Cybersécurité : comment s’assurer de bien prendre en compte les dangers ?
30 novembre 2022
Avec la montée du digital, la recrudescence des cyberattaques est venue de pair. Pour contrer cela, on constate une montée en puissance des métiers autour de la cybersécurité. En effet, selon l’ANSSI « le nombre d’attaques numériques s’est multiplié par 4 de 2019 à 2020 » en passant de « 54 à 192 pour les attaques de type ransomware ».
Les spécialistes dans ce domaine sont en perpétuelle innovation pour contrer chaque vulnérabilité sur le long terme, mais assurer la cybersécurité d’un projet est la responsabilité individuelle de chaque collaborateur, dans cet article nous vous expliquerons pourquoi et comment prévenir cela.
Pourquoi la cybersécurité est-elle importante ?
La protection des données est de nos jours une grande préoccupation de chaque entreprise afin de protéger la société et ses clients. Lors d’un projet de refonte de site, la protection de vos informations est cruciale.
En effet, certaines données internes sont confidentielles et doivent être protégées des personnes malveillantes pour ne pas mettre en danger l’activité de l’entreprise. Les informations sensibles se trouvent dans plusieurs endroits : les postes clients, les serveurs, ou encore sur la messagerie. Il faut donc mettre en place des solutions de gestion et de sécurisation des données, qui puissent prendre en compte tous les enjeux.
La protection des données est encadrée par la loi « Informatique et Libertés » depuis 1978 ce qui permet une première protection des utilisateurs. En France, c’est la CNIL (Commission Nationale de l’Informatique et des Libertés) qui régule les données personnelles par la mise en pratique de la RGPD afin que l’ensemble des professionnels applique cette loi. Le sigle RGPD signifie « Règlement Général sur la Protection des Données » (en anglais « General Data Protection Regulation » ou GDPR). Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne.
Enfin, il est important pour vous et vos clients que vos appareils numériques, serveurs, ordinateurs, soient bien paramétrés et sécurisés. Grâce à la cybersécurité, il est possible de prévenir et de contrer des cybermenaces.
Prévenir vos équipes pour réduire les risques liés à la cybersécurité
Le principal risque d’une cyberattaque est le facteur humain. Il est nécessaire de communiquer avec votre équipe sur les menaces présentes sur le web pour leur recommander les bonnes pratiques à adopter.
En informatique il est devenu important de protéger les données puisque ces dernières sont de plus en plus sensibles. La protection de ces données se construit de trois manières différentes :
- Ce que l’on sait (un mot de passe)
- Ce que l’on a (une clé USB)
- Ce que l’on est (une empreinte digitale)
La méthode la plus utilisée est celle dite de « ce que l’on sait » car c’est la moins coûteuse et la plus facile à mettre en place.
Cette méthode de protection informatique qui règne depuis des décennies, basée sur un savoir, semble largement dépassée mais reste actuellement la solution la plus utilisée par tous.
Dans le cadre de l’étude Psychologie des mots de passe, 3 250 personnes ont été interrogés* dans le monde entier pour en savoir plus sur l’état actuel des comportements de sécurité en ligne, et les résultats sont inquiétants…
- 44 % des sondés utilisent des mots de passe identiques ou similaires alors qu’ils savent que cela affaiblit leur sécurité professionnelle et personnelle.
- 53 % n’ont pas changé leur mot de passe au cours des 12 derniers mois, y compris après avoir entendu parler de fuites dans l’actualité.
- 41 % pensent que leurs comptes ont trop peu de valeur pour qu’un pirate s’y intéresse.
Certaines manipulations sont à éviter pour rester protégé. Le plus souvent, c’est une mauvaise manipulation réalisée en interne qui provoque des failles plus ou moins graves. La cyberattaque n’est pas le seul risque présent sur Internet, c’est pourquoi les entreprises ont aussi un rôle de conseil auprès de leurs salariés pour s’organiser en interne afin de réduire au maximum les risques.
