guide guide de survie cybersécurité pour les pme · 2 cybersÉcuritÉ : technologies, procédures...
TRANSCRIPT
datto.com
Guide de survie Cybersécurité pour les PMETout savoir pour conserver en sécurité ses données
GUIDE
2
CYBERSÉCURITÉ : technologies, procédures et pratiques destinées à protéger réseaux, ordinateurs, applications et données des attaques, dommages ou accès non autorisés.
Dans un rapport récent d’AT&T, 62 % des entreprises reconnaissent avoir subi ce qui s’apparente à une cyberattaque.En 2016, ces incidents sont de plus en plus courants.Les entreprises ne se demandent plus si elles seront touchées mais comment faire le jour où cela arrivera.
Aujourd’hui, les employés sont connectés à Internet chaque jour et toute la journée, pour
communiquer avec leurs collègues ou partenaires, partager des informations critiques ou
naviguer d’un site à un autre. Le piratage, les failles de sécurité et les attaques de ransomware
sont en constante augmentation, il est donc essentiel pour toutes les entreprises de se préparer
au pire, avec des formations obligatoires à la cybersécurité pour tous les employés et des
solutions appropriées pour minimiser les risques.
Désormais, les menaces sur les données ne font pas de discrimination : des entreprises de toutes
tailles sont susceptibles d’être attaquées. Cependant, les petites et moyennes entreprises sont
souvent moins préparées à faire face aux menaces que leurs homologues plus grandes. Les
raisons peuvent varier d’une entreprise à l’autre, mais souvent, c’est par manque de ressources
allouées aux efforts sur la cybersécurité.
Ce guide contient des conseils pratiques et des astuces simples pour former les employés à la
cybersécurité et aux bonnes pratiques à adopter avec des exemples concrets. Sont aussi mises
en avant les solutions de base conçues pour aider les entreprises à se défendre et à récupérer
après un incident de sécurité.
www.quantic-support.fr info-support@quantic. fr
Tél. 01 85 33 01 24
datto.com 3
FORMATION DES EMPLOYÉS À LA CYBERSÉCURITÉD'après plus d’un millier de prestataires informatiques, le manque de vigilance des
employés vis-à-vis de la cybersécurité est une des plus grandes causes de réussite des
attaques de ransomwares contre les PME. C’est pour cela que la formation des
employés est une composante primordiale à un programme de protection vertueux en
matière de cybersécurité. C’est même le seul moyen pour le personnel de comprendre
les menaces auxquelles il peut être confronté et le plus important pour qu'il soit vigilant
à ne pas devenir une victime.
Petit traité de CyberescroquerieEn 2016, on estime qu’environ 80 % des entreprises américaines ont subi une
cyberattaque et que 47 % d’entre elles ont subi un incident apparenté à un ransomware.
La majorité des ransomwares fonctionnent à partir de tactiques qui consistent à
manipuler la ou les personnes dans le but d’accéder aux systèmes ou à des informations
privées. Cette technique de manipulation joue sur notre inclinaison naturelle à la
confiance. Pour les cybercriminels, c’est le moyen le plus simple d’accéder aux
systèmes d’informations des entreprises. Après tout, pourquoi passer du temps à
essayer de découvrir le mot de passe de quelqu’un alors qu’il suffit de le lui demander ?
Aidons les utilisateurs à acquérir du discernement. Ci-dessous, vous trouverez un rapide
tour d’horizon sur les escroqueries et les techniques de manipulation les plus courantes.
Cette liste est à tenir à portée de main des employés dès maintenant. Pourquoi ne pas
l’inclure dans votre livret d’accueil des employés ? S’ils ne connaissent pas les
techniques les plus utilisées par les pirates, ils risquent de tomber dans leurs filets.
D'après + de 1000 prestataires informatiques, le manque de vigilance des employés vis-à-vis de la cybersécurité est une des plus grandes causes de réussite des attaques de ransomwares contre les PME.
$
datto.com 4
5 types de techniques d’extorsion à connaître Phishing : (ou « hameçonnage ») technique principalement utilisée par les pirates
informatiques, habituellement utilisée sous la forme d’un email, d’un chat, d’une
publicité web ou d’un site web conçu pour se faire passer pour une organisation réelle.
