fbpx
Divers

Cybersécurité : 5 Meilleures pratiques pour les entreprises

Natacha CAL

La cybersécurité est un enjeu majeur pour les entreprises de toutes tailles. Plus de 90% des incidents de sécurité informatique sont liés à une erreur humaine, selon une étude menée par IBM. Les petites entreprises sont particulièrement vulnérables, puisque 43% de toutes les cyberattaques les ciblent, avec un coût moyen estimé à 50 000€. L’émergence de nouvelles technologies basées sur l’intelligence artificielle (comme ChatGPT) offre aux cybercriminels de nouvelles opportunités pour exploiter les failles de nos systèmes d’information.

Afin de prévenir ces risques, il est crucial de sensibiliser les employés aux enjeux de la cybersécurité et de mettre en place des mesures de sécurité efficaces pour protéger les données et les systèmes informatiques de l’entreprise.

La cybersécurité, l’affaire de tous !

L’illusion de sécurité peut être un piège dangereux, même pour les grandes entreprises dotées de ressources et de technologies avancées. Plusieurs exemples d’attaques réussies sur de grands groupes illustrent ce point et montrent qu’il est essentiel de rester humble et de redoubler de vigilance en matière de cybersécurité.

  • L’attaque par vishing contre Twitter en 2020 a compromis les comptes de personnalités célèbres et coûté plus de 118 000 dollars en bitcoins volés, ainsi qu’une chute de 4% du cours de l’action Twitter. Cette attaque a révélé des failles dans les protocoles de sécurité de l’entreprise, qui a dû déployer de nouvelles mesures pour prévenir de futures attaques d’ingénierie sociale.
  • La banque belge Crelan a été victime d’une arnaque au président entre 2015 et 2016, entraînant un coût de 75,8 millions de dollars. L’arnaque a réussi en raison de la négligence de deux employés qui n’ont pas suivi le principe de contrôle d’opérations financières par une tierce personne.
  • Facebook et Google ont été ciblés par une attaque BEC (business e-mails compromission) entre 2015 et 2017, coûtant plus de 100 millions de dollars, dont une partie a été récupérée. Un hacker lituanien a réussi à tromper les services comptables des deux géants de la tech en se faisant passer pour un salarié d’une entreprise partenaire.
  • En 2014, Sony Pictures Entertainment a subi une attaque par spear phishing, entraînant des pertes estimées à plus de 100 millions de dollars. Les pirates ont usurpé l’identité d’équipes d’Apple pour s’introduire sur les serveurs de l’entreprise et dérober d’importantes quantités de données.

Ces exemples démontrent que même les plus grandes entreprises peuvent être fragilisées par des attaques informatiques. Il est donc crucial pour les entreprises de toutes tailles de rester vigilantes, de mettre en place des protocoles de sécurité robustes et de sensibiliser régulièrement les employés aux enjeux de la cybersécurité. L’humilité et la prudence sont les meilleurs atouts pour se prémunir contre les cyberattaques.

Points de vigilance en matière de cybersécurité

Les mots de passe

Le vol de données est devenu monnaie courante ! Pour protéger efficacement vos informations, adoptez un mot de passe robuste :

  • Au moins 8 caractères, incluant une ou plusieurs majuscules
  • Des chiffres et des caractères spéciaux (ex. !, ?)
  • Aucune information personnelle (nom, prénom, date de naissance, etc.)

Le verrouillage de son poste de travail

En entreprise, vous êtes personnellement responsable de toutes les données présentes sur votre session de travail. Protégez-les en verrouillant votre poste lorsque vous vous absentez, même brièvement. Cela empêche l’accès non autorisé à vos données, l’injection de virus ou l’usurpation d’identité.

Précautions avec les supports amovibles

Une vigilance toute particulière est à apporter aux supports amovibles tels que clés USB, téléphones portables, ou tout autre élément que vous relierez à votre ordinateur. Vérifiez que votre solution Antivirus gère l’analyse des supports externes.

cybersécurité entreprises

Quelques exemples d’arnaques courantes

Le phishing

Le phishing est une fraude visant à diriger un utilisateur vers un site internet frauduleux pour lui dérober ses identifiants (de connexion, bancaires, etc.). Vérifiez toujours les sites sur lesquels vous vous connectez (https sécurisé ou non ?), la fiabilité de la personne qui vous envoie un lien et ne divulguez jamais d’informations personnelles en cas de doute.

