En tant que dirigeant de PME, de TPE ou entrepreneur individuel, vous pouvez aussi être confronté à des cyberattaques. Pour les prévenir, renforcer la cybersécurité de votre entreprise est essentiel.
Dans une enquête exclusive sur la cybersécurité des entreprises en France publiée en janvier 2022 dans son baromètre annuel, le CESIN (Club des Experts de la Sécurité de l'Information et du Numérique) révèle que plus d'une entreprise sur deux a déclaré en 2021 avoir subi entre une et trois cyberattaques au cours de l'année.
L'enquête précise également que « ce chiffre tient compte uniquement des attaques réussies, ayant eu des répercussions flagrantes pour les victimes. Il faut souligner que l'ampleur et la virulence des attaques au travail ne cessent d'augmenter. En effet 6 entreprises sur 10 ont connu un impact sur leur business, avec pour principaux retentissements une perturbation de la production (21 %), et/ou une compromission d'information (14 %), et/ou une indisponibilité du site web pendant une période significative ».
Conséquence directe, 70 % des entreprises ont augmenté les budgets alloués à la cybersécurité en 2021, contre 57 % en 2020 pour la sécurité de leurs données et de leurs équipements, 56 % d'entre elles prévoient également d'allouer plus de ressources humaines à leur organisation informatique et 84 % d'acquérir de nouvelles solutions techniques comme des logiciels par exemple.
Car renforcer la cybersécurité de votre entreprise signifie aussi en garantir les performances en anticipant les attaques qui peuvent entraîner des pertes de revenus et impacter l'ensemble de l'activité de l'entreprise. Si l'un de vos clients apprend que votre TPE, votre PME ou votre entreprise individuelle a subi une cyberattaque, il sera probablement moins enclin à faire appel à vos services : l'attaque par rebond via un prestataire représente en effet 21 % des cas de cyberattaques selon le CESIN.
Pour éviter que l'image de votre entreprise et la relation de confiance que vous partagez avec vos clients ne soient ternies, la mise en place d'une politique de cybersécurité est donc une étape indispensable et un véritable levier de compétitivité. Pour autant, elle ne doit pas être un défi décourageant : en sachant anticiper les risques et en appliquant un certain nombre de mesures au bureau, vous pouvez réduire considérablement la probabilité que votre entreprise soit victime de cybercriminalité et ainsi assurer la protection de vos données et de votre système informatique.
Une cyberattaque est une tentative d'obtenir un accès non autorisé à un système informatique dans le but d'exploiter et de voler des informations sensibles. En 2021, quelques 26 000 cyberattaques ont eu lieu chaque jour dans le monde, soit l'équivalent de 18 attaques par minute (source : Forbes). Les pirates s'appuient généralement sur des stratégies et des pratiques éprouvées, c'est pourquoi une bonne compréhension de ces méthodes peut s'avérer utile pour prévenir une future attaque et ainsi assurer la sécurité de vos données et de votre réseau informatique. Voici les cyberattaque les plus courantes que vous pourrez rencontrer :
Le phishing
Selon le baromètre du CESIN, le phishing, ou « hameçonnage » en français, qui touche 73 % des entreprises, est le système d'attaque la plus fréquent. Il consiste à inciter les victimes à fournir des informations sensibles, telles que des mots de passe ou des numéros de carte de crédit, en se faisant passer pour une source digne de confiance. Le phishing peut se faire par le biais de courriels, de médias sociaux ou de sites web malveillants.
Les malwares
Un malware est un logiciel créé pour nuire à un autre software ou hardware ou pour l'exploiter. Abréviation de « malicious software » (logiciel malveillant), le terme malware est un terme collectif utilisé pour décrire les virus, les ransomwares (rançongiciel), les spywares (logiciels espions), les chevaux de Troie et tout autre type de code ou de logiciel conçu dans un but malveillant, à savoir attaquer un système informatique. Selon le baromètre du CESIN, « les attaques par ransomware ont touché 1 entreprise sur 5 parmi les répondants » en 2021.
Le vol de données
Le vol de données consiste à dérober des informations stockées dans les bases de données informatique, les appareils et les serveurs de l'entreprise. Cette forme de vol représente un risque important pour toutes les entreprises, quelle que soit leur taille, et peut provenir aussi bien de l'intérieur que de l'extérieur de l'entreprise.
Le piratage de vos comptes en ligne
Le piratage d'un compte en ligne est un procédé par lequel un compte de messagerie électronique ou tout autre compte associé à un dispositif ou service informatique (réseau social, compte client, etc.) est volé ou détourné par des pirates.