Souvent détournés pour donner un sens d’urgence et de gravité, ces emails se font
souvent passer pour un organisme gouvernemental ou une entreprise majeure en
empruntant des graphismes ou logos réels.
Baiting : (ou technique « d’appât”) proche du phishing, le baiting regroupe diverses
manières d’inciter l’utilisateur à échanger ses données contre un appât. « L’appât » peut
être soit numérique, télécharger de la musique ou un film, soit physique, comme un
disque dur externe nommé « Tableau de rémunération des dirigeants 2016 » qui aurait
été laissé sur un bureau afin d’être récupéré par un utilisateur. Une fois l’appât attrapé,
le logiciel malveillant vient s’installer directement dans l’ordinateur de la victime.
Contrepartie : proche de la technique de l’appât, la contrepartie (ou « Quid Pro Quo »)
consiste en une demande de données en échange d’un service. Par exemple, un
employé pourrait recevoir un message d’un pirate lui proposant de lui offrir une
assistance informatique gratuite en échange de ses mots de passe de connexion.
Fausse identité : quand un pirate instaure une relation de confiance avec un utilisateur
en usurpant l’identité d’un collègue ou d’un cadre dirigeant de l’entreprise afin d’accéder
à des données privées. Par exemple, un hacker pourrait se faire passer pour le chef du
support informatique qui vous demanderait des données pour réaliser un audit interne.
Tailgating : (ou technique de « talonnage ») quand une personne non autorisée suit un
employé dans une zone à l’accès réglementé. Typiquement, l’escroc pénètre en même
temps qu’un employé en prétextant avoir oublié son badge. En informatique, l’escroc
demande à un employé d’emprunter son ordinateur portable quelques instants, durant
lesquels il pourra voler des données ou installer un logiciel malveillant.
À RETENIR : La vigilance des utilisateurs sur les techniques de manipulation est essentielle pour assurer la sécurité de l’entreprise.
Si l’utilisateur connaît les principales caractéristiques des attaques, il y a plus de chance pour qu’il les évite. La plupart d’entre nous sommes « visuels », alors assurez-vous que chacun voit des exemples de ces types d’escroquerie.
datto.com 5
À RETENIR : Assurez-vous que tous les utilisateurs soient vigilants sur tout message non attendu contenant une pièce jointe, d’autant plus si c’est un fichier Microsoft Office. Avant d’ouvrir ou de cliquer sur quoi que ce soit, ils doivent s’assurer de l’identité de l’expéditeur.
Comment identifier une Cyberescroquerie
Escroqueries par email
Image 1
L’image ci-dessus est un bon exemple d’email de phishing pour propager Locky, un
type de ransomware courant. Pour le destinataire, l’email paraît venir d’un interlocuteur
professionnel demandant de « voir la facture jointe » en cliquant sur le document Word
attaché. Notez comment ce message semble inoffensif et comment un utilisateur
distrait pourrait l’ouvrir et cliquer, cette action provoquerait la contamination
immédiate. C’est malheureusement ce qui arrive tous les jours.
datto.com 6
Image 2
Ci-dessus, voici un autre exemple d’escroquerie par email, qui ressemble à une note
officielle d’Amazon.com et qui attire le lecteur vers un lien à cliquer plutôt qu’une
pièce jointe, mais dont les effets néfastes sont les mêmes.
Dans l’image 3, remarquez que le lien semble amener le destinataire vers une page
PayPal légitime mais en le survolant, on constate qu’il dirige sur un site malveillant
destiné à injecter un virus ou collecter des informations personnelles.
ATTENTION : Aux noms d’expéditeurs ou de destinataires manquants, aux salutations
génériques, aux adresses mal orthographiées (par exemple
[email protected]) et aux adresses email qui ne correspondent pas au
nom de l’entreprise. Tout email qui demande au destinataire de télécharger un
élément ou de remplir un formulaire sont hautement suspicieu. Un employé ne DOIT
pas cliquer sur quoi que ce soit de suspicieux et signaler cet email à l’administrateur. Image 3
À RETENIR : un email d’un site marchand est probablement suspicieux si le destinataire n’y a pas effectué d’achat récemment. Les employés doivent être avertis et ne JAMAIS cliquer sur quoi que soit, mais se connecter sur le site officiel en tapant l’adresse dans l’explorateur web et contrôler les notifications à cet endroit-là. Tout email de phishing doit être signalé à l’administrateur, surtout SANS cliquer sur aucun lien.
