Sécurité informatique : 3 bonnes pratiques bon marché pour parer 80% des attaques

En matière de sécurité informatique, comme ailleurs, le mieux est l’ennemi du bien. Autrement dit, une solution complexe et coûteuse vous apportera un niveau de sécurité extrême. Alors que quelques outils simples vous protégeront de la majorité des attaques. Et sans vous ruiner. Voici 3 outils que toute bonne PME se doit d’acquérir.

Dans l’univers des petites entreprises, le pragmatisme prime. Parfois à l’excès, ce qui peut conduire au simplisme. Sous prétexte qu’elles n’ont pas des secrets d’Etat à cacher, et que « jusqu’ici, tout va bien », elles se contentent de protections relativement sommaires. Jusqu’au jour où elles se retrouvent attaquées. Et qu’elles prennent conscience de la valeur de leurs données – et de leur informatique en général. Car les temps ont changé, et les attaques à grande échelle n’épargnent désormais plus personne.

Phishing, Social Engineering, Crypto Locking et Ransomware : autant de termes barbares que les PME découvrent, souvent dans la douleur. Si certaines de ces attaques peuvent s’avérer sophistiquées, la grande majorité utilise des méthodes très basiques, en ciblant le maillon le plus faible de la chaîne : l’utilisateur. Au-delà des efforts d’éducation, qui restent cruciaux et qui doivent s’inscrire dans le temps, donner aux collaborateurs quelques outils simples protégera votre entreprise comme jamais. Simples, mais pas simplistes. Voyons cela.

MFA, la fusée à deux étages (ou plus) des mots de passe

MFA signifie Multi-Factor Authentication. Ou en bon Français, authentification à facteur multiples. Vous êtes bien avancé… Il s’agit concrètement de ne plus baser l’authentification à un service – typiquement la messagerie d’entreprise – sur un unique mot de passe, mais sur une série de moyens, en cascade. Par exemple, après avoir rentré votre mot de passe, vous serez amené à confirmer votre authentification. Cette confirmation pourra passer par un SMS, ou une application qui générera un code à usage unique sur votre smartphone.

Dans la plupart des cas, cette authentification sera donc double. Ce qui vous prémunit déjà des attaques les plus courantes. Parmi elles, le phishing. Vous avez probablement déjà reçu des emails vous invitant à confirmer votre adresse email et votre mot de passe, de la part de sites institutionnels (la Poste, ou une banque). Il s’agit en général de sites contrefaits, dans le seul but de vous mettre en confiance et de vous voler votre mot de passe de messagerie. La double authentification empêchera donc les pirates d’accéder à votre messagerie. Pour autant, votre mot de passe est compromis, et vous devrez le changer. Surtout si vous l’utilisez de manière répétée, un peu partout.

Le gestionnaire de mot de passe, parade ultime

Avec en moyenne 40 mots de passe à retenir, la vie de l’utilisateur informatique est parfois complexe. Là encore, en excès en entraîne un autre : cette avalanche de mots de passe aboutit à des méthodes qui annihilent tout l’intérêt de ces codes. Qui finissent donc fatalement dans des fichiers, des Post-It ou des listes imprimées, à la vue du premier visiteur venu. Et même si l’authentification MFA vous protège, toutes les applications ne sont pas compatibles. Vos mots de passe exposés vous font donc courir de grands risques.

Office 365 protège désormais nativement sa messagerie Exchange avec MFA, notamment avec une application pour smartphone très efficace.

Comment alors vivre en sécurité dans un monde numérique tout en simplifiant la gestion des codes de protection ? Avec un gestionnaire de mot de passe, vous ne craignez plus d’en avoir un différent par application, et qui soit long et complexe. Une application les gère pour vous. Stockés et cryptés dans le Cloud, vos mots de passe sont accessibles via une simple application en ligne ou sur votre smartphone. Mieux, les codes peuvent être copiés-collés sans même apparaître à l’écran, ou être transmis automatiquement dans les formulaires de connexion. L’accès à l’application est protégé quant à lui… par du MFA, ou un accès biométrique. La boucle est bouclée.

