Cyber-risques : comment s’en protéger ?

Sommaire

Temps de lecture : 4 minutes

Qu’est-ce qu’un cyber-risque ?

Par “risques cyber” on entend l’ensemble des risques liés à l’usage des technologies numériques entraînant une défaillance portant atteinte à la confidentialité, l’intégrité ou la disponibilité des données et systèmes d’informations, voire même à la réputation de l’entreprise.

Les causes d’une cyberattaque

Les menaces qui pèsent sur votre entreprise sont diverses et peuvent être classées en 3 catégories.

Les types de cyberattaqueExemples
Les intrusions
  • Virus / malware

Un virus est un programme informatique malveillant qui va perturber le fonctionnement d’un appareil informatique, éventuellement voler les informations qui sont stockées dessus. Une rançon peut vous être demandée par les hackers.

  • Hameçonnage / Phishing

Le phishing est une forme de cyberattaque organisée dans le but d’obtenir de votre part des informations personnelles en utilisant l’usurpation d’identité. Les hackers se font passer pour des organisations que vous connaissez (votre banque, votre fournisseur internet…) pour vous extorquer des données sensibles telles que vos identifiants bancaires, vos mots de passe…

  • Piratage de compte / Défiguration de votre site internet
  • Vulnérabilité logicielles

Les failles de sécurité sont souvent dues à une obsolescence de vos logiciels. Vous devez les mettre à jour périodiquement pour intégrer les protections ajoutées par les développeurs.

  • Pare-feu

Un pare-feu est un logiciel utilisé pour assurer la sécurité de votre réseau privé et bloquer des accès non autorisés. C’est le premier outil à mettre en place pour protéger vos données sensibles. 

  • Via un réseau partenaire connecté au vôtre
Les failles matérielles
  • Infrastructure obsolète
  • Équipements informatiques sans sauvegarde
  • Vous hébergez vos données sur un serveur non certifié ou sans redondance
  • Problème technique en cas d’auto-hébergement de vos données (panne électrique, inondation, surchauffe…)
La vulnérabilité de vos équipes
  • Perte ou vol du matériel informatique de l’entreprise
  • Les erreurs humaines (un salarié oublie de sauvegarder son travail ou de mettre à jour un logiciel)
  • Le manque de formation (un salarié télécharge la pièce jointe contenue dans un email dont l’expéditeur lui est inconnu).

Les conséquences d’une cyberattaque

Les conséquences d’une cyberattaque pour une petite entreprise sont variées et surtout dramatiques. En voici une liste non exhaustive :

ConséquencesExemples
Perte de données sensibles

Données clients : Vol d’informations personnelles et financières de vos clients.

Données internes : Perte ou compromission de données commerciales sensibles, comme les plans d’affaires, les informations financières et les documents confidentiels.

Pertes financières

Paiement d’une rançon pour récupérer l’accès à vos systèmes ou données.

Interruption de votre activité libérale entraînant une perte de revenus.

Perte de productivité de vos employés dans l’incapacité de travailler efficacement pendant la perturbation de vos systèmes informatiques.

Coûts de récupération des données, à la réparation des systèmes.

Coût des services de cybersécurité engagés pour trouver l’origine de l’attaque et renforcer vos défenses.

Investissement dans de nouveaux logiciels et matériels pour améliorer votre sécurité.

Perte de clientèle

Vos clients actuels se détournent de votre entreprise perçue comme moins sécurisée que celles de vos concurrents (“Churn clients”).

Vous avez du mal à attirer de nouveaux clients en raison d’une perte de réputation.

Atteinte à votre réputation

Perte de confiance : Les clients, partenaires et fournisseurs peuvent perdre confiance en votre entreprise.

Mauvaise publicité : La divulgation de l’attaque que vous avez subie peut nuire à votre image de marque et décourager de nouveaux clients.

Les actions à prendre pour votre entreprise

Il est crucial pour chaque entreprise de mettre en place des mesures de cybersécurité robustes et de se préparer à réagir efficacement en cas d’incident. 