Le Spear Phishing

Le spear phishing est une forme de phishing ciblée et plus sophistiquée, qui vise des individus ou des organisations spécifiques. Contrairement au phishing traditionnel, qui envoie des e-mails frauduleux en masse dans l’espoir que quelqu’un morde à l’hameçon, le spear phishing implique une recherche approfondie sur la victime afin de créer des messages personnalisés et convaincants.

Les cybercriminels utilisent généralement des informations trouvées sur les réseaux sociaux, les sites Web d’entreprise ou d’autres sources en ligne pour personnaliser leur attaque et gagner la confiance de leur cible. Les e-mails de spear phishing peuvent apparaître comme provenant d’un collègue, d’un supérieur hiérarchique, d’un ami ou d’une autre personne de confiance, incitant la victime à partager des informations sensibles, à cliquer sur un lien malveillant ou à ouvrir une pièce jointe infectée.

Le spear phishing est particulièrement dangereux car il est plus difficile à détecter que le phishing traditionnel en raison de son aspect personnalisé et ciblé. Les entreprises et les individus doivent être conscients de cette menace et mettre en place des mesures de sécurité appropriées, telles que la formation des employés pour identifier les signes d’une attaque de spear phishing et l’utilisation de logiciels de sécurité pour détecter et bloquer les e-mails malveillants.

Le Vishing

Le vishing, ou “voice phishing”, est une technique de fraude par laquelle les escrocs utilisent le téléphone pour tromper leurs victimes et leur soutirer des informations personnelles, financières ou sensibles. Le terme “vishing” provient de la combinaison des mots “voice” (voix) et “phishing” (hameçonnage).

Lors d’une attaque de vishing, l’escroc se fait passer pour une personne ou une entité de confiance, telle qu’une banque, un organisme gouvernemental, une entreprise de services ou un support technique. Ils utilisent souvent des scénarios élaborés et convaincants pour tromper la victime et la pousser à révéler des informations, telles que des numéros de carte de crédit, des mots de passe, des informations de compte bancaire ou des données personnelles.

Pour se protéger contre le vishing, il est important de suivre certaines recommandations :

  • Soyez vigilant : Ne faites pas confiance aveuglément aux appels téléphoniques, même si l’identifiant de l’appelant semble légitime. Les escrocs sont capables de falsifier les numéros de téléphone pour tromper leurs victimes.
  • Ne divulguez pas d’informations sensibles : Ne donnez jamais d’informations personnelles, financières ou confidentielles par téléphone, surtout si vous n’avez pas initié l’appel.
  • Vérifiez l’identité de l’appelant : Si vous recevez un appel suspect, demandez à l’appelant de vous fournir des informations spécifiques pour vérifier son identité. Vous pouvez également raccrocher et contacter l’entité présumée directement en utilisant un numéro de téléphone officiel pour confirmer la légitimité de l’appel.
  • Soyez conscient des techniques de manipulation : Les escrocs utilisent souvent des tactiques de manipulation, telles que l’urgence, la peur ou la promesse de récompenses, pour inciter leurs victimes à divulguer des informations. Ne cédez pas à la pression et prenez le temps de réfléchir avant de partager des informations.
  • Signalez les tentatives de vishing : Si vous êtes victime d’une tentative de vishing, signalez l’incident aux autorités compétentes, telles que la police, les organismes de protection des consommateurs ou les autorités de régulation des télécommunications.

Les attaques BEC

Une attaque BEC (Business Email Compromise), également appelée compromission des e-mails d’entreprise, est une forme d’escroquerie cybernétique qui cible les entreprises et leurs employés. Les attaquants cherchent à tromper les employés en leur faisant croire qu’ils reçoivent des instructions légitimes de la part de leurs supérieurs hiérarchiques, collègues ou partenaires commerciaux, dans le but de leur soutirer de l’argent ou des informations sensibles.

Dans une attaque BEC, les escrocs utilisent généralement des techniques de manipulation psychologique et des tactiques d’ingénierie sociale pour tromper leurs victimes. Ils peuvent usurper l’identité d’un dirigeant de l’entreprise, d’un partenaire commercial ou d’un fournisseur en compromettant ou en imitant leurs adresses e-mail. Les attaquants peuvent également créer des domaines de messagerie similaires à ceux de l’entreprise ciblée pour rendre leurs e-mails plus convaincants.

