Actu
Symantec : PME, 10 comportements à proscrire afin de protéger les données informatiques
février 2013 par Marc Jacob
Symantec présente une fiche pratique et en couleurs destinée à sensibiliser les PME à la protection de leurs informations. Les prévisions 2013 publiées par Symantec dans le domaine de la sécurité informatique montrent que les plates-formes mobiles et les services de cloud seront, cette année, des cibles évidentes pour des attaques et tentatives de brèches. Nul doute que les PME n’échapperont pas à ces nouveaux types de tendances, ni aux plus anciens. Celles-ci sont en effet de plus en plus ciblées : La 17e édition du rapport sur les menaces sur Internet (cf. ISTR 17) révélait que 18 % des attaques malveillantes concernent les entreprises de moins de 250 employés. Surtout, elles sont bien plus vulnérables que la moyenne des entreprises : 71 % des petites entreprises qui subissent une cyberattaque ne s’en remettent jamais. Elle leur est fatale.
Les dix comportements qui présentent un risque pour les PME et sont donc à proscrire sont les suivants :
1. Utiliser le nom de son animal domestique comme mot de passe sur de nombreux sites
Un mot de passe peut facilement être cracké : 82 % des utilisateurs réemploient leurs mots de passe et 40 % d’entre eux les prennent en note. Il est préférable d’utiliser des mots de passe uniques, à huit caractères au moins, mélangeant lettres, chiffres et symboles (comme # $ % ! ?), tout en s’abstenant de les prendre en note.
2. Sauvegarder fréquemment les fichiers et le serveur
Sauvegarder prend du temps, mais reporter ses sauvegardes peut s’avérer dévastateur pour une PME : 52 % de perte de productivité et 29 % de perte de chiffre d’affaires pour une simple interruption de service. Il est donc nécessaire d’identifier les ressources critiques, d’utiliser des solutions de sauvegarde et de tester régulièrement les procédures de restauration.
3. Cliquer pour confirmer un vol ou réclamer un obscur gain au jeu
Les attaquants intègrent des maliciels, au hasard, dans des emails ou des SMS. Ces faux messages peuvent être très convaincants. Si vous n’avez pas réservé de voyage ou que le message semble étrange, mieux vaut ne pas cliquer. Un email sur 627, envoyés aux PME, contient un logiciel malveillant.
4. Rapporter des données confidentielles à son domicile pour travailler
Certains employés copient des données confidentielles sur des clés USB non codées, les envoient sur des adresses email personnelles ou les déposent sur des sites de partage de fichiers. 54 % d’entre eux admettent déplacer ces informations sans autorisation. Si c’est confidentiel, il est préférable de coder les données avant qu’elles ne sortent du bureau.
5. Envoyer des rapports financiers via le Wi-Fi gratuit de l’aéroport
Terminaux mobiles et réseaux Wi-Fi gratuits sont disponibles n’importe quand et n’importe où, mais qui sont les utilisateurs de ces réseaux ? 67 % des personnes utilisent des réseaux Wi-Fi non sécurisés. L’utilisation des connexions HTTPS ou une application de privatisation de votre connexion, permet de conserver les données en sécurité.
6. Télécharger excessivement des applications mobiles
Le nombre de logiciels malveillants sur mobile a progressé de 55 %, en moyenne, chaque mois. Il est important d’avoir uniquement recours aux boutiques applicatives d’éditeurs connus ainsi que de lire attentivement les conditions d’utilisations, pour éviter les applications qui requièrent des autorisations excessives, tel que l’accès complet à la liste des contacts.
7. Ne pas verrouiller l’écran de son téléphone ou de sa tablette
Lorsqu’un terminal professionnel est perdu, il y a plus de 80 % de chances qu’il soit utilisé pour tenter d’accéder aux données et/ou aux réseaux de l’entreprise. L’utilisation de la fonction verrouillage d’écran avec un mot de passe fort ou avec un code par schéma se montre essentielle quant à la sécurité.
8. Accepter des demandes de contact d’inconnus
Les cybercriminels utilisent les réseaux sociaux pour propager des logiciels malveillants, mettre en place des arnaques, envoyer des spams et des messages de phishing : 70 % des PME n’ont pas de règles d’utilisation des réseaux sociaux.
9. Communiquer les périodes d’absence
Les notifications d’absence de bureau semblent inoffensives, mais peuvent fournir des informations précieuses aux cybercriminels pour lancer leurs attaques. Les attaques ciblées contre les PME ont doublé l’an dernier, touchant 36 % d’entre elles. Le simple fait de limiter les informations dans les réponses automatiques permet d’éviter, au maximum, de transmettre une information utile aux cybercriminels.
10. Utiliser une clé USB trouvée par hasard
Les clés USB sont largement utilisées pour propager des logiciels malveillants. La simple connexion d’un téléphone à un port USB en vue de le recharger est suffisante pour infecter un terminal.
Ce que les petites entreprises peuvent faire
Les entreprises ne sont pas sans défense pour endiguer les pertes de données. Cependant, 87 % des PME n’ont pas de politique écrite de sécurité sur Internet. Les bonnes pratiques devraient permettre de protéger les données professionnelles stratégiques :
· Identifiez ce qui doit être protégé ;
· Faites appliquer des règles strictes pour les mots de passe ;
· N’attendez pas qu’il soit trop tard. Tracez les lignes de votre plan de reprise après incident dès aujourd’hui ;
· Chiffrez les informations confidentielles ;
· Elaborez des consignes de sécurité sur Internet ;
· Formez vos employés à la sécurité sur Internet et informez-les sur les plus récentes menaces : ils constituent votre première ligne de défense ;
· Utilisez une solution de sécurité fiable et appliquez régulièrement les mises à jour.