Ces mesures permettront de la protéger ainsi que vos clients et partenaires, et augmenteront la confiance qu’ils lui accordent.

Plusieurs actions sont possibles. Investir dans la formation des employés, des solutions de sécurité avancées et des plans de réponse aux incidents peut aider à minimiser les risques et à protéger l’entreprise contre les cybermenaces.

Si vous n’êtes pas familier avec ces problématiques, vous pouvez commencer par prendre les actions suivantes : 

Les actions concrètes

Sécuriser votre matériel informatique (ordinateurs / tablettes…)

  • Avoir un antivirus à jour et performant
  • Avoir un pare feu local activé (“firewall”)
  • Faire régulièrement vos mises à jour de logiciels (en particulier vos logiciels professionnels et Windows)
  • Utilisez un navigateur internet sécurisé (type Avast secure)

Sécuriser votre messagerie

  • Mettre en place un anti-spam
  • Se méfier des pièces jointes et des expéditeurs inconnus
  • Mettre en place un système d’accès sécurisé à votre messagerie (reconnaissance faciale, empreinte digitale)

Sécuriser vos mots de passe

  • Choisir des mots de passe long avec une mixité de caractère (lettres, chiffres, ponctuation)
  • Utiliser un gestionnaire de mots de passe crypté
  • Ne communiquez jamais vos identifiants et mots de passe à qui que ce soit

Mettre en place des sauvegardes

  • Vos données professionnelles (dossiers, informations clients, pièces comptables…) doivent être sauvegardées
  • La périodicité doit être au moins hebdomadaire, voire quotidienne
  • Multiplier les sauvegardes d’un même contenu (“redondance”) pour être sûr de ne jamais rien perdre même en cas de cyberattaque réussie
  • Testez régulièrement l’accès à vos sauvegardes

Fiabiliser votre réseau local

Si vous avez mis en place un réseau local pour partager vos données avec vos salariés ou vos clients : 

  • Installez un pare feu
  • Sécurisez l’accès autant que possible (identifiant / mot de passe)
  • Faire l’inventaire régulier des informations stockées sur ce réseau
  • Faites des sauvegardes

Lire le Guide de l’ANSSI

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a publié un guide pour sensibiliser les TPE/PME à la cybersécurité.

Le guide s’articule autour de 13 questions. Pour chacune, le guide précise à quel type de structure elle s’adresse en priorité ainsi que le niveau de difficulté associé.  

  1. Connaissez-vous bien votre parc informatique ?
  2. Effectuez-vous des sauvegardes régulières ?
  3. Appliquez-vous régulièrement les mises à jour ?
  4. Utilisez-vous un antivirus ?
  5. Avez-vous implémenté une une politique d’usage de mots de passe robustes ?
  6. Avez-vous activé un pare-feu ? En connaissez-vous les règles de filtrage ?
  7. Comment sécurisez-vous votre messagerie ?
  8. Comment séparez-vous vos usages informatiques ?
  9. Comment maîtrisez-vous le risque numérique lors des missions et des déplacements professionnels ?
  10. Comment vous informez-vous ? Comment sensibilisez-vous vos collaborateurs ?
  11. Avez-vous fait évaluer la couverture de votre police d’assurance au risque cyber ?
  12. Savez-vous  comment réagir en cas de cyberattaque ?
  13. Envisagez-vous d’utiliser des solutions cloud ?

Les réponses prennent la forme de préconisations d’actions très concrètes à mettre en œuvre qui permettront d’accroître votre niveau de sécurisation et de sensibiliser vos équipes aux bons gestes à adopter.

Suivre les formations France Num

Les Formations France Num sont des modules courts (de 3 à 10 heures réparties dans le temps), conçus par des experts métiers, qui permettent de découvrir ou d’expérimenter une solution ou un usage numérique en réponse à un besoin. 

Financées par le Plan de relance, ces formations sont gratuites pour les entreprises.

Pour plus d’informations, consultez le site de France num (calendrier des formations en milieu de page).