Le Guide de la Cybersécurité pour les TPE – PME

Février 2021, La CNIL propulse son guide de la cybersécurité à l’attention des TPE & PME. Présenté sous la forme conviviale de 12 questions ponctuée d’un niveau de difficulté, l’objectif de la CNIL parait clair : sensibiliser les petites et moyennes structures à la cybersécurité ; et les guider dans les mesures à mettre en place.

La crise Covid-19 a provoqué une hausse sans précédent des cyberattaques ; et dans le même temps a obligé les entreprises à accélérer leur transformation numérique. Le sujet brulant de la cybersécurité, déjà largement attisé par le RGPD, s’est littéralement enflammé…

Il s’agit très probablement des raisons qui ont poussé la CNIL à produire ce ‘ mode d’emploi ‘ ; à la marge de ses missions d’information et de veille à la conformité RGPD. Conicom, professionnel référencé Cybermalveillance.gouv.fr, revient sur les 12 questions proposées par la CNIL ; et livre une synthèse pour première approche…

Pour identifier les besoins et failles de son informatique, sélectionner ses services, informer son prestataire informatique… Connaitre et maîtriser ses systèmes est indispensable. Pour cela, il convient de lister ses équipements physiques : postes, serveurs, périphériques… comme numériques : logiciels, données, accès, interconnexions… et tenir la liste – ou cahier réseau – à jour !

Elles sont le point d’orgue de la reprise d’activité en cas de défaillance technique grave ou de cyberattaque ; et une protection devenue indispensable face aux ransomwares. Implémenter une stratégie de sauvegarde n’est donc plus une option. La méthode consiste essentiellement à répondre à quelques questions simples : quelles données sont à sauvegarder ? Quel(s) support(s) ? Quel rythme… et évidemment veiller à la conformité au RGPD lorsqu’il s’agit de données à caractère personnel…

Les matériels, physiques ou numériques, tournant sur des anciennes versions, sont autant de failles de sécurité. Les versions antérieures rendent les systèmes d’information vulnérables aux attaques ; ce qui en fait des cibles de choix pour les cyberattaquants. Il est pourtant simple de protéger ses systèmes ! Commencez par choisir des équipements et logiciels reconnus pour garantir la régularité des correctifs, activez les mises à jour automatiques et veillez régulièrement à leur bonne installation !

Les antivirus sont la première défense face aux cybermenaces : virus, ver, ransomware, spyware… Les services les plus performants proposent même des algorithmes protégeant des menaces encore inconnues !! Le déploiement d’un antivirus sur l’ensemble des équipements est aujourd’hui indispensable ; et l’éditeur doit être choisi avec soin. Nos conseils : évitez les versions gratuites, et activer les mises à jour automatiques.

De plus, les solutions d’antivirus proposent un éventail de fonctions et services additionnels. En particulier le PARE-FEU, ce qui nous emmène à la QUESTION 6 de la CNIL.

Grâce aux règles de filtrage, les pares-feux préviennent des attaques provenant d’internet et protègent les postes ; en particulier des prises de contrôle malveillantes. En général, les TPE peuvent se contenter de pares-feux standards. Pour les PME, les besoins sont plus précis… il est donc conseillé de s’adresser à un prestataire informatique…

Les attaques contre les mots de passe prennent différentes formes : force brute, dictionnaire, ingénierie sociale… et sont légion. Pour s’en protéger, Les TPE et PME n’ont d’autre choix que d’implémenter une stratégie de mots de passe au sein de l’organisation. Les bonnes pratiques :

• Utilisation de mots de passe robustes: 9 à 14 caractères avec majuscules, minuscules, chiffres et caractères spéciaux et aucune information personnelle ;
• Jamais de mot de passe unique. La règle, 1 service = 1 mot de passe;
• Stocker les mots de passe dans un coffre-fort si possible certifié par l’ANSSI;
• L’authentification multi facteur…

Pour les PME, des règles plus strictes encore doivent être appliquées. Pour exemple : le blocage de compte en cas d’erreur d’authentification, la mise en place de SSO…

Autre cible privilégiée des cyberattaquants : les comptes de messagerie. Le phishing fait partie des cybermenaces les plus répandues… Pourtant, quelques reflexes simples permettent de s’en protéger ! Lesquels ? Une analyse rapide de l’expéditeur, de l’objet du mail ou du lien présent dans le corps de mail… Quelques précautions techniques sont également de mise : la présence d’un antivirus sur l’hébergement du compte de messagerie, l’activation du chiffrement TLS ou encore la mise en place d’un antispam.

