Voir clair dans la jungle des dangers

En raison de la mondialisation de l'informatique, ce sont surtout des termes techniques anglais qui sont utilisés pour parler de la cybersécurité et des sources de danger : attaques de phishing basées sur l'IA, credential stuffing, web-scraping, skewing, DDoS et DNS-scrubbing, et ainsi de suite. Le simple fait de les lire provoque déjà des maux de tête, du moins si l'on n'est pas familier avec et dans le monde virtuel des données et de la communication. Et cela arrive souvent dans les petites entreprises. En effet, il n'y a ni chef de la sécurité ni responsable informatique, ces services sont généralement confiés à des spécialistes et des agences externes, ou l'on "se débrouille" comme on peut dans ce domaine. Les deux approches ont aussi des inconvénients : Les agences externes gardent leur expertise pour elles et créent ainsi une dépendance. Et "se débrouiller tout seul" comporte justement les risques susmentionnés, dont on ne sait tout simplement pas assez de choses et dont on ne peut donc pas se protéger.

Sources de danger

Pour donner une idée de l'ampleur du phénomène, voici un bref résumé des menaces évoquées : Le terme "phishing" (vient de "fishing") désigne les tentatives de se faire passer pour un partenaire de communication fiable via des e-mails ou des sites web falsifiés. L'objectif des escrocs est d'inciter les utilisateurs d'Internet à se connecter à des mondes publicitaires falsifiés et à y laisser, le cas échéant, des données confidentielles telles que des mots de passe ou des noms d'utilisateur.

Le credential stuffing est une cyberattaque automatisée et souvent répétitive dans laquelle les pirates tentent d'accéder aux données d'arrière-plan d'un site web de manière largement automatisée à l'aide de bots (vient du mot anglais "robot"). Cela est en partie légal et souhaitable pour que les moteurs de recherche puissent identifier et publier les informations demandées. Mais il existe également des méthodes nuisibles de ce processus appelé web scraping : les données sont utilisées de manière abusive, falsifiées ou envoyées dans le Darknet.

Les attaques par skewing, dont le verbe anglais to skew signifie déformer, s'inscrivent également dans cette logique. Les pirates tentent de falsifier les informations et les statistiques obtenues via les données d'analyse Web, par exemple de Google Analytics. Il ne s'agit donc pas de vol de données, mais d'inciter les entreprises cibles à prendre de mauvaises décisions commerciales en raison des données manipulées. Et enfin DDoS ; ce terme signifie Distributed Denial of Service (littéralement déni de service distribué) et décrit les cyberattaques qui provoquent des pannes de sites web au moyen de demandes artificielles et répétitives. Des services dits de "scrubbing" s'y opposent en identifiant ce type de trafic nuisible et en empêchant la surcharge des systèmes. Et ce ne sont pas là tous les dangers, loin s'en faut. Comment les petites et moyennes entreprises peuvent-elles s'en prémunir ?

Lampe de poche plus grande

La première étape consiste à regarder de plus près et de plus près, car le vol ou l'utilisation abusive d'informations numériques internes à l'entreprise est devenu la fraude la plus fréquemment signalée, bien plus que le vol physique. Ainsi, qu'une entreprise ait adopté le cloud computing ou qu'elle n'envoie que deux ou trois e-mails par semaine, la cybersécurité est devenue une compétence clé, même pour les plus petites entreprises. La tâche clé pour tout manager responsable est donc de créer une culture de la sécurité.

L'étape 1 a déjà été abordée à plusieurs reprises dans M&Q : quelle que soit la génération à laquelle on appartient, il faut s'imprégner du sujet et s'y intéresser. Cela ne signifie pas qu'un supérieur doit tout comprendre ou tout maîtriser, mais qu'il doit avoir une vue d'ensemble du sujet, des influences externes et internes, des opportunités et des défis, et éventuellement des éléments budgétaires. Si, au sein de l'équipe, des personnes plus jeunes et ayant une plus grande affinité avec le numérique prennent en charge certaines tâches, c'est tout à fait acceptable. Mais le chef doit connaître l'ensemble de la situation.

Culture de la sécurité

La première mesure à prendre est de garder son système propre. Cela implique de nettoyer régulièrement les anciennes données, d'installer les logiciels de sécurité les plus récents et d'installer les mises à jour des logiciels dès qu'elles sont disponibles. Les logiciels antivirus doivent être configurés de manière à ce qu'ils effectuent automatiquement un scan après chaque mise à jour. Et cela va également de pair avec la nécessité de sauvegarder toutes les données de l'entreprise au moins une fois par semaine et de les stocker en externe. Les documents les plus importants comprennent les dossiers du personnel, les fichiers financiers et la comptabilité clients et fournisseurs ; puis également les documents de traitement de texte. Ne pas le faire, c'est en fin de compte faire preuve de négligence grave.

Grâce à la compréhension de base acquise par l'apprentissage, un responsable doit aujourd'hui être en mesure de définir les pratiques et les directives de base en matière de sécurité pour l'entreprise et les collaborateurs. Cela comprend des droits d'accès au système et aux données clairement définis, des mots de passe sûrs, des directives pour l'utilisation d'Internet (même pendant le temps libre passé au bureau) et des règles de conduite concernant les données de l'entreprise et les informations sur les clients.

Surveiller les accès

Assez sous-estimé : les appareils mobiles privés peuvent également poser d'importants problèmes de sécurité, en particulier s'ils contiennent des informations confidentielles ou s'ils peuvent accéder au réseau de l'entreprise. Les collaborateurs devraient protéger de tels appareils au moyen d'un mot de passe, crypter les données ou installer des applications de sécurité. Il en va de même pour les ordinateurs portables qui peuvent facilement être volés ou perdus. Chaque employé devrait avoir un compte d'utilisateur séparé ; et les mots de passe correspondants ne devraient être attribués que par un personnel informatique compétent.

Le réseau WLAN interne de l'entreprise peut également être une source potentielle d'inquiétude. Il doit être crypté, accessible uniquement avec un mot de passe et configuré à l'aide d'un routeur de manière à ce que le nom du réseau (SSID, le soi-disant Service Set Identifier) ne soit pas transmis.

D'une manière ou d'une autre, tous les mots de passe sont des zones d'attaque potentielles : ils doivent donc, premièrement, être créés de manière complexe. Cela signifie qu'ils doivent comporter au moins huit caractères et quatre types de caractères différents (majuscules, minuscules, chiffres et caractères spéciaux). Deuxièmement, les mots de passe sensibles devraient être modifiés tous les trois mois, y compris ceux des appareils privés des collaborateurs. Et troisièmement, pour les données sensibles, il existe la possibilité d'une authentification à facteurs multiples, qui nécessite d'autres informations que le mot de passe. Certaines banques, par exemple, proposent de tels services à leurs clients.

La cybersécurité est une compétence clé - et on ne peut l'éclairer correctement qu'avec une lampe de poche puissante.

Auteur

Daniel Tschudy est journaliste, conférencier et conseiller dans le secteur de l'accueil. Il s'occupe également d'autres thèmes liés aux nouvelles dimensions de la collaboration mondiale.