Go DSI
DSI Externalisé à Temps Partagé pour TPE/PME
Secrets
My GO DSI

PME et la sécurité : Comment se protéger ?

Quelles solutions pour se protéger et quelle posture avoir face aux menaces réelles et sérieuses.
Patrice Bonhomme
octobre 8, 2024
Sécurité et Menaces

Pour qu'une PME puisse se protéger efficacement contre une attaque de cybersécurité, il est essentiel de mettre en place une combinaison de mesures à la fois techniques, organisationnelles et humaines. La sécurité informatique des PME nécessite ces stratégies clés pour renforcer leur protection contre les cyberattaques. De manière très pragmatique et concrète, voici les principales stratégies à mettre en place pour renforcer la sécurité d’une PME.

Mise en place de solutions de sécurité technique

  • Pare-feu (firewall) et systèmes de détection d’intrusion (IDS) : Utiliser des pare-feux pour bloquer les tentatives d’accès non autorisées et des systèmes de détection d’intrusion pour surveiller l’activité réseau en temps réel. Ces solutions peuvent être fournies par votre opérateur telecom ou bien être gérées via des équipements spécifiques installées devant vos accès Internet. Il existe des appliances (boitiers) qui proposent des solutions complètes et relativement facile à administrer (Fortinet, Watchguard, Sophos, etc.). Loin d'être suffisant, ils constituent une première barrière de protection surtout si vous hébergez des services à destination de vos clients.
  • Antivirus et antimalware : Installer des logiciels antivirus et antimalware sur tous les appareils pour détecter et éliminer les menaces avant qu’elles ne causent des dommages. Aucun équipement (poste de travail ou serveur) ne va sur le réseau de l'entreprise sans cette protection. De plus, il existe maintenant des solutions avancées qui vont plus loin que les anti-virus et qui analyse le comportement d'un utilisateur. On les appelle des XDR (Extended Detection and Response) pour Détection et Réponse Etendues. Ils sont un peu plus complexe à déployer car nécessitent un paramétrage spécifique à l'entreprise mais ils sont redoutables pour identifier et contrer toute menace détectée.
  • Chiffrement des données : Crypter les données sensibles, aussi bien en transit qu’au repos, pour garantir qu’elles ne puissent pas être exploitées en cas de vol. En transit, cela revient à utiliser des protocoles de communication chiffrés lors des échanges de données (HTTPS, SFTP, FTPS, SSL, etc.) et au repos celà revient à chiffrer les espaces de stockage (serveur de fichiers) et les bases de données (dépend du SGBD utilisé).
  • Authentification multi-facteur (MFA) : Exiger l’authentification multifactorielle pour accéder aux systèmes critiques, afin de réduire les risques liés à des mots de passe faibles ou compromis.
  • Mises à jour et correctifs : Mettre à jour régulièrement tous les logiciels et systèmes pour corriger les vulnérabilités connues qui pourraient être exploitées par des cybercriminels. Il est important de suivre les communications des fabricants et des éditeurs de logiciels concernant ces mises à jour notamment quand elles concernent des faille de sécurité. Dans un environnement Microsoft, on peut utiliser le service WSUS (Windows Server Update Services) pour centraliser ces mises à jour, les sélectionner et les diffuser sur les postes de travail et serveurs. Il existe bien sûr de nombreuses alternatives globales, à ce genre de service, appelées Patch Management.

Gestion des accès et des identités

  • Contrôle des accès basés sur les rôles (RBAC) : Limiter les droits d’accès aux systèmes et aux données en fonction des responsabilités de chaque employé (principe du moindre privilège). Il est important d'identifier le personnel disposant de droits étendus et d'être attentif aux informaticiens. J'ai trop souvent vu les membres de la DSI avoir un compte utilisateur avec des droits administrateurs. De part leur activité, ils font peser un risque certain sur le SI de l'entreprise. JE préconise que les membres de la DSI disposent de 2 comptes utilisateurs : Un compte utilisateur normal (non administrateur) pour leur quotidien, connexion à leur session de travail... Et un compte administrateur nominatif pour les opérations de maintenance ponctuelles.
  • Politique de mots de passe sécurisés : Mettre en place des règles strictes pour la création de mots de passe forts (nombre de caractères, typologie des caractères) et leur renouvellement régulier.
  • Gestion des utilisateurs : Désactiver immédiatement les accès des employés qui quittent l’entreprise ou qui changent de poste, afin de réduire le risque de menaces internes. Là aussi, pourquoi une entreprise de 150 personnes a t-elle dans son annuaire plus de 300 comptes utilisateurs ? Une revue de comptes régulière (trimestriel) doit être effectuée avec le service du personnel.

Formation et sensibilisation des employés

  • Sensibilisation au phishing et à l’ingénierie sociale : Former les employés à identifier les tentatives de phishing et à se méfier des messages ou des appels suspects cherchant à obtenir des informations sensibles.
  • Bonnes pratiques de sécurité : Eduquer les employés sur les bonnes pratiques comme l’utilisation de mots de passe forts, le verrouillage des postes de travail, et la vigilance lors de l’utilisation de connexions publiques (Wi-Fi).
  • Simulations régulières d'attaques : Organiser des simulations d’attaques de phishing ou des tests de sécurité pour s'assurer que les employés réagissent correctement face à une menace potentielle. J'ai l'habitude d'organiser une campagne de test de phishing par mois en intégrant l'ensemble des employés mais aussi la direction générale, en variant les thématiques, sans prévenir. Je communique ensuite sur les résultats à l'ensemble des participants (sans nommer les fautifs). J'appelle en direct les fautifs répétitifs pour leur expliquer ce qu'ils auraient dû faire. J'ai pu observer une très nette amélioration des résultats au bout du 2ième mois de test.