Quelles sont les bonnes pratiques à adopter en termes de mots de passe ?
Un bon mot de passe doit contenir au moins 12 caractères de préférence formé de 4 types différents : des minuscules, des majuscules, des chiffres et des caractères spéciaux. Selon une étude récente il s’est avéré plus utile d’avoir un mot de passe plus long (comme une phrase) mais avec un seul type de caractère. Il peut être plus court si votre compte est associé à une solution d’authentification multi-facteurs.
Personne ne doit pouvoir deviner votre mot de passe à partir du nom de votre chien ou de votre film préféré. Idem pour le code de votre smartphone : préférez un nombre aléatoire à une année, ce dernier sera plus difficile à deviner.
Pour éviter les piratages en cascade, chacun de vos comptes en ligne qui présente un caractère sensible (Compte d’entreprise, banque, messagerie personnel, réseau social, etc.) doit être verrouillé avec son mot de passe propre et unique.
Les post-it, les fichiers texte, votre smartphone ou votre boîte de messagerie ne sont pas conçus pour sécuriser le stockage de vos mots de passe. Pensez aussi à ne jamais les enregistrer dans le navigateur d’un ordinateur partagé.
Préférez une Passphrase à un Password. Mémorisez une phrase au lieu d’un mot de passe, la longueur garantit sa robustesse. Évidemment, la phrase peut contenir des chiffres et des caractères spéciaux. Par exemple, Kaliop met à disposition de ses collaborateurs la solution Bitwarden qui permet de générer votre mot de passe en quelques secondes.
Quand le service vous le propose, activez la double authentification (Ex. Microsoft Authenticator). Si quelqu’un se connecte à votre compte depuis un terminal inconnu, l’application MFA vous préviendra. Libre à vous d’autoriser ou de refuser l’accès.
Utilisez un gestionnaire de mots de passe (Ex. : Bitwarden) pour stocker vos mots de passe en toute sécurité. Vous n’aurez à retenir qu’un mot de passe pour accéder à l’ensemble de vos comptes !
Gestion de vos mots de passe professionnels et personnels et authentification multi-facteurs
Il est fréquent que les DSI mettent à disposition des gestionnaires de mot de passe, aussi bien pour vos besoins professionnels que personnels. Cette solution vous permet de centraliser vos mots de passe, de partager de façon sécurisée des comptes de service avec vos collègues, d’avoir accès à tous vos mots de passe à tout instant (Smartphone, Laptop, Desktop, Web, …).
Un gestionnaire de mots de passe est un logiciel qui permet de stocker, de générer ou encore de partager un mot de passe en toute sécurité. Ce logiciel a été créé de telle sorte à ce que toutes les informations contenues à l’intérieur soient chiffrées ce qui offre une bonne sécurité, pour pouvoir lire ce qui s’y trouve il est impératif de connaître le mot de passe maître qui sert à déverrouiller l’application. Il est préconisé d’avoir un mot de passe très robuste en tant que mot de passe maître.
La solution que nous utilisons est Bitwarden. Cette solution nous propose non seulement d’enregistrer, de partager et de générer des mots de passe mais aussi de créer des notes, d’enregistrer des informations bancaires, des informations identitaire (au bon vouloir de l’utilisateur) et permet aussi d’analyser la robustesse et la redondance des mot de passe enregistré. Ces informations seront elles aussi sécurisées par l’application. De plus, ce gestionnaire peut saisir automatiquement les données qui y sont enregistrées.
L’utilisation de ces outils augmente la sécurité de vos comptes mais il n’en reste pas moins qu’ils ne sont protégés que par un seul facteur qui est le mot de passe.
Comme expliqué précédemment, il existe 3 composantes de l’authentification : ce que l’on sait (un mot de passe), ce que l’on a (MFA : Multi-factor authentication) & ce que l’on est (une empreinte digitale).