Le backup, cette pierre angulaire de votre protection

Imaginons maintenant que, malgré toutes ces protections (ou, en leur absence), un pirate accède à vos fichiers. Pour être honnête, leur contenu ne l’intéresse probablement pas beaucoup. Pas autant que vous en tout cas. Et c’est là tout l’intérêt de l’indélicat hacker : il va crypter vos données à l’aide d’un ransomware, un logiciel malveillant, et vous demander une rançon. Dans la plupart des cas, payer ne vous servira à rien, et vos données ne seront pas décryptées. Si tel devait être le cas toutefois, ne vous imaginez pas en veine : il y a fort à parier que l’attaque se reproduira si vous ne prenez pas d’autre mesure de protection.

Dans tous les cas, comptez plutôt ne vous en remettre qu’à vous-mêmes. En la matière, une stratégie de backup adaptée sera votre meilleure alliée. Une stratégie Cloud d’ailleurs. Pourquoi ? Si vos sauvegardes sont bien conçues, mais qu’elles tournent sur un disque externe branché à votre serveur, comptez sur le pirate et son ransomware pour ne pas les oubliez au moment du cryptage. Vos jolis backups ne vous serviront à rien. Alors que si vos données sont externalisées dans le Cloud, elles seront épargnées par la diffusion du virus dans votre réseau. Avec une rétention efficace (7 jours minimum), vous aurez la possibilité de récupérer une bonne partie des fichiers en état de marche, même si la catastrophe se produit pendant un week-end prolongé.

La sécurité n’est pas toujours une histoire d’argent

Reste à savoir combien vous coûtera ce trio d’outils indispensables. Commençons par le MFA. Réservé il y a peu aux grandes entreprises, en contrepartie d’investissements colossaux, le MFA est maintenant à la portée de tous. En tout cas pour les applications qui le supportent nativement. Le meilleur exemple ? Office 365 protège désormais nativement sa messagerie Exchange avec MFA, notamment avec une application pour smartphone très efficace. Idem pour Dropbox Business ou Windows pour ne citer qu’eux. Pas de surcoût donc.

Pour un gestionnaire de mot de passe, comptez quelques francs par mois et par utilisateur. Probablement donc moins que le coût mensuel du café à la pause pour chaque utilisateur. Et pour un backup Cloud externalisé digne de ce nom, comptez quelques dizaines de francs par mois pour quelques centaines de gigaoctets. Un coût qui sera variable en fonction du volume de vos données. Mais finalement, pas grand-chose à l’échelle de votre entreprise.

Se constituer un kit de survie d’entreprise basé sur ces 3 bonnes pratiques informatique est donc à la portée de n’importe quelle PME. Peu intrusifs, ces outils se greffent sur l’existant, et agissent comme une couche de sécurité supplémentaire sans rien remettre en cause. Leur coût abordable devrait achever de vous convaincre. Ne reste plus qu’à franchir le pas. Sans trop tarder toutefois, les hackers de tout poil, eux, ne vous attendrons pas.

Emmanuel Dardaine

emmanuel dardaine expert cloud

Mots de passe : 4 raisons pour mettre en place un gestionnaire efficace

40 : c’est le nombre moyen de mots de passe que nous devons mémoriser. Tous les retenir n’est pas aisé. Surtout lorsqu’ils sont peu utilisés. Pour aider notre mémoire, les moyens ne manquent pas, mais ils ne sont pas tous sécurisés. Heureusement, le gestionnaire de mot de passe peut vous sauver.

Mots de passe simplistes ou réutilisés en masse, Post-It sous le clavier, ou encore fichier Excel non crypté : ce sont bien souvent les premiers recours à notre mémoire défaillante. On ne va pas se mentir : nous y avons tous eu recours. Mais à quel risque ? Car, ne l’oublions pas, l’objectif premier du mot de passe est de sécuriser les accès à nos services.

Imaginez qu’un individu mal intentionné découvre le mot de passe que vous utilisez partout, ou mette la main sur votre listing de codes, et vous vous retrouvez dans une situation (très) inconfortable. Et vous faite courir à toute votre entreprise des risques énormes. Il existe pourtant une alternative sérieuse, le gestionnaire de mot de passe, qui vous simplifie la vie tout en garantissant un niveau de sécurité maximal. Petit tour d’horizon sur cet outil incontournable.

Mais qu’est-ce qu’un gestionnaire de mots de passe ?

Il s’agit d’un service – souvent en ligne – qui permet à un utilisateur de gérer et stocker ses mots de passe dans une base de données centralisée et sécurisée. L’accès au gestionnaire s’effectue via un mot de passe unique. Ou mieux, par votre empreinte digitale si votre smartphone le supporte.

