RFPaye
|
Vous êtes ici : Accueil / Revues /
Sommaire n° 493

Panorama de l'actualité

Pratique comptable

Audit

Gestion

Recommandations aux TPE et PME pour une cybersécurité efficace

Nouvelles règles comptables du secteur non lucratif : retours d'expérience

ARTICLES FAVORIS
Ajouter cet article
Voir mes dossiers

Plus de sommaires

OUTILS
NEWSLETTER

CHIFFRES et INDICES

ECHEANCIER

Juin 2023
Lun Mar Mer Jeu Ven Sam Dim
   1234
567891011
12131415161718
19202122232425
2627282930  
délais variables

SIMULATEURS

SITES UTILES
 
RF Comptable n° 493 - mai
Agrandir la taille du texteRéduire la taille du texte
Date de parution: 05/2021

Recommandations aux TPE et PME pour une cybersécurité efficace

L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a présenté un guide sur la cybersécurité pour les TPE et les PME, comprenant tout un ensemble de mesures qui leur sont accessibles en la matière, afin qu'elles puissent se prémunir efficacement contre les attaques informatiques de plus en plus nombreuses, ou en limiter significativement les dégâts le cas échéant (ANSSI, « La cybersécurité pour les TPE/PME en 12 questions », février 2021).

Objectifs du guide de l'ANSSI

Le guide publié par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) présente, en douze questions, des recommandations aux petites et moyennes entreprises (TPE et PME), relevant de bonnes pratiques ou requérant un investissement plus important, afin qu'elles se protègent des cyberattaques, en augmentant leur niveau de sécurisation et en sensibilisant leurs équipes aux bons gestes à adopter.

En effet, sous l'effet d'une numérisation croissante de l'économie, les risques d'attaques informatiques (vols de données, demandes de rançon, atteintes à l’image ou sabotages...) s'intensifient et les petites et moyennes structures sont des cibles de choix pour les acteurs malveillants car elles n'y sont en général pas suffisamment préparées.

(Mieux) se protéger des cyberattaques via 12 questions clefs

Pour répondre à cette problématique de cybersécurité, particulièrement cruciale dans le contexte actuel, le tableau ci-après récapitule les recommandations de l'ANSSI que les entreprises (TPE et PME) peuvent mettre en œuvre pour protéger leur activité, et leurs emplois, des cyberattaques après s'être posé douze questions relatives à leur politique informatique.

Recommandations de l'ANSSI aux TPE/PME pour mettre en place ou renforcer leur cybersécurité

Les 12 questions clefs à se poser

Les raisons qui poussent à se poser la question

Les mesures concernant les TPE et les PME

Question 1 - Connaissez-vous bien votre parc informatique ?

La connaissance des systèmes d’informations, applications et données vitales de son entreprise permet de faire le point sur ses besoins et ses capacités numériques et doit être mise à jour régulièrement (au moins deux fois par an).

Elle permet également d’aider au choix des solutions numériques adaptées à son entreprise, d'identifier les éventuels points de sécurisation à envisager, et, le cas échéant, de fournir un état des lieux détaillé qui aidera le prestataire sollicité pour cette tâche.

Elle sera aussi très utile pour les professionnels qui interviendront en réponse à un incident en cas de compromission réelle

-inventorier tous les équipements (ordinateur et périphériques, mobile multifonction, tablette, serveurs...) et les services (hébergement du site web, service de messagerie...) pour savoir quoi protéger et identifier les biens critiques pour l’activité de l’entité ;

-inventorier les logiciels utilisés (nature, fonctions principales et versions) et s'assurer de posséder des licences d'utilisation valides, indispensables pour respecter la loi et pour la maintenance ;

-inventorier les données, notamment celles dont la perte ou l'altération affecterait ou interromprait l'activité, et les traitements de données sensibles ;

-inventorier tous les accès, les catégories des accédants (administrateur, utilisateur, invité) et les moyens d'accès (connexion locale ou distante) afin de vérifier qu'aucun accès indu n'est maintenu (ancien employé ou prestataire) ;

-inventorier les interconnexions du système d'information (SI) de l'entreprise avec l'extérieur (Internet)

Question 2 - Effectuez-vous des sauvegardes régulières ?