datto.com 7
Sites web malicieux et fausses publicités
À RETENIR : Assurez-vous que les utilisateurs comprennent le bien-fondé d’acquérir un comportement sécuritaire en n’accédant qu’aux sites avec le protocole de communication sécurisé HTTPS et de se méfier des sites demandant des informations personnelles. Aussi, montrez-leur comment contrôler les URL des liens contenus dans les emails (survoler avec la souris permet d’indiquer l’adresse complète dans la barre inférieure de l’explorateur).
image 4
Les sites web malicieux (ou de « malvertising ») sont conçus pour ressembler aux
pages d’un site légitime, avec des graphismes et des logos existants. En copiant si bien
les sites réels, les cybercriminels conduisent un bon nombre d’utilisateurs à donner des
informations personnelles ou à télécharger des logiciels malveillants. Généralement,
les pirates introduisent du code dans un site légitime qui conduit vers un site
malveillant. Vous trouverez ci-dessus un exemple d’une page qui ressemble à un site de
la banque Chase.
datto.com 8
Pop Up
À RETENIR : Assurez-vous que le personnel comprenne que ce type d’escroquerie joue sur la peur de contrevenir à la loi. Les utilisateurs avisés ne devraient JAMAIS cliquer sur ce type de pop-up. Dans le cas contraire, redémarrer le poste ou contacter l’administrateur si la fenêtre est toujours présente. image 5
Une autre escroquerie courante consiste à ouvrir une fenêtre pop-up indiquant que
l’ordinateur a été bloqué par le FBI ou une autre institution pour éviter l’accès à des
contenus illégaux ou à de la pornographie, comme dans l’exemple ci-dessus. Dans cette
fenêtre, il est demandé à l’utilisateur de cliquer sur un lien pour payer une fausse amende.
ATTENTION : Aux liens qui dirigent vers un autre nom de domaine, aux fenêtres pop-up
qui vous demandent des informations personnelles, aux URL mal orthographiées ou
avec des noms de domaine inhabituels. Ce type d’attaque peut être très difficile à
détecter, même avec des employés extrêmement vigilants. C’est pourquoi il est
important de déployer une solution de protection anti-malware haut de gamme — nous
en parlerons plus loin.
datto.com 9
METTRE EN PLACE UN PROGRAMME DE FORMATION À LA CYBERSÉCURITÉL’organisation de formations à la cybersécurité sera dictée par la nature spécifique de votre entreprise
ainsi que des équipements et applications utilisés. Cependant une des priorités est de s’assurer que
tous les nouveaux employés soient formés et que chacun reçoive une formation deux fois par an. Pour
maintenir la sécurité, ce plan doit être structuré afin d’être toujours à jour sur la sécurité et informé
des nouvelles menaces.
Bien qu’une formation formelle soit utile, la formation plus informelle peut être efficace aussi.
Montrez à vos utilisateurs des blogs sur la sécurité, faites-leur remplir en ligne un questionnaire sur la
sécurité, affichez ou diffusez des dessins humoristiques sur ce thème. Faites ce qui vous paraît bon
pour informer les employés sur les bonnes pratiques.
SOLUTIONS DE CYBERSÉCURITÉ INDISPENSABLES POUR LES PMEIl y a un point sur lequel les professionnels de la cybersécurité tombent d’accord : pas un seul produit
disponible aujourd’hui n’est capable de résoudre tous les problèmes liés à la cybersécurité.
Actuellement, il faut plusieurs technologies et procédures pour fournir une gestion globale des
risques. De plus, les PME devraient continuellement contrôler la vulnérabilité de leurs systèmes,
s’informer sur les nouvelles menaces, se mettre dans la peau d’un pirate et ajuster leurs défenses si
besoin.
L'indispensable pour la cyberprotection : la sécurité multi-couchesLogiciel antivirus
Les moyens technologiques pour la sécurité commencent avec un logiciel antivirus. L’antivirus,
comme son nom l’indique, est conçu pour détecter, bloquer ou supprimer les virus et les malwares.