Grâce au gestionnaire de mots de passe, l’utilisateur s’affranchit donc de devoir se souvenir de l’intégralité de ses codes, et peut ainsi sans contrainte adopter une stratégie de mot de passe plus complexe – et donc plus robuste. Et définir un mot de passe différent pour chaque application ou service.

Il faut en effet garder à l’esprit que la diversification des mots de passe est un facteur clé de la sécurisation des données. 83% des employés utilisent le même mot de passe pour plusieurs usages et/ou applications. L’interception d’un seul mot de passe peut alors rendre vulnérable tout un ensemble de comptes et de documents.

Le gestionnaire se charge de synchroniser ensuite votre base de mots de passe sur le Cloud en utilisant un cryptage fort de bout en bout. Vous retrouvez l’ensemble de vos codes sur n’importe quel appareil. Pour accéder à vos services n’importe où, et en toute sécurité.

Intégration au navigateur et générateur de mots de passe

Mais au-delà du stockage, du cryptage et de la synchronisation de votre base de codes personnels, les gestionnaires de mot de passe vous facilitent aussi la vie en accélérant l’accès aux informations.

La plupart d’entre eux offrent des extensions qui s’intègrent directement dans votre navigateur préféré. Ainsi, lors de la création d’un nouvel identifiant sur un site web, il sera enregistré directement dans votre base. Lors de visites ultérieures, il vous proposera automatiquement de remplir à votre place les champs de connexion. Fini donc les copier-coller.

83% des employés utilisent le même mot de passe pour plusieurs usages et/ou applications. L’interception d’un seul mot de passe peut alors rendre vulnérable tout un ensemble de comptes et de documents.

Fini aussi le casse-tête pour générer des mots de passe répondant aux conditions de complexité de plus en plus exigeantes et variées des sites Web ou des services en ligne. Un générateur intégré au gestionnaire sera toujours plus inventif que vous. Et si le code est incompréhensible ? Ca n’est plus un souci, vous n’aurez de toute façon pas à le retenir.

Une arme redoutable contre le phishing

En faisant appel à l’extension de gestionnaire de mots de passe dans votre navigateur, vous vous protégez également des risques de phishing sans vous en rendre compte. Le phishing, vous savez, ce sont ces emails que vous recevez de la Poste ou d’UBS, et qui vous invitent à saisir votre mot de passe.

La technique est simple : pour récupérer vos identifiants, les hackers dupliquent des pages de site internet – par exemple, l’interface de connexion à votre site de e-banking – tout en utilisant une URL de connexion quasi identique à la vraie (typiquement, un caractère ajouté au milieu du lien de connexion).

Même en étant vigilant, il est très simple de se faire piéger. Contrairement au commun des mortels, le gestionnaire de mots de passe sera en mesure d’identifier à coup sûr la fausse URL et n’indiquera donc pas vos informations de connexion. Et vous serez naturellement mis sur vos gardes.

Vos mots de passe dans votre poche

Atout supplémentaire, les gestionnaires de mots de passe – majoritairement basés sur le Cloud – offrent une grande souplesse. Que ce soit sur votre ordinateur – professionnel ou personnel – ou votre smartphone, vos mots de passe sont accessibles dès que vous êtes connectés à Internet.Gestionnaire de mots de passe LastPass

Et pour les utilisateurs qui en veulent encore plus, l’ajout d’une authentification renforcée permet d’en remettre une couche. Certains choisirons l’authentification multi-facteurs, qui couple le mot de passe d’accès au gestionnaire avec une vérification supplémentaire, via un SMS ou une application tierce. D’autres opteront pour l’authentification biométrique, en mettant à profit les capacités de leur smartphone.

Lutter contre les regards indiscrets

Le mieux est parfois l’ennemi du bien. Même avec une protection digne de Fort Knox, un simple regard malveillant pourrait percer le secret de vos mots de passe. Par-dessus votre épaule dans le train ou l’avion par exemple, au moment de vous en servir.

Mais le gestionnaire de mots de passe ne les affiche jamais par défaut. Il peut vous proposer de les copier alors même qu’ils n’apparaissent pas en clair. Ou même de les insérer directement dans les formulaires de connexion, avec l’extension de navigateur mentionnée plus haut. Tout en vous laissant la possibilité de les consulter en clair, à votre demande et d’un simple clic, à l’abri des regards.