Effectuer des sauvegardes régulières permet une restauration plus rapide des activités opérationnelles en cas d’incident, notamment en cas d’attaque par rançongiciel (ransomware)

-identifier les données à sauvegarder (essentielles à la poursuite de l'activité), qu'il s'agisse de données « métier » (fichiers client, savoir-faire de fabrication...) ou techniques (configuration des ordinateurs ou de l’infrastructure de l’entreprise) ;

-déterminer le rythme des sauvegardes, en fonction du volume de données numériques produites sur un temps donné, pouvant être différent pour les données « métier » et techniques ;

-choisir le(s) support(s) à privilégier pour la sauvegarde (support physique, cloud ou les deux) et vérifier l'intégrité et la viabilité de la sauvegarde lors d'une restauration ;

-évaluer la pertinence du chiffrement des données (en cas de stockage dans un cloud, elles restent ainsi protégées) ;

-respecter le cadre juridique, notamment le règlement général sur la protection des données (RGPD), quels que soient les objectifs du stockage (traitement ou sauvegarde)

Question 3 - Appliquez-vous régulièrement les mises à jour ?

Il est indispensable d’effectuer les mises à jour des systèmes d’exploitation et de tout logiciel car la majorité des attaquants recourent à des vulnérabilités publiques et documentées pour prendre pied sur les systèmes d’information. Ils comptent soit sur la négligence des utilisateurs pour commettre leur forfait, soit sur l'exploitation d'une vulnérabilité d'un service exposé sur Internet (par exemple un pare-feu, une messagerie...)

-ne pas utiliser un matériel ou un logiciel au-delà de son « cycle de vie » (mise au rebut ou désinstallation de tout matériel ou logiciel qui ne peut plus être mis à jour) ;

-activer la mise à jour automatique des logiciels et des matériels pour qu'elle s'effectue à chaque mise à disposition d'un correctif par les éditeurs et opérer toute mise à jour en cas de survenance d'une vulnérabilité critique ;

-si la mise à jour des systèmes numériques utilisés dans l'entreprise est effectuée par un sous-traitant, s'assurer qu'elle l'est effectivement et exiger, si nécessaire, cette pratique dans les contrats de sous-traitance

Question 4 - Utilisez-vous un antivirus ?

Les antivirus sont très utiles à la protection des moyens informatiques : ils peuvent, dans la majorité des cas, empêcher une compromission et éviter une attaque par rançongiciel

-déployer un antivirus sur tous les équipements, en priorité ceux connectés à Internet, car il protège des menaces connues, qui évoluent très rapidement ;

-pour une protection efficace, tenir à jour le logiciel en lui-même et sa base de données de signatures, qui permet l’identification de programmes et de fichiers malveillants ;

-activer la mise à jour et le scan automatiques des espaces de stockage et éventuellement souscrire à un pare-feu, un filtrage web, un VPN ou à des outils anti-hameçonnage et de renforcement de la sécurité des transactions bancaires

Question 5 - Avez-vous implémenté une politique d'usage de mots de passe robustes ?

De nombreuses attaques sur Internet sont facilitées par l’utilisation de mots de passe trop simples ou réutilisés d’un service à l’autre.

Les attaquants tentent le plus grand nombre de combinaisons possibles (attaque par force brute), les mots de passe les plus courants (attaque par dictionnaires) ou des informations personnelles récupérées sur les réseaux sociaux (attaque de type « ingénierie sociale »), et peuvent se servir d’éléments déjà disponibles en ligne.

