Winbiz, l’administration fédérale cet été puis en novembre, les CFF en début d’année 2023, … Certaines cyberattaques ont marqué les esprits et ont fait couler beaucoup d’encre. Mais cela n’arrive pas qu’aux autres ! En Suisse, une PME sur trois a déjà été victime d’une cyberattaque.

Quelle “cyber-hygiène” adopter pour éviter à son entreprise d’être dans une fâcheuse position ? Quelles sont les best practices ? A-One et Wincasa se sont penchés sur la question !

1. Connaître les risques

Pour protéger, il faut d’abord connaître. La première étape consiste donc à faire l’inventaire de son patrimoine informatique. D’un point de vue général, il s’agit d’identifier où sont hébergés les serveurs, le type de messagerie utilisée, quelles tâches sont externalisées et sous-traitées … Pour ensuite classer le type de données qu’une entreprise traite : données personnelles, propriété intellectuelle, financières, etc.

Et si « un grand pouvoir implique de grandes responsabilités », toute entreprise doit avoir en tête que toute donnée traitée implique des responsabilités. Si ces données sont piratées, elle sera en effet tenue pour responsable. Cet inventaire est donc essentiel.

2. Connaître son ennemi

Il y a 2 500 ans, le maître de la préparation militaire, Sun Tzu, expliquait dans L’Art de la guerre, “Qui connaît son ennemi comme il se connaît, en cent combats ne sera point défait”. Pour se préparer aux attaques, il faut donc connaître les pratiques de son rival. En termes de cyberattaques, les plus fréquentes sont, non pas le ransomware comme on pourrait s’y attendre, mais le phishing par email. Et attention, les emails maquillés provenant d’une fausse adresse sont maintenant plus vrais que nature !

Trois mots résonnent donc comme des mots-clés : préparation, préparation et préparation.

3. Sécuriser le télétravail : LA faille dans la muraille

Ah le télétravail, sa souplesse, la possibilité de se lever un peu plus tard ou de se mettre tout de suite au travail sans passer par la case transport… mais aussi celle d’utiliser son ordinateur personnel sans antivirus à jour, sa messagerie ou une solution de Cloud privée. Bref, qui dit télétravail dit trous dans la raquette de la cybersécurité d’une entreprise.

Ces dernières peuvent ériger tous les remparts, si vous connectez votre ordinateur de la maison au réseau de l’entreprise sans sécurisation particulière (par exemple, sans VPN), le pare-feu du réseau interne de l’entreprise se troue. Une ouverture se crée. Ces pratiques sont donc à cadrer rigoureusement.

De manière générale, l’entreprise doit limiter l’accès des équipes aux données. Plus le niveau d’accès aux données est important, plus les risques sont grands et plus les dégâts sont importants lorsque l’ordinateur est perdu ou tombe dans des mains malintentionnées.

4. Sauvegarder ses données

Mettre en place une solution de sauvegarde des données est impératif, qu’il s’agisse d’un back-up sur site ou d’une solution externalisée. Attention, en cas de cyberattaque, si vous avez opté pour un stockage des données externes, il faudra s’attendre à ce que le téléchargement du back-up prenne plusieurs jours. Penser à rendre les fichiers vitaux accessibles le plus rapidement possible est essentiel pour la continuité de votre business.

Enfin, adopter des pratiques plus frugales en matière de stockage numérique en ne conservant pas les dossiers vieux de 15 ans par exemple, permet de réduire les possibilités d’attaques pour les hackeurs.

5. Savoir réagir en cas d’attaque

En cas de cyberattaque, la réactivité et les bonnes pratiques sont deux clés qui permettent de limiter les dégâts et la propagation de l’attaque. Les outils de gestion de la cybersécurité doivent toujours s’accompagner d’une approche RH : dans le cahier des charges de quels postes fait-on figurer la cybersécurité ? Quels exercices de préparation doivent être organisés ? A quelle fréquence ? sont autant de questions qui ne sont plus des options.

Enfin, qui dit nouvelles technologies comme l’intelligence artificielle dit ouverture possible de nouvelles failles au sein des organisations. Il s’agit donc, plutôt que de faire l’autruche, d’avoir un œil de lynx !