Les logiciels antivirus modernes peuvent protéger des ransomwares, des backdoors, des virus tels
que Cheval de Troie, Vers et Espions. Certaines solutions protègent également contre d’autres
menaces, comme les URL malveillantes, les attaques de phishing, les techniques d’ingénierie sociale,
le vol d’identité, les attaques DDoS.
datto.com 10
Firewalls
Il est essentiel d’avoir un firewall sur le réseau. Les firewalls sont conçus pour surveiller
le trafic entrant et sortant du réseau à partir de la mise en place de règles de
configuration simples — en dissociant le réseau interne de l’accès Internet, pratique qui
n’est pas sécurisée. Les firewalls sont en général déployés en tant qu’appliance sur le
réseau et offrent des fonctionnalités complémentaires comme un réseau virtuel privé
(VPN) pour les employés en télétravail.
Gestion des patchs
La gestion des patchs est un autre point important. Les cybercriminels conçoivent leurs
attaques à partir des vulnérabilités des logiciels les plus courants comme Microsoft
Office ou Adobe Flash Player. Quand ces faiblesses sont détectées, les éditeurs de
logiciel publient des mises à jour pour y remédier. C’est pour cela que l’utilisation de
versions obsolètes des logiciels peut exposer votre entreprise à des failles de sécurité.
Pour automatiser la gestion des patchs, diverses solutions sont disponibles.
Gestion des mots de passe
Des études récentes montrent que les mots de passe faibles sont à l’origine de la montée
des cybermenaces, en causant 76 % des pertes de données. Pour minimiser les risques,
les entreprises devraient adopter des solutions de gestion des mots de passe pour leurs
utilisateurs. Beaucoup utilisent un document listant toutes les informations sur les mots
de passe : une pratique qui n’est pas du tout sûre. De nombreuses applications de gestion
des mots de passe sont disponibles aujourd’hui. Ces outils permettent aux utilisateurs de
garder la trace de leurs mots de passe et si des comptes sont corrompus, tous les mots
de passe peuvent être changés rapidement. Le cryptage des données est aussi une
option à prendre en compte. Par exemple, en cas de vol d’un ordinateur portable, le
cryptage des données du disque les rendra inaccessibles.
11
Ces mesures protègent contre un large spectre de cyberattaques. Mais les menaces de
type ransomware sont en constante évolution et les solutions de sécurité ne sont
qu’une partie de la stratégie de défense. Il vous faut aussi des solutions actives pour
vous permettre de redevenir opérationnel rapidement si vous êtes victime d’une
cyberattaque. Les technologies de protection des données sont la seconde couche de
défense contre le cybercrime.
La solution n°1 de protection Sauvegarde et reprise d'activité
Sauvegarder les données critiques de votre business : c’est ce qui est le plus critique. La
fréquence précise des sauvegardes dépend des besoins spécifiques de votre entreprise.
Généralement, la plupart des entreprises effectuent des sauvegardes journalières et
cela peut convenir pour certaines entreprises. Cependant, les solutions actuelles de
sauvegarde sont conçues pour faire des sauvegardes incrémentales des données tout
au long de la journée afin de minimiser les pertes de données. Avec des solutions qui
procèdent à des sauvegardes régulières, les données peuvent être restaurées à un point
antérieur à une cyberattaque ou une défaillance sans perdre de donnée significative (ce
qui n’est pas le cas avec une sauvegarde datant de la veille).
Il existe des solutions de sauvegarde capables de stocker des sauvegardes basées sur
une image sous un format de machine virtuelle — principalement une capture de vos
fichiers, logiciels et systèmes d’exploitation. Cela permet aux utilisateurs de faire
fonctionner leurs applications à partir des copies des sauvegardes. On appelle en
général cette fonctionnalité « restauration instantanée » ou « restauration en local ».