Ils cherchent souvent à propager l’attaque au sein de l’entreprise ou à ses partenaires, ce qui constitue du hameçonnage (ou phishing en anglais)

-corréler la longueur du mot de passe avec le niveau critique du service auquel il donne accès (minimum 9 caractères pour les services peu critiques et 14 pour les services critiques) ;

-constituer un mot de passe avec des capitales et des minuscules, des chiffres et des caractères spéciaux ;

-ne pas insérer d'élément personnel dans le mot de passe ;

-recourir éventuellement à une phrase de passe (passphrase en anglais, consistant à choisir aléatoirement un certain nombre de mots parmi un corpus déterminé), souvent bien plus longue qu'un mot de passe « classique », mais pouvant être plus simple à mémoriser ;

-choisir des mots de passe différents pour chaque service nécessitant une authentification et ne jamais utiliser un même mot de passe pour sa messagerie personnelle et sa messagerie professionnelle ;

-utiliser un coffre-fort de mots de passe, de préférence certifié par l'ANSSI, permettant de sauvegarder l'ensemble des mots de passe dans un fichier chiffré, accessible par un seul et unique mot de passe, et ainsi de ne pas avoir à les mémoriser ;

-ne pas choisir des mots de passe trop faciles à deviner et activer une authentification multifacteurs/secondaire quand elle est proposée par le fournisseur de service ;

-implémenter une authentification multifacteurs par jeton physique (carte à puce, token USB...) dans les PME pour simplifier l’accès à leurs terminaux et activer un service d’authentification unifié (type « single sign on ») pour simplifier et renforcer l’authentification

Question 6 - Avez-vous activé un pare-feu ? En connaissez-vous les règles de filtrage ?

Le pare-feu est un logiciel installé sur l'ordinateur de l'utilisateur qui protège principalement des attaques provenant d’Internet. Pour les entreprises disposant d’un système d’information d'entreprise, il permet également de ralentir ou de limiter l’action d’un acteur malveillant ayant réussi à prendre le contrôle d’un des postes de travail et qui tente d’étendre son intrusion aux autres postes de travail pour accéder aux documents des utilisateurs

-dans les TPE, activer un pare-feu préinstallé sur le poste de travail et le paramétrer par défaut (blocage de toute connexion entrante) ;

-dans les PME, installer un pare-feu local sur tous les postes de travail (intégré au système d’exploitation ou solution logicielle tierce) en assurant l'homogénéité des configurations et le filtrage des flux, pour protéger en priorité l’interconnexion du SI à Internet ou, pour les entités les plus matures en matière de sécurité, pour segmenter le réseau interne en zones ayant des niveaux différents de sensibilité et d'exposition aux menaces

Question 7 - Comment sécurisez-vous votre messagerie ?

La messagerie est le principal vecteur d’infection du poste de travail, qu’il s’agisse de l’ouverture de pièces jointes contenant un code malveillant ou du clic malencontreux sur un lien redirigeant vers un site lui-même malveillant (phishing ou hameçonnage, voir question 5 ci-avant).

En cas de doute sur l’authenticité d'un message, une vérification par un autre canal (téléphone, SMS...) auprès de l’émetteur est nécessaire

-proscrire la redirection de messages professionnels vers une messagerie personnelle car cela constitue un vecteur de fuite irrémédiable d’informations ;

-dans les PME, s'assurer de disposer d’un système d’analyse antivirus en amont des boîtes aux lettres des utilisateurs pour prévenir la réception de fichiers infectés et de l’activation du chiffrement TLS (transport layer security, technologie permettant de sécuriser les échanges de données entre le navigateur et le serveur) des échanges entre serveurs de messagerie (de l’entité ou publics) ainsi qu’entre les postes « utilisateur » et les serveurs hébergeant les boîtes de messagerie électronique ;

-ne pas exposer directement les serveurs de messagerie électronique d’entreprise sur Internet et mettre en place un serveur relais dédié à l’envoi et à la réception des messages pour couper la liaison avec Internet

Question 8 - Comment séparez-vous vos usages informatiques ?