Le cyberharcèlement
Si l'on peut penser que le phénomène ne touche que les particuliers, le cyberharcèlement en entreprise est pourtant lui aussi un problème grave, car il peut entraîner une perte de revenus, une baisse du moral des collaborateurs et une détérioration de l'image et de la notoriété de votre entreprise.
Afin de prévenir ces attaques informatiques, vous devez impérativement améliorer la cybersécurité de votre entreprise. Pour cela, un large éventail de solutions et de pratiques, gratuites ou payantes, s'offrent à vous :
- Installer un logiciel antivirus professionnel
Souvent inclus gratuitement dans les systèmes d'exploitation les plus courants, le logiciel antivirus pro doit être utilisé sur tous les ordinateurs et portables utilisés par vos collaborateurs afin d'assurer la sécurité des données auxquelles ils donnent accès.
- Protéger vos mots de passe
Choisissez des mots de passe forts, n'utilisez jamais le même code d'accès sur plusieurs plateformes, changez-en fréquemment, ne restez jamais connecté à un appareil (ordinateur, smartphone…) lorsque vous vous éloignez, configurez vos appareils pour qu'ils se déconnectent après une courte période d'inactivité et, bien sûr, ne laissez personne vous voir saisir votre mot de passe.
- Maintenir vos équipements informatiques à jour
Pour tous vos équipements informatiques (tablettes, smartphones, ordinateurs portables et PC), pensez à installer les dernières mises à jour de vos logiciels, micrologiciels et anti-malwares afin de vous assurer de la protection de vos appareils et systèmes.
- Utiliser un pare-feu et un VPN
L'utilisation d'un pare-feu, inclus dans la plupart des systèmes d'exploitation courants, est indispensable pour protéger les systèmes informatiques de votre entreprise. De même, un VPN (ou réseau privé virtuel) protégera les informations que possède votre entreprise en faisant passer toutes vos données par un réseau distant utilisant une connexion sécurisée.
- Contrôler l'utilisation des clés USB et des cartes mémoire
Une seule clé USB ou carte mémoire infectée peut suffire à impacter tous les ordinateurs du système informatique de votre entreprise. Pour éliminer ce problème, pensez au transfert de données via des moyens alternatifs comme celui du cloud, et choisissez-le avec des critères de souveraineté.
- Former vos employés
Si vous avez des employés, assurez-vous qu'ils n'ont accès qu'aux données et autorisations nécessaires à leur travail, incitez-les à changer fréquemment de mots de passe et exigez des mots de passe forts. Créez une charte de bonne conduite informatique les incitants à suivre les bonnes pratiques en termes de cybersécurité.
- Utiliser un filtrage DNS
Le filtrage DNS offre une protection supplémentaire contre les cyberattaques grâce à des listes de blocage qui empêchent d'accéder à des sites internet et à des contenus malveillants, atténuant ainsi le risque d'infections par des logiciels malveillants et d'attaques d'hameçonnage et par conséquent renforce la sécurité de vos appareils (ordinateur, téléphone…).
- Contacter un professionnel en cybersécurité
En plus de prévenir les attaques en comblant les failles potentielles en amont, faire appel un spécialiste en cybersécurité offre de nombreux avantages, notamment une prise en charge rapide en cas de cyberattaques, un nettoyage de votre système informatique après l'attaque et ensuite, une surveillance de votre réseau informatique.
Si votre TPE, votre PME ou votre entreprise individuelle est toutefois victime d'une cyberattaque, n'oubliez pas qu'il est essentiel de porter plainte afin de permettre aux forces de l'ordre d'enquêter sur les cybercriminels et d'identifier de potentielles nouvelles pratiques.
Comme toutes les entreprises, les TPE, PME et entreprises individuelles doivent respecter le Règlement général sur la Protection des Données (RGPD) en matière de cybersécurité. Comme le précise la Commission nationale de l'informatique et des libertés (CNIL), si les mesures de sécurité des données à prendre varient selon la sensibilité des informations et les risques encourus, des règles de bon sens existent, qui reposent sur « un socle commun de mesures minimales à mettre en œuvre » :
- sécuriser les accès aux locaux ;
- mettre à jour votre antivirus professionnel et vos logiciels ;
- choisir ses mots de passe avec soin ;
- créer des profils distincts selon les besoins des utilisateurs pour accéder aux données ;
- disposer d'une procédure de sauvegarde et de récupération des données en cas d'incident.
Pour plus d'informations sur la cybersécurité et les règles à suivre pour la protection des informations de votre entreprise et celles de vos clients, vous pouvez consulter les ressources disponibles sur le site de la CNIL (Commission nationale de l'informatique et des libertés) sur la sécurité des données et le guide de bonnes pratiques de l'informatique proposé par l'Agence nationale de la sécurité des systèmes d'information (ANSSI).