Chez Datto, cette technologie est appelée la « virtualisation instantanée ». Il devient
possible de faire fonctionner une application sur une machine virtuelle à partir d’une
sauvegarde. Après un incident, l’utilisateur peut continuer à travailler dès que la
restauration est faite sur le serveur. Ainsi le temps d’indisponibilité est
considérablement réduit. Une solution comme Datto améliore encore cette capacité
avec le cloud pour protéger des défaillances qui peuvent toucher les sauvegardes en
local.
datto.com
datto.com 12
Checklist de cybersécurité Les petites et moyennes entreprises sont la cible majeure des cyberattaques. Utilisez cette
checklist pour vous assurer que vos données critiques sont protégées.
o Procédez à un audit sur les risques en matière de sécurité. Comprenez les
impacts que pourraient avoir l’indisponibilité sur votre activité. Par exemple, si
votre entreprise subit un arrêt de son activité à cause d’un ransomware, quelle
serait la perte de revenus ? Grâce aux informations de cet audit, concevez une
stratégie en rapport avec vos besoins.
o Formez vos utilisateurs. Comme les menaces évoluent constamment, mettez en
place un plan pour que vos employés suivent une formation au moins deux fois par
an. Montrez-leur des exemples de menaces tout en leur communiquant des bonnes
pratiques (par exemple verrouiller son poste en partant). Rendez vos employés
responsables.
o Protégez votre réseau et vos postes. Implémentez une politique pour des mots de
passe forts expirant au bout de 90 jours. Déployez un firewall, un VPN et des
technologies antivirus pour assurer que vos réseaux et machines ne soient pas
vulnérables aux attaques. La surveillance permanente des réseaux est également
essentielle, comme le cryptage des disques durs.
o Gardez vos logiciels à jour. Il est indispensable d’utiliser des produits récents et
d’être vigilants sur la gestion des patchs. Les cybercriminels exploitent les
vulnérabilités des logiciels pour accéder aux postes et aux fichiers.
o Établissez des politiques directives pour la cybersécurité. Rédigez des règles et des
instructions claires sur les bonnes pratiques et diffusez-les au personnel. Ces
consignes peuvent varier d’une entreprise à l’autre, mais elles peuvent inclure entre
autres : les réseaux sociaux, le BYOD, les paramètres d’authentification.
o Sauvegardez vos données. Les sauvegardes journalières sont indispensables pour
restaurer des données après corruption ou pertes dues à des failles de sécurité.
Pensez à utiliser un outil moderne de protection des données qui effectue des
sauvegardes incrémentales des données au fur et à mesure de la journée pour éviter
toute perte.
datto.com 13
o Donnez à votre activité la possibilité de fonctionner en continu. Avec des solutions
actuelles comme celles de Datto, faites appel à la restauration instantanée pour
vos données, applications et systèmes. L’indisponibilité peut impacter votre
activité, ne perdez pas de revenus.
o Sachez où sont stockées vos données. Conserver de la visibilité sur ses données
est une pièce indispensable dans le puzzle de la sécurité. Plus il y a d’endroits où
les données sont stockées, plus il y a de risques que des personnes non
autorisées y aient accès. Évitez les zones d’ombre dans vos systèmes
informatiques avec des applications haut-de-gamme pour centraliser et
contrôler vos données.
o Contrôlez l’accès aux postes de travail. Utilisez des cartes d’accès ou des
systèmes de sécurité similaires pour pister l’accès aux installations. Assurez-
vous que les employés utilisent des mots de passe forts sur leurs ordinateurs
fixes et portables. Les accès réservés ne doivent être donnés qu’au personnel
habilité.
ConclusionLe cyber-crime augmente à vitesse grand V et de plus en plus d’entreprises sont ciblées.
Aux États-Unis, c’est près de 44 % des petites entreprises qui ont été victimes d’une
cyberattaque et le nombre continue à augmenter chaque année. Cette criminalité
pourrait coûter plus de 2 milliards de dollars en 2019, soit 4 fois plus qu’en 2015.
Développer une stratégie de sécurité solide et multi-couches peut sauver une entreprise.
Une formation en continu des employés et la mise en place de technologies de sécurité
assureront une première ligne de défense et diminueront considérablement le nombre
de failles de sécurité. Enfin, une solution de sauvegarde et de restauration fiable sera la
seconde couche et la plus importante pour se défendre, en donnant la possibilité aux
entreprises de redémarrer rapidement en cas d’incident majeur.
Pour obtenir des réponses et en savoir plus sur les solutions de PRA Datto :Contactez Quantic Support au 01 85 33 01 24ou visitez le site : www.quantic-support.fr