PME Six étapes pour accroître sa cybersécurité

Pour les petites, les moyennes, mais aussi pour les grandes entreprises, il peut être difficile d’atteindre un niveau de cybersécurité approprié, car le sujet semble souvent abstrait ou insurmontable. Les sociétés ne disposent bien souvent pas des ressources en personnel nécessaires à cet effet et les dépenses alors engagées ne génèrent pas de valeur ajoutée notable dans un premier temps. Néanmoins, des mesures de cybersécurité basiques peuvent s’avérer décisives pour la pérennité d'une affaire par ailleurs prospère. Il est donc important pour chaque entreprise d'atteindre un certain niveau de cybermaturité. En général, quelques-unes de ces mesures de sécurité sont une condition préalable à toute souscription d'une cyberassurance.

Avec ses recommandations concrètes sur les mesures à prendre, le guide suivant consiste en une sorte de liste des bonnes pratiques que les PME doivent mettre en place pour atteindre un niveau élevé de cybersécurité. Il ne s'agit pas d'exigences minimales pour la souscription d'une cyberassurance, mais plutôt d'une liste de contrôle qui peut être peaufinée avec des spécialistes – que ce soit l'assureur, un agent ou un courtier ou encore le prestataire de services informatiques – et appliquée le mieux possible.

Développé par l'association Swiss Cyber Defense DNA, le catalogue de mesures suivant porte tant sur la structure organisationnelle que sur l’utilisation des nouvelles technologies, deux domaines de responsabilité incombant à votre PME.

Mesures d’ordre organisationnel:

• Désigner la personne responsable de la mise en œuvre
• Désigner la personne responsable du contrôle
• Déterminer qui a un droit d’accès aux données
• Assurer le stockage externe de la sauvegarde
• Définir la durée de conservation des données de sauvegarde (se conformer aux prescriptions légales)
• S’assurer qu’aucun tiers n’a accès à vos données
• Procéder à une récupération régulière des données (tester deux fois par an)

Mesures d’ordre technique:

• Mettre en place un processus de sauvegarde automatisé et en lecture seule
• Veiller au chiffrement de la sauvegarde
• Déconnecter le support de sauvegarde du réseau et le stocker hors ligne
• Se fier à des entreprises spécialisées possédant plusieurs années d’expérience
• Vérifier les logiciels qui peuvent être utilisés pour la récupération de vos données

Mesures d’ordre organisationnel:

• Désigner la personne chargée de s’assurer que la protection antivirus est à jour
• Définir dans le programme de messagerie électronique les données potentiellement dangereuses qui y seront bloquées
• Veiller à la sensibilisation et à la formation correspondantes des membres du personnel
• Organiser des formations relatives à l’utilisation des courriels, des sites web et des mots de passe

Mesures d’ordre technique:

• Mettre en place une protection exhaustive, couvrant tout le territoire et actualisée des terminaux, des supports de données amovibles (clés USB, disques durs externes), des serveurs, des systèmes NAS, des services en nuage et des services de messagerie électronique
• Restreindre l’exécution de macros
• Installer des filtres Internet
• Installer un filtre anti-spam
• Effectuer régulièrement une analyse complète du système

Mesures d’ordre organisationnel:

• Désigner la personne chargée de la mise à jour régulière de tous les périphériques réseau
• Dispenser une formation aux membres du personnel sur l’accès à distance
• Dispenser une formation aux fournisseurs sur l’accès à distance
• Définir le fonctionnement et la sécurisation de l’accès à distance
• Vérifier régulièrement les données enregistrées par le pare-feu

Mesures d’ordre technique:

• Installer un pare-feu pour protéger le réseau
• Installer un logiciel pare-feu sur les ordinateurs
• Procéder à la mise à jour régulière des périphériques réseau
• Diviser les réseaux en zones afin d’isoler les uns des autres les domaines d’activité importants
• Renforcer l’accès à distance par une authentification à deux facteurs (par ex. code reçu par SMS)
• Mettre en place l’accès à distance via une connexion VPN
• Séparer le réseau sans fil des visiteurs du réseau de l’entreprise

Mesures d’ordre organisationnel:
Logiciels (systèmes d’exploitation et programmes)

• Désigner la personne responsable des points suivants:
  • Gestion des licences
  • Vérification périodique des licences
  • Vérification périodique des mises à jour
• Remplacer et mettre à jour les programmes obsolètes, en fonction de l’évaluation des risques
• Décider si les programmes privés sont autorisés
• S’assurer de la mise à jour régulière des programmes privés

Matériel (appareils)

• Dresser l’inventaire de tous les appareils (par ex. ordinateurs, serveurs, périphériques réseau)
• Remplacer les systèmes obsolètes en fonction de l’évaluation des risques
• Protéger physiquement les systèmes existants (par ex. leur accès)
• Décider si les appareils privés sont autorisés
• Vérifier si les appareils privés sont sûrs avant d’autoriser leur utilisation

Mesures d’ordre technique:

• Utiliser uniquement des systèmes d’exploitation et des applications actualisés
• Isoler du réseau les anciens systèmes
• Dresser l’inventaire du matériel informatique et des logiciels et le tenir à jour

Mesures d’ordre organisationnel:

• Définir les droits d’accès pour chaque membre du personnel: qui peut accéder à quel répertoire?
• Vérifier et limiter également les droits d’accès des membres de la direction de l’entreprise
• Vérifier les accès des administrateurs (locaux)
• Modifier les mots de passe par défaut
• Définir les procédures d’entrée et de sortie

Mesures d’ordre technique:

• Déterminer des règles pour la définition des mots de passe par les membres du personnel
• Coupler les différents rôles définis aux droits d’accès correspondants et les limiter à ces droits-là

Mesures d’ordre organisationnel:

• Déterminer l’organisation en cas d’urgence
• Définir les procédures d’urgence
• Informer l’ensemble des membres du personnel
• Vérifier régulièrement les rôles et les procédures
• Tester la restauration des données

Mesures d’ordre technique:

• Utiliser une technologie indépendante afin de pouvoir accéder aux documents même en cas d’urgence (par ex. liste d’informations d’urgence, répertoire, solution en nuage ou solution mobile)

Chacune de ces mesures réduit la vulnérabilité de votre entreprise en cas d’attaque. Elles permettent de déjouer les cyberattaques ou, tout du moins, d’en réparer rapidement les dégâts. Il est possible de couvrir le risque résiduel par une cyberassurance, laquelle vous accompagne aussi lors de la mise en place de ces mesures préventives et vous soutient avec célérité et professionnalisme en cas d’incident. Une telle assurance couvre également les éventuels dommages causés à vos infrastructures, les coûts liés aux interruptions d'exploitation et aux recours en responsabilité de tiers. L'assurance conseille les entreprises assurées sur les normes de sécurité à définir et se tient à leurs côtés en cas de cyberattaque.

Pour de plus amples explications sur ces mesures: Home – SWISS CYBER DEFENCE DNA