L'interconnexion des outils informatiques avec Internet présente beaucoup de risques, tels que :

-l’exfiltration de données depuis l’entreprise vers Internet, portant ainsi atteinte à leur confidentialité, voire à la réputation de l’entreprise si elles sont diffusées ;

-l’intrusion depuis Internet pour porter atteinte à l’intégrité ou à la disponibilité du SI et des outils de production de l’entreprise ;

-l’usurpation d’identité ;

-le détournement du SI de l’entreprise pour des usages frauduleux ou délictueux

-créer des comptes « utilisateur » dédiés à chaque employé et ne disposant pas de privilège d’administration afin de limiter le risque d’installation de codes malveillants et, en cas d'usages professionnel et personnel sur un seul et même ordinateur, créer des comptes « utilisateur » pour chaque usage ;

-n'utiliser que les comptes « utilisateur » pour naviguer sur Internet, les comptes « administrateur » facilitant la prise de contrôle complète de l'ordinateur par l'attaquant ;

-révoquer les comptes et les accès d'un collaborateur qui quitte l'entreprise ;

-sur les mobiles multifonctions ou les tablettes, limiter les autorisations données à chaque application pour chacune de leurs utilisations et télécharger les applications uniquement depuis les marchés officiels ou le site Internet des éditeurs ;

-dans les PME, interdire par défaut les connexions entre les postes des utilisateurs, dédier les postes et les comptes d’administration à l'administration du SI de l’entreprise et, si possible, cloisonner les activités numériques de l'entreprise en différentes zones réseaux par des dispositifs de filtrage physiques ou virtualisés

Question 9 - Comment maîtrisez-vous le risque numérique lors des missions et des déplacements professionnels ?

Des risques spécifiques sont liés à l’utilisation d’ordinateurs portables, de mobiles multifonctions ou de tablettes lors des déplacements professionnels ainsi qu'au transport et à l’échange de données et au télétravail

-avant de partir en mission, sauvegarder ses données pour les retrouver en cas de perte ou de vol des équipements, doter ses équipements d’écrans de confidentialité, vérifier que ses mots de passe ne soient pas préenregistrés et, si possible, procéder au chiffrement de ses données les plus sensibles ou de l’ensemble du disque dur ;

-pendant la mission, garder ses appareils, supports et fichiers avec soi, informer son entreprise en cas de perte ou de vol de son matériel et refuser la connexion d’équipements appartenant à des tiers à ses propres équipements ;

-après la mission, ne jamais utiliser les clés USB offertes lors de ses déplacements, qui sont susceptibles de contenir des programmes malveillants ;

-en cas de voyages en dehors de l'Union européenne, l'ANSSI recommande, entre autres, d'utiliser des matériels dédiés à la mission et de les garder toujours avec soi, de ne pas recharger son mobile à partir d'un ordinateur non maîtrisé ou d'une prise USB en libre-service dans les aéroports ou de changer les mots de passe utilisés pendant le voyage et de faire analyser ses équipements après la mission

Question 10 - Comment vous informez-vous ? Comment sensibilisez-vous vos collaborateurs ?

S'informer et sensibiliser ses équipes aux bons gestes à adopter permet de se préparer aux éventuelles cyberattaques pouvant survenir au sein de l'entreprise

-prendre connaissance de recommandations concernant les bonnes pratiques, d'alertes sur les menaces en cours et d'informations sur les mises à jour logicielles disponibles en suivant les actualités publiées par le dispositif Cybermalveillance.gouv.fr ;

-consulter la veille technique relative aux campagnes d’attaques et aux vulnérabilités du centre gouvernemental de veille, d'alertes et de réponse aux attaques informatiques (CERT-FR) ;

-informer régulièrement le personnel des bonnes pratiques de sécurité et des principales menaces qui peuvent affecter la vie de l'entreprise, via, par exemple, une charte informatique ou des diffusions fréquentes de messages en interne (réunions, newsletters, revues de presse...) et encourager les collaborateurs à déclarer les incidents

Question 11 - Avez-vous fait évaluer la couverture de votre police d'assurance au risque cyber ?

Les sociétés d’assurance proposent de plus en plus des clauses permettant de se prémunir contre certains risques d’origine numérique afin d'accompagner les entreprises victimes de cybermalveillance ou de cyberattaques. Elles peuvent fournir, en cas de sinistre, une assistance juridique ainsi qu’une couverture financière du préjudice (matériel, immatériel...)

Vérifier que les risques les plus redoutés pour la pérennité de l’entreprise sont couverts, soit dans les contrats d’assurance classiques, soit par une police d’assurance « cyber » spécifique.

