Dans le monde technologique d’aujourd’hui, il est impossible pour les entreprises de fonctionner sans technologie, ce qui les expose chaque jour à des cyberattaques potentiellement coûteuses. Alors que les entreprises augmentent continuellement leurs budgets pour la cybersécurité, le nombre d’incidents ne cesse d’augmenter en fréquence et en gravité au fil des ans.
En effet, les pirates informatiques modernes évoluent aussi rapidement que les technologies, ce qui oblige les entreprises à faire preuve de proactivité dans la gestion de leur cybersécurité. Voici cinq bonnes pratiques en cybersécurité que les entreprises de toutes tailles peuvent appliquer pour se protéger contre les pirates informatiques:
1. Créer des copies de sauvegarde
Cette pratique, bien qu’extrêmement important, est souvent négligé par beaucoup d’entreprises, peu importe leur taille. Il est essentiel qu’elles créent des copies de sauvegarde de tout ce qu’elles considèrent important pour leurs opérations habituelles, qu’il s’agisse de machines virtuelles, de bases de données ou de serveurs internes.
Celles-ci devraient non seulement créer des copies de sauvegarde, mais devraient également héberger leurs sauvegardes par le biais de services externes pour éviter des événements catastrophiques similaires à l’incident de VFEmail, dont l’entreprise entière a été détruite en moins de quelques heures suivant l’intrusion d’un pirate informatique. De ce fait, cette entreprise a vu toutes ses données critiques, son infrastructure dans le nuage et ses copies sauvegardes gardées à l’interne formatées avant qu’elle ne puisse y remédier de quelque manière que ce soit.
Les entreprises devraient également insister sur l’utilisation de services de «copies illimitées», qui permettent de créer des copies de sauvegarde chaque fois qu’une modification est apportée à un fichier, plutôt que de créer des copies de sauvegarde suivant un horaire établi. Ainsi, si une entreprise subit une attaque par un logiciel ransomware, elle pourra revenir à l’état exact où elle se trouvait au moment où elle a été attaquée.
2. Établir des politiques de mots de passe
La mise en place de politiques de mots de passe est l’un des moyens les plus faciles de protéger votre entreprise parmi les cinq bonnes pratiques en cybersécurité présentées dans cet article.
Les employés devraient non seulement avoir des mots de passe utilisés exclusivement au travail, mais un mot de passe ne devrait jamais être réutilisé à travers l’ensemble des services de l’entreprise. Par exemple, vos administrateurs réseau ne devraient jamais utiliser le même mot de passe pour toutes les technologies qu’ils gèrent. Lorsqu’un pirate informatique est en mesure de compromettre un mot de passe, que ce dernier ait été mal encrypté dans le système ou trouvé ailleurs, il tentera de l’utiliser partout dans le système afin de s’authentifier. Cela lui permettra parfois d’avoir accès à des composants très critiques pour votre entreprise.
Aussi, lorsqu’une base de données est compromise par un pirate informatique, comme dans le cas de la brêche de données de LinkedIn, les mots de passe sont vendus en ligne sur le Dark Web. Il s’agit généralement du premier élément recherché par les pirates lorsqu’ils tentent de pirater une entreprise. Si un employé utilise le même mot de passe pour son travail que dans sa vie personnelle, il est très probable que ce mot de passe ait déjà été compromis en ligne et qu’il sera utilisé par des pirates informatiques pour tenter de s’authentifier dans les diverses technologies utilisées par l’entreprise.
Les pirates informatiques utilisent également des outils avancés qui exploitent une combinaison de dictionnaires, de listes de mots de passe communément utilisés et de modèles de mots de passe communs (par exemple : mot + nombres + symbole) leur permettant de tenter des millions de combinaisons de mot de passe en quelques minutes. En outre, le fait d’avoir une politique de mot de passe robuste aide à prévenir l’utilisation de ces outils. Par exemple, en exigeant l’utilisation de mots de passe générés automatiquement à l’aide de gestionnaires de mots de passe tel que Lastpass qui sont presque impossibles à deviner avec ces outils avancés.
Cette politique de mots de passe devrait également exiger une authentification multifactorielle dans la mesure du possible. Des exemples d’authentification multifactorielle incluent :
- Les bandes magnétiques de cartes
- Les codes de sécurité de cartes
- Les codes d’accès (tels qu’un NIP) envoyés sur leurs appareils mobiles
- La biométrie (comme les empreintes digitales ou la reconnaissance faciale)
- Les questions / réponses (l’utilisateur répond à une question habituellement relative à des renseignements personnels que seul lui connaît.)