Et soulignons un rappel de la CNIL : la redirection de mails professionnels vers sa messagerie personnelle est strictement prohibée !!

La CNIL rappelle que l’interconnexion à internet expose l’entreprise à un certain nombre de risques, tant pour ses matériels que pour ses données ; risques pouvant être dévastateurs pour le fonctionnement comme pour l’image de l’entreprise. Afin de diminuer la menace, il est essentiel de s’en tenir à une politique stricte pour ce qui est des comptes et accès.

En effet, les privilèges doivent être réservés aux comptes administrateurs uniquement ; la navigation sur internet effectuée uniquement depuis des comptes utilisateurs et les comptes non utilisés doivent être clôturés.

Le niveau de prévention doit être réévalué pour les PME. Pour exemple, les connexions entre postes utilisateurs doivent être interdites par défaut ; et des postes doivent être dédiés à l’administration des systèmes.

Intervention chez le client, missions extérieures, télétravail… la mobilité est un standard, et l’informatique devenue mobile accompagne les déplacements. TPE comme PME doivent s’en tenir, en amont comme au cours de la mission, à quelques bonnes pratiques. Réflexes simples à intégrer pour la plupart, il s’agit de protéger information et accès, et veiller à la confidentialité.

Pour basique, nous citerons la réalisation d’une sauvegarde avant le départ ; le refus des demandes de connexion d’appareils inconnus ; et évidemment de rester à proximité de ses appareils, pour éviter le vol ou le piratage. Pour les PME, la CNIL rappelle, entre autres, que des équipements doivent être réservés aux déplacements ; qu’il convient d’effacer les historiques d’appel et de navigation au retour de mission ; et de modifier les mots de passe !

La CNIL invite les TPE à se tenir informer sur les bonnes pratiques et alertes ; notamment à l’aide du dispositif Cybermalveillance.gouv.fr. Pour les PME la démarche demandée va évidemment plus loin. En effet, la CNIL insiste sur la nécessité d’une veille technique relative aux campagnes d’attaques et vulnérabilités ; mais aussi sur l’importance de sensibiliser les équipes en interne. En effet, l’enjeu reste d’implémenter une culture de la cybersécurité au sein des organisations.

L’inquiétante augmentation des cyberattaques, mais aussi celle de leur dangerosité, a conduit les compagnies d’assurance à proposer des couvertures aux entreprises pour le risque numérique. Les clauses varient de l’accompagnement juridique à l’accompagnement technique en cas de sinistre. Si ce marché est encore jeune, la CNIL invite les PME à s’intéresser aux polices d’assurance CYBER.

En cas de suspicion d’incident, la plateforme Cybermalveillance.gouv.fr propose une assistance aux TPE-PME : diagnostic, conseils personnalisés et mise en relation avec des prestataires référencés.

Dans le cas où la cyberattaque est avérée, il sera essentiel d’adopter les bons réflexes :

• Déconnecter les systèmes d’internet,
• Maintenir allumés les postes victimes de l’attaque ;
• En cas de ransomware, ne pas payer la rançon exigée;

Evidemment, le prestataire informatique devra être sollicité dans les meilleurs délais pour résoudre l’incident ; et selon réinitialiser les systèmes et amorcer la reprise d’activité.

La notion juridique devra être traitée avec soin. Pour commencer avec le dépôt d’une plainte, puis une information de la CNIL si des données personnelles ont été affectées par l’attaque, en conformité avec le RGPD.

Conicom vous rappelle que cet article est un rapide résumé du Guide de la Cybersécurité proposé par la CNIL, que nous vous invitons à parcourir en cliquant ici !