Les attaques BEC se présentent sous plusieurs formes, telles que :

  • Demande de virement d’argent : L’attaquant se fait passer pour un dirigeant ou un partenaire commercial et demande à la victime d’effectuer un virement d’argent vers un compte contrôlé par l’escroc.
  • Modification des coordonnées bancaires : L’attaquant usurpe l’identité d’un fournisseur et demande à la victime de modifier les coordonnées bancaires pour les futurs paiements, dirigeant ainsi les fonds vers le compte du cybercriminel.
  • Demande de données sensibles : L’attaquant se fait passer pour un cadre supérieur et demande à la victime de fournir des informations sensibles, telles que des données fiscales, des données sur les employés ou des informations financières.

Pour se protéger contre les attaques BEC, les entreprises doivent mettre en place des mesures de sécurité. Une fois de plus, tout commence par la formation des collaborateurs aux menaces de cybersécurité. Ensuite, il convient d’utiliser la vérification en deux étapes pour les comptes de messagerie, la mise en place de protocoles de vérification des demandes de virement et la surveillance des e-mails pour détecter les signes de compromission.

L’arnaque au Président

L’arnaque au président est une sous-catégorie des attaques BEC, avec une mise en scène plus spécifique et ciblée sur l’usurpation de l’identité d’un dirigeant de l’entreprise. Il s’agit d’une fraude courante qui cible les entreprises et les organisations en exploitant la confiance et la hiérarchie. Dans ce type d’attaque, les cybercriminels se font passer pour un dirigeant ou un supérieur hiérarchique et demandent à la victime d’effectuer un virement bancaire urgent et souvent confidentiel vers un compte contrôlé par les fraudeurs. Cette technique est également connue sous le nom de faux ordre de virement (FOVI).

Les arnaques au président peuvent prendre plusieurs formes. Par exemple, les fraudeurs peuvent usurper l’identité d’un fournisseur et communiquer de nouvelles coordonnées bancaires pour recevoir un paiement. Ils peuvent également se faire passer pour un employé de l’organisation et demander le changement des coordonnées bancaires pour le versement de leur salaire. Dans la plupart des cas, ces attaques sont rendues possibles par le piratage et l’exploitation de la messagerie de la personne ou de l’entité dont l’identité est usurpée.

Pour se protéger contre l’arnaque au président, il est essentiel de vérifier l’identité de l’expéditeur d’un e-mail, en prêtant attention à la fois au nom et à l’adresse e-mail. Il faut également évaluer si la demande est inhabituelle et, en cas de doute, contacter la personne concernée par un autre moyen de communication, comme le téléphone, pour confirmer la légitimité de la demande. La mise en place de procédures de contrôle des ordres de virement et la sensibilisation des employés aux risques liés à cette fraude sont également des mesures importantes pour renforcer la sécurité et la résilience de l’entreprise face à ce type d’attaque.

Les ransomwares

Les ransomwares, également appelés rançongiciels ou chevaux de Troie, sont un type de logiciel malveillant qui crypte les fichiers et les données de l’utilisateur, rendant ces informations inaccessibles. Les cybercriminels responsables de l’attaque exigent ensuite une rançon, généralement en monnaie virtuelle comme le Bitcoin, en échange de la clé de déchiffrement permettant de récupérer les données. Les victimes sont souvent confrontées à un ultimatum : payer la rançon avant une date limite ou voir leurs données définitivement perdues ou divulguées publiquement.

Les ransomwares peuvent être propagés de plusieurs manières, notamment par le biais de pièces jointes infectées dans des e-mails de phishing, de liens malveillants sur des sites Web ou des réseaux sociaux, ou encore par l’exploitation de failles de sécurité dans les logiciels et les systèmes d’exploitation.

Pour se protéger contre les ransomwares, il est essentiel de suivre plusieurs bonnes pratiques de cybersécurité :

  • Mises à jour et correctifs : il est crucial de maintenir à jour les logiciels et les systèmes d’exploitation afin de corriger les vulnérabilités connues qui pourraient être exploitées par les ransomwares.
  • Solutions antivirus et pare-feu : l’utilisation d’un logiciel antivirus à jour et d’un pare-feu robuste peut aider à détecter et à bloquer les ransomwares avant qu’ils ne puissent infecter votre système.
  • Sauvegardes régulières des données : effectuez régulièrement des sauvegardes de vos données importantes et stockez-les sur un support externe ou dans le cloud. En cas d’attaque par ransomware, cela vous permettra de restaurer vos données sans avoir à payer la rançon.
  • Plan de réponse aux incidents : élaborez un plan de réponse aux incidents de cybersécurité, y compris en cas d’attaque par ransomware, pour minimiser les dégâts et assurer une récupération rapide et efficace.