Il est important d'intégrer ces formations et sensibilisation dès l'arrivée des nouveaux entrants.

Politique de sauvegarde et de restauration

  • Sauvegarde régulière des données : Mettre en place un système de sauvegarde automatique des données critiques de l’entreprise, en s’assurant que ces sauvegardes sont stockées de manière sécurisée et hors-ligne. Il existe dorénavant des solutions protégeant les sauvegardes : les sauvegardes immuables. Une fois la sauvegarde effectuée, elle est verrouillée et plus rien ne pourra la modifier (protection contre les ransomware).
  • Tests de restauration : Tester régulièrement la capacité à restaurer les données depuis les sauvegardes pour garantir que l’entreprise peut récupérer rapidement ses opérations en cas d’attaque. Bénéficier d'un environnement virtualisé ou utiliser une approche cloud peut faciliter la réalisation de ces tests de restauration.

Surveillance et gestion des incidents

  • Surveillance des systèmes : Mettre en place des systèmes de surveillance pour détecter les comportements inhabituels ou suspects sur le réseau (monitoring des logs, alertes automatiques).
  • Réponse aux incidents : Élaborer un plan de réponse aux incidents qui décrit les étapes à suivre en cas d'attaque, comme la notification aux autorités, la mise en quarantaine des systèmes affectés, et la récupération des données. On inscrira dans ce plan, toutes les coordonnées nécessaires en cas de crise (équipes techniques, direction, organisme, prestataire, assurance, opérateurs, hébergeur) sans oublier les références des contrats (n° de client, n° de services). Chaque membre concerné par le plan de réponse disposera d'une copie de ce plan et une copie physique (imprimée) sera également conservée en lieu sûr. Imaginez que le réseau est totalement bloqué et que les accès Internet sont inopérants...
  • Gestion des journaux de sécurité (SIEM) : Centraliser et analyser les journaux d’événements de sécurité (Security Information and Event Management) pour détecter rapidement des signes de compromission. Vaste sujet, complexe à gérer même si il existe là aussi des solutions tout intégrées (appliances) facilitant le déploiement. On envisage la mise en place d'un SIEM une fois toutes les autres solutions déployées.

Plan de continuité et reprise d’activité (PCA/PRA)

  • Plan de continuité des opérations : Élaborer un plan pour assurer la continuité des activités essentielles en cas d’attaque (redémarrage des services critiques, communication avec les clients, etc.). Il s'agit là d'un projet en soi qui devra certainement être précédé par des actions de nettoyage, de modernisation et de rationalisation des infrastructures et architectures. Un PCA nécessite des investissement et engendre des couts de fonctionnement supplémentaires. Il devra être testé régulièrement (en dehors des heures ouvrées pour les premiers tests) et mis à jour.
  • Plan de reprise après sinistre : Créer un plan pour restaurer les systèmes et données après une attaque, incluant des étapes précises pour restaurer l’infrastructure technique. Il est important de pouvoir mesurer le temps de reprise des activités afin d'avoir une idée du temps d'indisponibilité de ses services auprès des employés mais aussi auprès des clients.

Souscrire une assurance cybersécurité

  • Couverture des risques cyber : Souscrire une assurance cybersécurité qui couvre les pertes financières liées à une cyberattaque, y compris les frais de gestion de crise, les pertes de revenus, et les réclamations liées aux violations de données. L'assureur va s'assurer que l'entreprise a mis en place les mesures nécessaires pour protéger son activité.

Je vous conseille de vous adresser à des assureurs spécialisés (Dattak, Cybercover, etc.) dans le risque cyber et pas votre assureur généraliste.

Collaboration avec des experts

La sécurité est une affaire de spécialistes.

  • Services de sécurité externalisés : Envisager de faire appel à des fournisseurs de services de sécurité gérés (MSSP) pour surveiller en continu les systèmes, appliquer les correctifs de sécurité, et répondre rapidement en cas d’incident.
  • Audit de cybersécurité : Faire auditer régulièrement la sécurité informatique par des experts externes pour identifier les failles et les zones d’amélioration. Un audit annuel est une bonne chose pour se maintenir à niveau.

Respect des réglementations et normes

  • Conformité RGPD : S’assurer que l’entreprise respecte le Règlement Général sur la Protection des Données (RGPD) en Europe, ou toute autre réglementation en matière de protection des données dans son pays.
  • Respect des normes de sécurité : Se conformer aux normes de sécurité reconnues (ISO 27001, NIST, NIS2, DORA...) pour renforcer sa posture de sécurité globale.

En suivant ces bonnes pratiques, une entreprise pourra renforcer sa protection contre les cyberattaques et minimiser les risques de compromission, tout en s'assurant qu'elle est prête à répondre et à récupérer efficacement en cas d'incident. Mais souvenez-vous de 2 choses :

  • Le risque zéro n'existe pas.
  • En terme de sécurité, ne faites confiance à personne.

Vous avez une question, un besoin, une remarque : Contactez nous.

Partager l'article sur :

Facebook
Email