1. Être vigilant de l’ordinateur à l’imprimante
On oublie souvent que les cyber-attaques ne passent pas que par les ordinateurs. Elles peuvent se faufiler via une multitude de supports : serveurs - isolés ou en réseaux, reliés ou non à Internet-, équipements périphériques tels qu’imprimantes, téléphones mobiles, tablettes, etc. L’ensemble du personnel doit être informé de l’ensemble de ces portes d’accès aux malwares, suivre une formation si nécessaire. Des piqures de rappel sont les bienvenues, compte-tenu d’un inévitable turn-over, même minime.
2. Bien choisir les mots de passe
Un mot de passe sécurisé comporte au moins 12 caractères, mêlant majuscules, minuscules, chiffres et caractères spéciaux. Il ne doit pas correspondre à une date de naissance ou à un mot du dictionnaire. Pour une question d’efficacité, il ne faut jamais écrire ses mots de passe sur un post-it ou le stocker dans un fichier informatique. Inutile aussi de préenregistrer ses mots de passe dans les navigateurs. Il convient enfin de modifier les identifiants et mots de passe définis par défaut (imprimantes, serveur, box…).
3. Mettre à jour les logiciels
Il ne faut pas oublier d’effectuer des mises à jour régulières des logiciels utilisés. Le mieux, c’est de les programmer de façon automatique. Attention à n’utiliser que les sites officiels des éditeurs pour réaliser ces mises à jour.
4. Connaitre ses utilisateurs
Chaque salarié utilisant de façon quotidienne un ordinateur doit avoir son propre compte utilisateur. Les comptes génériques et anonymes (stagiaire, contact…) doivent être supprimés. Tous les comptes doivent être actualisés lors de l’arrivée et du départ de chaque collaborateur, par les administrateurs du système (le service informatique de l’entreprise).
5. Sauvegardes régulières
Les sauvegardes sont quotidiennes, effectuées sur des supports externes exclusivement réservés à cet usage, dans un lieu éloigné de l’entreprise. Si elles sont effectuées dans le cloud, il faut bien veiller à passer un contrat approprié avec l’hébergeur et à chiffrer les données.
6. Sécuriser le Wifi de l’entreprise
Il convient de configurer la borne d’accès internet de l’entreprise, d’activer le pare-feu de la box et de modifier l’identifiant de connexion, le mot de passe et la clé de connexion d’origine. A l’extérieur des murs de l’entreprise, il faut sensibiliser ses collaborateurs pour qu’ils n’utilisent pas les wifi publics (gares, hôtels, restaurants), qui constituent des portes trop faciles à franchir pour les pirates informatiques.
7. Smartphones : aujourd’hui très peu sécurisés
N’installer que les applications nécessaires et vérifier à quelles données elles accèdent. En plus du code PIN, utiliser un mot de passe pour l’accès au terminal. Attention, là encore, il faut sauvegarder régulièrement les contenus et ne pas préenregistrer ses mots de passe.
8. Gare aux déplacements
Lorsqu’un salarié est amené à se déplacer, il faut bien veiller à ce qu’il utilise du matériel (ordinateur, téléphone, supports amovibles) dédié à la mission et ne contenant que les données nécessaires. A l’extérieur, attention à ne pas se séparer de ses appareils (bureau, hôtel), refuser les connexions étrangères (clé USB, ordi, téléphone...). Au retour au bureau, il est conseillé de faire analyser l’ensemble de ses équipements pour détecter d’éventuels malware.
9. Messagerie : danger !
La messagerie est une porte d’entrée couramment utilisée par les pirates informatiques. Attention à ne pas ouvrir les pièces jointes ou liens d’un destinataire inconnu. Gare aussi à ne jamais transmettre d’informations personnelles ou confidentielles par e-mail et à ne pas ouvrir ni relayer de messages type chaînes de lettres.
10. Privilégier les sites des éditeurs
Quand un salarié a besoin de télécharger un programme, il faut le faire depuis le site de l’éditeur, en désactivant l’installation de logiciels complémentaires. Attentions aux liens sponsorisés qui peuvent contenir des virus. Pour la même raison, il faut activer l’analyse antivirus avant l’ouverture de chaque document téléchargé.
11. Achats sur internet
En cas d’achat en ligne, il faut s’assurer de la présence d’un cadenas dans la barre d’adresse et de la mention « ttps:// » en début d’adresse. Préférer la méthode avec code de confirmation par SMS.
12. Séparer usages pro et perso
Attention à ne pas faire suivre d’e-mails pros sur une messagerie perso. Ne pas stocker non plus de données professionnelles sur des équipements ou cloud perso. En règle générale, il faut bannir les connexions entre les supports amovibles personnels et l’ordinateur professionnel.