Pour une sécurité optimale, il est important que plusieurs facteurs entrent en jeu avec l’utilisation de MFA qui vous procurera un code à 6 chiffres sur un support différent (smartphone par exemple).
Dans une démarche de sécurisation, les entreprises mettent souvent à votre disposition des applications qu’on appelle un « One Time Password » soit un OTP. Ce genre de service sert à générer un mot de passe de six chiffres temporaires que vous devez saisir à chaque connexion sur une application choisie pour la déverrouiller. Saisir le mot de passe n’est donc plus suffisant, il faut aussi saisir le code OTP qui change toutes les 30 secondes. Il est aussi possible dans certains cas d’approuver la connexion grâce à cette application au bon vouloir de l’utilisateur.
Qu’est-ce que le Phishing et comment prévenir ce type d’attaque ?
La technique du phishing est très prisée des hackers. En effet, selon le dernier baromètre du CESIN, près de 80% des entreprises ayant subi une attaque en 2021 déclarent que le phishing a été la porte d’entrée des pirates vers leurs systèmes informatiques. La méthode du phishing par email est le type de phishing le plus courant, et il est utilisé depuis les années 1990.
Le phishing (ou hameçonnage en français) est une attaque informatique qui repose essentiellement sur une technique utilisée par les pirates qui est l’ingénierie sociale. L’ingénierie sociale consiste à utiliser la plus grosse faille connue en informatique qui est l’utilisateur, dans cette technique la manipulation et la tromperie sont des armes maîtresses. Ces compétences sont ensuite utilisées pour créer des mails, des appels, des sites, ou d’autres moyens de communication frauduleux qui ont pour but de dérober des informations personnelles aux utilisateurs, en se faisant passer pour une entreprise qui pourrait légitimement demander ces informations par exemple.
Bien heureusement, il y a des mesures préventives à adopter pour s’en prémunir.
Tout d’abord, il est important de ne jamais communiquer d’informations sensibles par messagerie ou téléphone (comme des codes de carte bleue). En effet, aucune institution ne vous demandera directement.
Dans le cas de la réception d’un lien que vous jugez douteux il y a une solution qui peut vous aider à savoir si ce lien est légitime, vous pouvez passer le curseur sur le lien sans cliquer dessus ce qui affichera en bas à gauche la véritable URL du site vers lequel vous serez redirigé, si ce site ne correspond pas à l’adresse exact du site officiel de redirection il peut s’agir d’un site frauduleux.
Vous pouvez enfin essayer de contacter l’organisme en question pour confirmer la légitimité des informations demandées.
Dans le cadre de l’entreprise n’hésitez pas à vous référer aux membres de l’équipe informatique lorsque vous avez un soupçon et n’oubliez pas que la menace peut venir de l’intérieur dans le cas où l’attaquant a usurpé l’identité d’un collègue ou d’un proche.
Si malgré tout vous êtes victimes de phishing vous devez appliquer les points suivants sans plus tarder :
Dans le cas où des données bancaires ont été saisis, il faut faire opposition dans les plus brefs délais à toute opération auprès de votre banque ainsi qu’un dépôt de plainte au commissariat de police.
Si vous constatez une usurpation de votre identité il vous faudra faire un dépôt de plainte le plus rapidement possible. Si un de vos compte ou adresse a été piraté, changez votre mot de passe immédiatement.
En entreprise si un de vos comptes est sujet à un piratage signalez immédiatement l’événement à l’équipe informatique. Pour finir vous pouvez signaler une adresse de phishing sur https://phishing-initiative.fr/contrib/ et un spam sur https://www.signal-spam.fr/.
Pour en savoir plus :
Vous pouvez générer un mot de passe solide en utilisant le site de la CNIL : Générer un mot de passe solide | CNIL
La cybersécurité commence par la qualité de vos mots de passe [Pierre CLAIREMBEAULT – DSI]
Source : https://www.cnil.fr/fr/les-conseils-de-la-cnil-pour-un-bon-mot-de-passe