Différents types de protection peuvent être proposés : usurpation d’identité, garanties contre une perte d’exploitation, accompagnement juridique pour une déclaration d’atteinte aux données personnelles, prise en charge d’un accompagnement technique pour la restauration du SI après une cyberattaque...

Question 12 - Savez-vous comment réagir en cas de cyberattaque ?

Les TPE et PME ont tout avantage à identifier préalablement des prestataires spécialisés dans la réponse aux incidents de sécurité

-en cas de problème de sécurité, réaliser un diagnostic en ligne sur la plateforme Cybermalveillance.gouv.fr pour obtenir des conseils personnalisés permettant de le résoudre ou se rapprocher des chambres des métiers ou du commerce ;

-en cas d'incident avéré, déconnecter son équipement ou son SI d’entreprise d’Internet (retrait de la prise ou désactivation des services WiFi pour un équipement individuel, action sur l'équipement réseau ou le pare-feu pour un SI d'entreprise), ne pas éteindre ni modifier les ordinateurs et matériels affectés par l’attaque pour qu'ils soient utiles aux enquêteurs, ne pas payer la rançon demandée en cas de rançongiciel, ouvrir une main courante pour tracer les actions et les événements liés à l'incident et ainsi faciliter l'intervention du prestataire, communiquer sur l'incident (en interne et en externe) ;

-en cas de fuite de données personnelles, faire une déclaration auprès de la CNIL et porter plainte

Pour plus d'informations, les TPE et PME peuvent notamment consulter les sites Internet www.ssi.gouv.fr et www.cybermalveillance.gouv.fr.

Face au phénomène de digitalisation de plus en plus prégnant dans les entreprises, les risques d'attaques informatiques s'intensifient.

Les petites et moyennes structures sont des cibles de choix pour les acteurs malveillants puisqu'elles ne sont pas suffisamment préparées à ces risques.

En se posant douze questions clefs sur leur cybersécurité, les TPE et PME peuvent détecter leurs failles en la matière et mettre en place les mesures adéquates pour y remédier.

Logo
De l'information à la formation
Prochain événement
 16 MAI ESPACE INKERMANN-CHÂTILLON LILLE : TOUTES LES CLÉS POUR RÉUSSIR UNE RUPTURE CONVENTIONNELLE INDIVIDUELLE 
À propos
Qui sommes nous
Nous rejoindre
Mentions légales
Conditions Générales de Vente
Conditions Générales d’Utilisation
Politique de confidentialité
Contact
LE GROUPE REVUE FIDUCIAIRE
100, rue La Fayette, 75010 Paris
Tél. : 01 48 00 59 66
E-mail : src@grouperf.com
LA LIBRAIRIE FIDUCIAIRE
100, rue La Fayette, 75010 Paris
Tel. : 01 47 70 44 46
E-mail : librairie@grouperf.com
Suivez-nous
LinkedinTwitterFacebookFlux RSS
Nos applis mobiles
GRF + GRF +
Dernières actus
Métiers
Expert-comptable
Commissaire aux comptes
Avocat d'affaires
Gestionnaire de patrimoine
Dirigeant
Ressources Humaines
Gestionnaire Paye
CSE/Élus et RP
Syndicat
DAF
Responsable comptable
Fiscaliste
Juriste
Enseignant
Étudiant
Particulier
Revues et ouvrages
La Revue Fiduciaire
RF Paye
RF Comptable
RF Social
RF Conseil
RF Edition
Formation
RF Formation
Formation en présentiel
RF e-Learning
RF e-Learning CAC
Webinaire
Actualité
MyActu
Fonds documentaire
Social Expert
RF Premium
Formulaires de l’Entreprise
Formulaires de Droit Social
RF Edition
Domaines
Fiscal
Paye
Social
Vie des affaires
Comptabilité
Patrimoine
Ressources
RF Blog
Communication Client
VotrExpert
Comm' Avocat
Votrecgp
Logiciels
Fidu-Expert
CET-Expert
ViewFEC
Systerial
Portail juridique
Recherche Rechercher dans le fonds
documentaire
La boutique
La boutique La boutique