Vous l’aurez compris, le gestionnaire de mot de passe n’a que des qualités : il les crypte et les stocke pour vous, en optimise la complexité, et vous rend leur usage enfin simple et sécurisé. De quoi en finir définitivement avec les listes en clair et les mémos en papier. Et quand on sait qu’une solution professionnelle de ce type revient à quelques CHF 50.- par utilisateur et par an, il n’y a plus lieu d’hésiter.

Rodolphe Adam

Directeur commercial société informatique Cloud

Simplifiez et fiabilisez vos sauvegardes avec Steel Remote Backup

Parfois, nous nous sentons à l’abri avec nos solutions de sauvegarde. En réalité, ce n’est pas toujours le cas et elles ne demandent pas toutes les mêmes efforts de gestion. Savez-vous par exemple que 50% des bandes de sauvegarde sont défectueuses ?

Alors si vous ne souhaitez pas jouer à la « roulette russe » avec vos données, sachez qu’il existe des solutions de sauvegarde Cloud simples, avec des niveaux de disponibilité élevés, et 100 % managées. Envie d’en savoir plus ? Découvrez comment en vidéo !

Vous avez encore des questions ? Vous souhaitez tester notre service de sauvegarde Cloud sur un de vos postes de travail ou un de vos serveurs ? Nous nous ferons un plaisir de répondre à vos questions et nous vous proposerons de tester gratuitement Steel Remote Backup pendant 1 mois. Contactez-nous !

Connaissez-vous le DaaS (Desktop as a Service) ?

Il y a quelques semaines, Microsoft a annoncé la mise à disposition en preview de son DaaS (Desktop as a Service). Après les serveurs, la messagerie ou encore la suite Office, Microsoft met à disposition l’un des derniers maillons manquant à la dématérialisation de l’informatique dans le Cloud : un poste de travail virtuel. Découvrez en vidéo tout ce que vous devez savoir sur le DaaS.

Cette annonce récente nous donne l’occasion de parler du Desktop as a Service. Fonctionnement, fournisseurs, usages, avantages : un véritable tour d’horizon en moins de 3 minutes. Vous aurez ainsi quelques billes de plus dans votre sac pour aborder sereinement le renouvellement (ou pas) de votre parc informatique. Bon visionnage !

 

 

Envie de tester un poste de travail virtuel dans le Cloud ? Prenez contact avec nous en ajoutant votre adresse e-mail juste ci-dessous.

 

Vous changez de prestataire informatique ? Voici 3 conseils pour viser dans le mille.

Il en va ainsi des fournisseurs de service informatique : on les remplace parfois. Par dépit, par déception, ou par attrait de la concurrence. Ou tout simplement pour gagner en modernité. Mais un tel virage est lourd de conséquence, et la seule envie de changer ne doit pas tout diriger. Aussi devez-vous vous poser quelques questions fondamentales avant de faire un choix. Et le bon.

L’informatique des entreprises, et l’infrastructure qui la soutient, a longtemps été perçue comme un actif de la société. Avec tout ce qui se réfère aux actifs : investissement, amortissement, dépréciation, entretien, vétusté. Et finalement : remplacement. Pourtant, bien des moyens mis au service de la production n’appartiennent plus désormais aux sociétés : machines, imprimantes, véhicules, locaux. Bonne nouvelle : l’informatique prend aussi ce virage depuis quelques années. La numérisation galopante des entreprises requiert de renforcer cette stratégie, afin de gagner en souplesse, et finalement de rester dans la course. Alors si le changement de prestataire informatique vous titille, voici 3 critères à considérer en priorité pour ne pas vous tromper.

Externalisation tout compris

Pour ne pas avoir à investir dans l’informatique, et subir la gestion d’un actif de plus, l’externalisation reste le meilleur choix. Par externalisation, on entend la location de ressources informatiques (par opposition à un achat). Pour un prix fixe mensuel, vous connaissez à l’avance les ressources dont vous disposez : la puissance de calcul, la mémoire, l’espace disque pour le stockage de vos données. Idéalement, cette location doit être sans engagement dans le temps : dans un univers économique des plus mouvants, difficile de savoir de quoi demain sera fait. Alors, si on vous propose un contrat sur plusieurs années, vous n’avez pas frappé à la bonne porte. La preuve ? D’après ICT Journal, plus de 50% des PME suisses auront externalisé leurs données dans le Cloud d’ici à 2020.

