Sécurité informatique : 3 bonnes pratiques bon marché pour parer 80% des attaques
En matière de sécurité informatique, comme ailleurs, le mieux est l’ennemi du bien. Autrement dit, une solution complexe et coûteuse vous apportera un niveau de sécurité extrême. Alors que quelques outils simples vous protégeront de la majorité des attaques. Et sans vous ruiner. Voici 3 outils que toute bonne PME se doit d’acquérir.
Dans l’univers des petites entreprises, le pragmatisme prime. Parfois à l’excès, ce qui peut conduire au simplisme. Sous prétexte qu’elles n’ont pas des secrets d’Etat à cacher, et que « jusqu’ici, tout va bien », elles se contentent de protections relativement sommaires. Jusqu’au jour où elles se retrouvent attaquées. Et qu’elles prennent conscience de la valeur de leurs données – et de leur informatique en général. Car les temps ont changé, et les attaques à grande échelle n’épargnent désormais plus personne.
Phishing, Social Engineering, Crypto Locking et Ransomware : autant de termes barbares que les PME découvrent, souvent dans la douleur. Si certaines de ces attaques peuvent s’avérer sophistiquées, la grande majorité utilise des méthodes très basiques, en ciblant le maillon le plus faible de la chaîne : l’utilisateur. Au-delà des efforts d’éducation, qui restent cruciaux et qui doivent s’inscrire dans le temps, donner aux collaborateurs quelques outils simples protégera votre entreprise comme jamais. Simples, mais pas simplistes. Voyons cela.
MFA, la fusée à deux étages (ou plus) des mots de passe
MFA signifie Multi-Factor Authentication. Ou en bon Français, authentification à facteur multiples. Vous êtes bien avancé… Il s’agit concrètement de ne plus baser l’authentification à un service – typiquement la messagerie d’entreprise – sur un unique mot de passe, mais sur une série de moyens, en cascade. Par exemple, après avoir rentré votre mot de passe, vous serez amené à confirmer votre authentification. Cette confirmation pourra passer par un SMS, ou une application qui générera un code à usage unique sur votre smartphone.
Dans la plupart des cas, cette authentification sera donc double. Ce qui vous prémunit déjà des attaques les plus courantes. Parmi elles, le phishing. Vous avez probablement déjà reçu des emails vous invitant à confirmer votre adresse email et votre mot de passe, de la part de sites institutionnels (la Poste, ou une banque). Il s’agit en général de sites contrefaits, dans le seul but de vous mettre en confiance et de vous voler votre mot de passe de messagerie. La double authentification empêchera donc les pirates d’accéder à votre messagerie. Pour autant, votre mot de passe est compromis, et vous devrez le changer. Surtout si vous l’utilisez de manière répétée, un peu partout.
Le gestionnaire de mot de passe, parade ultime
Avec en moyenne 40 mots de passe à retenir, la vie de l’utilisateur informatique est parfois complexe. Là encore, en excès en entraîne un autre : cette avalanche de mots de passe aboutit à des méthodes qui annihilent tout l’intérêt de ces codes. Qui finissent donc fatalement dans des fichiers, des Post-It ou des listes imprimées, à la vue du premier visiteur venu. Et même si l’authentification MFA vous protège, toutes les applications ne sont pas compatibles. Vos mots de passe exposés vous font donc courir de grands risques.
Office 365 protège désormais nativement sa messagerie Exchange avec MFA, notamment avec une application pour smartphone très efficace.
Comment alors vivre en sécurité dans un monde numérique tout en simplifiant la gestion des codes de protection ? Avec un gestionnaire de mot de passe, vous ne craignez plus d’en avoir un différent par application, et qui soit long et complexe. Une application les gère pour vous. Stockés et cryptés dans le Cloud, vos mots de passe sont accessibles via une simple application en ligne ou sur votre smartphone. Mieux, les codes peuvent être copiés-collés sans même apparaître à l’écran, ou être transmis automatiquement dans les formulaires de connexion. L’accès à l’application est protégé quant à lui… par du MFA, ou un accès biométrique. La boucle est bouclée.
Le backup, cette pierre angulaire de votre protection
Imaginons maintenant que, malgré toutes ces protections (ou, en leur absence), un pirate accède à vos fichiers. Pour être honnête, leur contenu ne l’intéresse probablement pas beaucoup. Pas autant que vous en tout cas. Et c’est là tout l’intérêt de l’indélicat hacker : il va crypter vos données à l’aide d’un ransomware, un logiciel malveillant, et vous demander une rançon. Dans la plupart des cas, payer ne vous servira à rien, et vos données ne seront pas décryptées. Si tel devait être le cas toutefois, ne vous imaginez pas en veine : il y a fort à parier que l’attaque se reproduira si vous ne prenez pas d’autre mesure de protection.
Dans tous les cas, comptez plutôt ne vous en remettre qu’à vous-mêmes. En la matière, une stratégie de backup adaptée sera votre meilleure alliée. Une stratégie Cloud d’ailleurs. Pourquoi ? Si vos sauvegardes sont bien conçues, mais qu’elles tournent sur un disque externe branché à votre serveur, comptez sur le pirate et son ransomware pour ne pas les oubliez au moment du cryptage. Vos jolis backups ne vous serviront à rien. Alors que si vos données sont externalisées dans le Cloud, elles seront épargnées par la diffusion du virus dans votre réseau. Avec une rétention efficace (7 jours minimum), vous aurez la possibilité de récupérer une bonne partie des fichiers en état de marche, même si la catastrophe se produit pendant un week-end prolongé.
La sécurité n’est pas toujours une histoire d’argent
Reste à savoir combien vous coûtera ce trio d’outils indispensables. Commençons par le MFA. Réservé il y a peu aux grandes entreprises, en contrepartie d’investissements colossaux, le MFA est maintenant à la portée de tous. En tout cas pour les applications qui le supportent nativement. Le meilleur exemple ? Office 365 protège désormais nativement sa messagerie Exchange avec MFA, notamment avec une application pour smartphone très efficace. Idem pour Dropbox Business ou Windows pour ne citer qu’eux. Pas de surcoût donc.
Pour un gestionnaire de mot de passe, comptez quelques francs par mois et par utilisateur. Probablement donc moins que le coût mensuel du café à la pause pour chaque utilisateur. Et pour un backup Cloud externalisé digne de ce nom, comptez quelques dizaines de francs par mois pour quelques centaines de gigaoctets. Un coût qui sera variable en fonction du volume de vos données. Mais finalement, pas grand-chose à l’échelle de votre entreprise.
Se constituer un kit de survie d’entreprise basé sur ces 3 bonnes pratiques informatique est donc à la portée de n’importe quelle PME. Peu intrusifs, ces outils se greffent sur l’existant, et agissent comme une couche de sécurité supplémentaire sans rien remettre en cause. Leur coût abordable devrait achever de vous convaincre. Ne reste plus qu’à franchir le pas. Sans trop tarder toutefois, les hackers de tout poil, eux, ne vous attendrons pas.
Emmanuel Dardaine