L’authentification multifactorielle offre un niveau de protection supplémentaire en cas de fuite ou de la découverte du mot de passe dans votre système. Si ces meilleures pratiques sont respectées et que tous les mots de passe sont changés sur une base régulière, vous atténuerez une grande partie des risques liés à la cybersécurité au sein de votre entreprise.
3. Former les employés sur les bonnes pratiques en cybersécurité
Les employés qui traitent régulièrement des courriels devraient recevoir une formation approfondie sur les bonnes pratiques en cybersécurité. L’an dernier, 90% des cyberattaques furent causées par une erreur humaine, la plupart par le bias d’hameçonnage. (Le fait d’envoyer un courriel coercitif pour infecter un système et parfois même pour en obtenir l’accès.)
Les attaques par hameçonnage ont entraîné certains des plus grands incidents de cybersécurité de l’histoire, notamment l’attaque par logiciel ransomware du NHS qui a interrompu les soins aux patients pendant une semaine dans divers centres médicaux au Royaume-Uni. Ces attaques exigent peu d’efforts de la part des pirates informatiques et peuvent avoir des conséquences dramatiques.
Nous effectuons des tests d’hameçonnage régulièrement avec nos clients afin de déterminer le niveau de sensibilisation de leurs employés aux risques d’hameçonnage, et nous avons remarqué des tendances alarmantes révélant que la plupart des entreprises ne fournissent pas de formation appropriée sur les risques en matière de cybersécurité.
Les employeurs devraient fournir à leurs employés des exemples d’attaques par hameçonnage ainsi que leur expliquer la probabilité qu’ils soient également touchés par cela. En cas d’incertitude quant à la sensibilisation de leurs employés, ils devraient envisager d’effectuer des tests d’hameçonnage pour prouver à leurs employés les risques que cela pourrait représenter pour leur entreprise.
4. Mettre à jour vos logiciels dès que possible
La plupart des gens sont ennuyés par la perspective de mettre à jour leur système d’exploitation et leurs logiciels, mais cela ne devrait jamais être pris à la légère. La majorité des correctifs sont publiés dans le but de corriger des failles de sécurité, ce qui explique pourquoi ils ne doivent jamais être négligés.
Par exemple, Microsoft a récemment publié une mise à jour d’urgence pour Internet Explorer afin de corriger une vulnérabilité qui aurait pu permettre aux pirates informatique d’obtenir un accès administrateur complet à l’ordinateur de l’utilisateur.
Les pirates informatiques sont toujours à l’affût de ces vulnérabilités et celles-ci font partie de leur boite à outils qu’ils tenteront d’utiliser chaque fois que l’occasion se présentera.
5. Se méfier des privilèges des utilisateurs
Les récentes brêches de données (comme la brêche de données de Desjardins) démontrent qu’aucun risque ne doit être pris lorsqu’il s’agit des privilèges des utilisateurs.
Un employé malveillant ayant plus de privilèges qu’il ne devrait en avoir pourrait facilement accéder à des données sensibles, en faire des copies et les vendre sur le Dark Web à des acteurs malveillants. Cette fuite de renseignements pourrait entraîner de lourdes amendes liées à l’infraction de la loi sur la protection de la vie privée, des atteintes importantes à la réputation dont il est difficile de récupérer, la divulgation de secrets commerciaux ainsi que des renseignements techniques qui pourraient ensuite servir aux pirates informatiques pour accéder aux systèmes vitaux de votre entreprise.
Les entreprises devraient effectuer un audit de leurs systèmes internes régulièrement pour s’assurer que les privilèges des utilisateurs sont respectés par leur infrastructure. Bien que les privilèges des utilisateurs soient généralement bien établis et qu’on leur accorde le moins de privilèges possible dans le cadre de leur écosystème, il est souvent très facile pour ces utilisateurs d’augmenter leurs privilèges ou de contourner leurs privilèges limités.
En conclusion
Ces cinq bonnes pratiques en cybersécurité, bien que faciles à appliquer, sont souvent négligées, ce qui laisse les entreprises vulnérables à divers types d’incidents de cybersécurité dont il peut être difficile de se remettre.
Vous avez besoin d’évaluer le niveau de sensibilisation de vos employés, de vérifier vos privilèges d’utilisateur ou de vous assurer que ces meilleures pratiques sont bien respectées au sein de votre entreprise? Contactez nos experts pour évaluer vos risques de cybersécurité face aux pirates informatiques modernes.
