Cybercriminalité : les PME dans le viseur

Des retombées sur l’activité mais aussi sur l’image

Contrairement à l’idée reçue, le challenge de s’introduire dans une agence gouvernementale ultra-sécurisée séduit surtout les pirates hollywoodiens. La plupart des cybercriminels choisissent plus prosaïquement de s’en prendre aux petites et moyennes entreprises, infiniment plus accessibles, car rarement bien protégées contre d’éventuelles attaques. Pure malveillance, tentative d’extorsion de fonds, vol de données sensibles ou encore sabotage de site marchand… quelle que soit la motivation du ou des hackers, les retombées d’une attaque réussie s’avèrent presque toujours désastreuses, sur l’activité mais aussi sur l’image. Avec des conséquences commerciales difficiles à mesurer lorsque l’intrusion chez un sous-traitant préfigure et facilite l’attaque d’envergure de son donneur d’ordre.

Pièce jointe infectée ou réseau mal sécurisé : de multiples portes d’entrée

Particulièrement en vogue, le « ransomware », prise d’otage de données libérables contre rançon sonnante et trébuchante, est le concept le moins redouté par les entreprises. Le phénomène fait des ravages au sein des petites structures, qui découvrent à cette occasion la porosité de leur système d’information et qu’on n’est jamais trop petit pour constituer une cible.

Ouverture intempestive de pièces jointes infectées, mots de passe enfantins, wifi mal sécurisé, multiples connexions au réseau d’entreprise à partir d’appareils mobiles, clés USB perdues avec tout ce qu’elles contiennent… les portes d’entrée potentielles sont nombreuses. Rechercher une étanchéité totale est illusoire, mais quelques pratiques élémentaires assurent tout de même une relative sécurité. Quitte à s’adresser en complément, en cas de traitement de données réellement sensibles, à des professionnels de la cybersécurité.

7 bonnes pratiques qui changent tout

• Choisissez des mots de passe complexes, d’au moins 12 caractères, incluant lettres majuscules, minuscules, chiffres et caractères spéciaux, plus difficiles à percer qu’une date ou un mot. N’utilisez pas le même pour tout.

• Proscrivez l’ouverture de pièces jointes inattendues, même si l’expéditeur de l’email semble connu et que le fichier en question est intitulé « demande de devis » ou « facture ». Si le message comporte des liens, ne cliquez pas dessus avant d’avoir vérifié vers quel site ils pointent.

• Téléchargez uniquement sur des sites officiels. Méfiez-vous de tous les contenus prétendument gratuits, qui commencent par installer des programmes malveillants sur votre machine.

• Mettez périodiquement à jour les logiciels utilisés dans l’entreprise, via les sites officiels des éditeurs. La quasi-totalité de ces mises à jour règle aussi des failles de sécurité.

• Vérifiez la pertinence de toute demande de fonds ou de confirmation de règlement, quelle qu’en soit l’origine.

• Utilisez des antivirus, protégez vos accès Internet (wifi inclus), voire installez un réseau privé virtuel (VPN), offrant un unique point d’échange sécurisé avec Internet.

• Réservez les prérogatives d’administrateur à une seule personne, et accordez aux autres collaborateurs de simples droits d’utilisateur.

En savoir plus

Édité par l’Agence nationale pour la sécurité des systèmes d’information en collaboration avec la CGPME, un guide pratique de sécurité informatique (pdf, 854 Ko) recense les principales mesures à prendre pour renforcer la sécurité de son entreprise.