pas en avant ! Cependant, si vous ne transmettez pas vos connaissances de manière compréhensible et pratique à tous ceux qui travaillent à vos côtés, l’un d’entre eux finira par être le maillon faible.
Solution : Formez les employés existants, et les nouveaux recrutements. Les principes de base d’une culture numérique sûre consistent à ne pas ouvrir les pièces jointes d’e-mails provenant d’expéditeurs inconnus, à ne pas suivre de liens sans vérifier leurs cibles, à utiliser des services Cloud fiables avec une authentification à deux facteurs pour les données sensibles, à ne pas télécharger de logiciels provenant de sites peu fiables ou illégaux, et cetera. Vous n’avez pas le temps de faire des formations ? Utilisez une plate-forme d'apprentissage automatisée.