Il est important de noter que payer la rançon n’est pas recommandé, car cela encourage les cybercriminels à continuer leurs attaques et ne garantit pas que vous récupérerez vos données. En cas d’attaque par ransomware, il est préférable de contacter les autorités compétentes et de consulter des experts en cybersécurité pour obtenir de l’aide.

Cybersécurité sécurité des données et arnaques

Gestion proactive du système informatique

Protection des données

Les données sensibles doivent être stockées de manière sécurisée, en utilisant des solutions de chiffrement ou des outils de gestion des accès. Effectuez des sauvegardes régulières et testez-les pour garantir leur fiabilité en cas de perte de données ou de défaillance du système.

Mises à jour et correctifs

Maintenez vos logiciels et systèmes d’exploitation à jour pour corriger les failles de sécurité connues. Appliquez les correctifs de sécurité dès qu’ils sont disponibles pour réduire les risques d’exploitation des vulnérabilités.

Sensibilisation et formation des employés

La sensibilisation et la formation des employés sont des éléments cruciaux pour renforcer la cybersécurité d’une organisation. En effet, les erreurs humaines sont souvent à l’origine des failles de sécurité exploitées par les cybercriminels. La plupart du temps, les attaques pourraient être déjouées avec un minimum de bon sens. Cependant, les hackers misent sur l’urgence et la distraction des salariés pour obtenir ce qu’ils veulent.

Aussi, il est primordial d’éduquer et d’impliquer les employés dans la protection de l’entreprise contre les menaces en ligne.

  1. Élaboration d’un programme de formation adapté : Mettez en place un programme de formation sur mesure, adapté aux besoins et aux risques spécifiques de votre entreprise. Ce programme doit couvrir les bases de la cybersécurité, ainsi que les menaces et les bonnes pratiques propres à votre secteur d’activité.
  2. Sensibilisation aux menaces courantes : Assurez-vous que les employés connaissent les principales menaces auxquelles ils peuvent être confrontés, telles que le phishing, les ransomwares, les attaques BEC ou l’arnaque au président. Expliquez-leur comment ces attaques fonctionnent et comment les détecter pour les éviter.
  3. Formation sur les bonnes pratiques de sécurité : Les employés doivent être formés sur les bonnes pratiques en matière de cybersécurité, telles que la création et la gestion de mots de passe forts, la protection des données sensibles, la sécurisation des connexions sans fil et la vigilance lors de l’utilisation de supports amovibles ou de la navigation sur Internet.
  4. Mises à jour régulières et récurrentes : La cybersécurité évolue rapidement, et il est essentiel de maintenir la formation à jour pour que les employés soient informés des dernières menaces et des meilleures pratiques. Planifiez des sessions de formation régulières et des rappels sur les bonnes pratiques de sécurité.
  5. Création d’une culture de la sécurité : Impliquez tous les niveaux hiérarchiques de l’entreprise dans la promotion de la cybersécurité et encouragez les employés à signaler toute activité suspecte. La responsabilité de la sécurité doit être partagée entre tous les membres de l’organisation, quel que soit leur niveau.
  6. Simulations et tests : Organisez des exercices pratiques, tels que des simulations d’attaques de phishing ou des tests de détection des menaces, pour évaluer l’efficacité de la formation et mesurer les progrès des employés. Ces exercices permettent également d’identifier les domaines à améliorer et d’adapter la formation en conséquence.

En investissant dans la sensibilisation et la formation des employés, vous renforcez la résilience de votre entreprise face aux cybermenaces et contribuez à instaurer une culture de la sécurité solide et proactive au sein de votre organisation.

La Charte informatique

La Charte Informatique interne est un document essentiel qui définit les règles et les bonnes pratiques en matière d’utilisation des ressources informatiques au sein d’une organisation. Son rôle est crucial pour assurer la cybersécurité et protéger les données sensibles de l’entreprise.

En établissant une Charte Informatique, l’entreprise sensibilise et responsabilise ses employés quant aux enjeux de la cybersécurité et à l’utilisation des ressources informatiques. Ce document permet également de préserver les actifs informatiques en définissant les règles d’accès et d’utilisation des équipements, des logiciels et des données, contribuant ainsi à prévenir les atteintes à la sécurité et les pertes de données.