D’ici 1 à 2 années, une majorité de PME helvètes aura migré dans un Cloud public.

Swico, 2018

Mais l’externalisation ne s’arrête pas là. Elle comprend aussi la gestion de votre parc. Cette gestion sous-entend la maintenance des machines – la mise-à-jour des logiciels et leur configuration éventuelle, la supervision des services, le support. Idéalement, ce support doit être fourni sans limite de temps, pour un tarif fixe, ou inclus dans votre forfait. Car à quoi bon louer une infrastructure pour un forfait mensuel, si la main d’œuvre finit par se payer au prix fort via des carnets d’heure, et fait exploser votre budget ? Quitte à pousser le bouchon un peu plus loin, exigez une visite mensuelle de vos machines accompagnée d’un rapport synthétique. Cela vous fournira la preuve que le travail a bel et bien été fait.

Choisissez un guide pour le Cloud public

Maintenant que vous avez adressé la question du « quoi », posez-vous la question du « comment ». Autrement dit : quelle infrastructure externalisée sera mise à ma disposition ? Le must en terme d’infrastructure informatique est aujourd’hui proposé par les acteurs majeurs du Cloud public. Leur capacité à fournir des services de très haute qualité, à coût modique, et leur rythme d’innovation élevé relèguent progressivement les petites infrastructures locales au rang de services de niche. Signe qui ne trompe pas, Swico, l’organisme qui fédère les sociétés de service informatique en Suisse, estime que d’ici 1 à 2 années une majorité de PME helvètes aura migré dans un Cloud public.

Votre nouveau prestataire informatiques doit donc vous proposer de facto un hébergement dans le Cloud public. Dans le cas contraire, vous devez être méfiant, au risque de prendre un retard considérable. Et en tout cas le challenger sur les niveaux de services qu’il pourra vous proposer. A titre d’exemple, la disponibilité des données dans le Cloud public est généralement de 99.99%, soit moins d’une heure d’indisponibilité par an. Et un serveur Cloud dans le même environnement sera disponible à 99.95%. Evidemment, des pénalités doivent s’appliquer au fournisseur si ces niveaux de service n’étaient pas atteints.

La norme : la location sans engagement

Qui dit externalisation dans le Cloud public, dit donc location. Ce système de consommation de services devient la norme, dans tous les domaines. Mais pas n’importe quelle location : vous devez exiger de la souplesse. Vous payez votre forfait mobile de mois en mois, et le plus souvent sans engagement dans le temps : c’est bien. Mais surtout, vous avez la possibilité de l’adapter au fil du temps : si vous partez en vacances, ajouter du roaming pour 1 mois seulement, c’est mieux. Et si votre informatique était régie par les mêmes règles ?

C’est exactement ce que vous êtes en droit d’exiger. Si on vous propose de racheter du matériel lors d’un changement de prestataire informatique, vous devrez dimensionner pour tenir quelques années. Et si cela ne suffit pas, vous devrez repasser à la caisse. Mais si vous aviez vu trop large ou qu’une de vos applications ne soit finalement plus utile ? Difficile de vous retourner vers lui et lui rendre quelques GHz ou quelques Mégaoctets. Ou même un serveur complet. C’est pourtant ce que le Cloud public vous permet : plutôt que de rester avec du matériel sur les bras, vous pouvez adapter les ressources à la hausse mais aussi – et surtout – à la baisse.

Vous l’aurez compris : en informatique aussi, les temps changent. Fini les ordinateurs à l’ancienne, et les serveurs poussiéreux qui traînent sous les bureaux. Vos ressources IT se doivent de suivre la cadence, pour faire face aux défis auxquels votre PME est confrontée. Au-delà des ces 3 conseils basiques, c’est toute votre stratégie qui doit s’adapter à la modernité ambiante. Alors si l’envie vous prenait de toute remettre à plat, et d’aller un peu plus loin, n’hésitez pas à nous mettre au défi de votre informatique. En un clic grâce au formulaire ci-dessous.

Emmanuel Dardaine

emmanuel dardaine expert cloud

 

 

 

 

 

 

Serveurs Cloud

Wifi professionnel

Réseau informatique

Téléphonie IP

NAS Synology