La Charte Informatique décrit les comportements à éviter pour limiter les risques liés à la cybersécurité, et énonce les bonnes pratiques de sécurité que les employés doivent adopter, comme la mise à jour régulière des logiciels et des systèmes d’exploitation, la sauvegarde des données ou l’utilisation de connexions sécurisées.

En cas de non-respect des règles établies, la Charte Informatique prévoit des sanctions applicables. Ces sanctions peuvent aller d’un simple avertissement à des mesures disciplinaires plus sévères, voire des poursuites judiciaires en cas de faute grave.

Enfin, la Charte Informatique permet à l’entreprise de se conformer aux réglementations en vigueur en matière de protection des données, telles que le RGPD en Europe. Elle définit les obligations des employés en matière de traitement et de sécurisation des données personnelles.

Il est essentiel de communiquer la Charte Informatique à l’ensemble des employés et de s’assurer qu’ils comprennent et respectent les règles établies. De plus, elle doit être régulièrement mise à jour pour tenir compte de l’évolution des technologies et des menaces. En intégrant la Charte Informatique dans la stratégie globale de cybersécurité de l’entreprise, vous renforcez la protection de vos actifs informatiques et préservez la réputation et la pérennité de votre organisation.

Collaboration avec des prestataires spécialisés

Faire appel à un prestataire spécialisé en cybersécurité est un excellent réflexe. Ces experts peuvent vous aider à identifier les risques, à mettre en place des mesures de sécurité adaptées et à assurer une surveillance continue de vos systèmes informatiques.

Conclusion

Tout comme lors de la pandémie que nous avons traversée il y a quelques années, il est important d’adopter des gestes de prévention pour se protéger contre les cyberattaques. La liste présentée dans cet article n’est pas exhaustive, mais une sensibilisation régulière de vos équipes permettra de prévenir un grand nombre d’attaques. N’oubliez pas que la cybersécurité en entreprise est l’affaire de tous, et que la protection de vos données et de vos systèmes informatiques dépend de la vigilance de chaque employé et dirigeant.

Sources :

https://www.stoik.io/cybersecurite/chiffres-cles
https://www.sales-hacking.com/post/statistiques-cyberattaques

Articles connexes

Discours de Michel Barnier : Les 6 enjeux sociaux et économiques à retenir pour 2024
10 octobre 2024
[interview] Au cœur d'Extencia : Quand l'expertise comptable rencontre l'innovation marketing
29 juillet 2024
Impact du tourisme au Pays-Basque : opportunités et défis pour les entreprises locales
25 juillet 2024

Nous utilisons des cookies pour vous offrir la meilleure expérience en ligne. En acceptant, vous acceptez l'utilisation de cookies conformément à notre politique de confidentialité des cookies.

Close Popup
Paramètres de confidentialité sauvegardés !
Paramètres de confidentialité

Lorsque vous visitez un site Web, il peut stocker ou récupérer des informations sur votre navigateur, principalement sous la forme de cookies. Contrôlez vos services de cookies personnels ici.

Les cookies opérationnels sont utilisés pour fournir nos services et ne peuvent pas être désactivés pour ces finalités. Nous utilisons des cookies pour fournir nos services pour par exemple : Vous reconnaître lorsque vous vous connectez pour utiliser nos services. Vous reconnaître en tant que client et vous proposer d’autres fonctionnalités et services personnalisés. Afficher des fonctionnalités, des produits et des services qui pourraient vous intéresser. Conserver le suivi des éléments enregistrés dans votre panier. Prévenir les activités frauduleuses. Améliorer la sécurité. Assurer le suivi de vos préférences, comme celles sur la devise et la langue. Nous utilisons également des cookies pour comprendre comment les clients utilisent nos services afin de pouvoir apporter des améliorations.

Cookies analytiques
  • bcookie
  • li_gc
  • lidc
  • ln_or
  • UserMatchHistory
  • AnalyticsSyncHistory

Cookies techniques
  • isExternal
  • wordpress_logged_in
  • wordpress_sec
  • wordpress_gdpr_cookies_declined
  • wordpress_gdpr_cookies_allowed
  • wordpress_gdpr_allowed_services
  • PHPSESSID

Refuser tous les services
Save
Accepter tous les services
Cookies
Open Privacy settings