Toutes les entreprises utilisent de nombreux outils numériques : e-mails, logiciels de gestion, applications cloud, etc. Cette multiplication des outils crée des risques comme du piratage, des vols de données ou même de l’usurpation d’identité.
L’ampleur de cette menace est considérable : 67% des entreprises françaises ont été victimes d’au moins une cyberattaque en 2024, avec un coût moyen de 466 000 euros pour les PME. Plus alarmant encore, 60% des entreprises victimes ferment définitivement dans les 18 mois suivant l’attaque.
Heureusement, quelques mesures simples permettent de bien se protéger des cyberattaques.
Former vos équipes aux bons réflexes
Le facteur humain reste la première cause des incidents de sécurité dans les entreprises. Une formation régulière de vos collaborateurs et des règles claires permettent de créer une vraie culture de la sécurité au sein de vos équipes.
Il faut donc apprendre à vos collaborateurs comment reconnaître les e-mails suspects, vérifier les liens avant de cliquer, et ne jamais partager leurs mots de passe par message…
Il est conseillé de créer quelques règles simples que tout le monde peut suivre facilement :
- Ne jamais utiliser le même mot de passe pour plusieurs comptes
- Signaler immédiatement tout e-mail ou message bizarre
- Verrouiller son ordinateur quand on s’éloigne de son bureau
- Faire les mises à jour dès qu’elles sont disponibles
- Ne jamais donner ses identifiants ou mot de passe au téléphone ou dans un email
Pour que ces règles soient bien appliquées, créez des guides courts avec des images et organisez des rappels tous les trois mois. Vous pouvez même faire des petits quiz ou simuler de faux e-mails de phishing (tentatives d’escroquerie par e-mail) pour tester les réflexes de vos équipes.
Bien gérer les mots de passe
Les mots de passe restent la première ligne de défense de vos systèmes. La gestion des mots de passe entreprise devient donc indispensable pour stocker et partager les accès de façon sécurisée, tout en favorisant des mots de passe uniques et robustes.
Bien choisir les mots de passe
Les mots de passe faibles comme « 123456 » ou « motdepasse » sont la porte d’entrée favorite des pirates. Il est également important de ne pas avoir un mot de passe identique pour tous les collaborateurs. Lors de l’arrivée d’un nouveau salarié, il faut lui faire changer rapidement les divers mots de passe qui lui sont donnés par le service informatique. Un gestionnaire de mots de passe peut aider à mettre en place les bonnes pratiques : génération automatiquement de codes complexes, stockage chiffré et partage sécurisé avec vos équipes.
Les bonnes pratiques
Ne forcez pas vos employés à changer leurs mots de passe tous les mois sans raison. C’est mieux d’avoir des mots de passe longs, uniques, et d’activer la double authentification. Le gestionnaire doit s’intégrer facilement aux navigateurs et applications mobiles pour éviter que les gens recopient leurs codes dans des fichiers non sécurisés.
Renforcer l’authentification
Au-delà du mot de passe unique, l’authentification multi-facteur est devenue indispensable. Elle rajoute une couche de sécurité qui complique énormément la tâche des pirates, même s’ils ont réussi à obtenir vos identifiants.
L’authentification multifacteur (demander deux preuves au lieu d’une) doit être activée partout : e-mail, outils cloud, VPN (réseau privé virtuel), portails internes. Même si un pirate obtient le mot de passe, il ne peut pas se connecter sans le second facteur. Ce n’est pas une méthode infaillible mais cela ajoute une couche supplémentaire pour votre sécurité.
Choisir les meilleures méthodes
Les codes par SMS ou applications comme Google Authenticator sont utiles, mais pas parfaits. Quand c’est possible, utilisez plutôt des clés de sécurité physiques (petits appareils USB) ou les passkeys (nouvelles clés numériques). Ces méthodes sont plus sûres car les pirates ne peuvent pas les intercepter facilement.
Centraliser les accès avec le Single Sign-On
Le Single Sign-On (connexion unique) permet à vos employés de se connecter une seule fois pour accéder à tous leurs outils. Plus besoin de retenir 15 mots de passe différents ! En plus, quand quelqu’un quitte l’entreprise, vous pouvez supprimer tous ses accès d’un coup.
Reliez votre système RH (ressources humaines) à vos outils informatiques. Comme ça, quand vous embauchez quelqu’un, ses accès se créent automatiquement. Et quand il part, tout se ferme sans oublier aucun compte. Les logins non utilisés et non supprimés sont une cause réelle de nombreuses attaques informatiques.
Le single sign-on évite les erreurs et fait gagner du temps aux équipes informatiques.
Contrôler les droits d’accès
Pour chaque collaborateur, il faut limiter les accès au strict nécessaire (ce dont il a besoin pour travailler). Cette approche réduit considérablement les risques en cas de compromission d’un compte.
Chaque personne doit avoir accès uniquement à ce dont elle a besoin pour son travail, pas plus. Un comptable n’a pas besoin d’accéder aux serveurs informatiques, et un développeur n’a pas besoin des données de paie. C’est ce qu’on appelle le principe du moindre privilège.
Attention aux comptes administrateurs
Les comptes administrateurs (qui peuvent tout modifier) sont les plus dangereux entre de mauvaises mains. Séparez-les des comptes normaux et protégez-les avec une authentification encore plus forte. Pour les opérations sensibles, le mieux est de fournir des accès temporaires avec une durée limitée, un suivi en temps réel et un historique de ce qui a été fait.
Sécurisation des connexions à distance
Beaucoup d’entreprises utilisent des VPN pour sécuriser la connexion des employés.
Les VPN sécurisent l’échange d’informations entre l’ordinateur d’un employé et le réseau de l’entreprise. Quand un employé travaille de chez lui, il lance son VPN et peut alors accéder à tout ce dont il a besoin pour travailler comme si il était physiquement au bureau. Le problème, c’est que les VPN sont mal configurés. Quand ils sont connectés, les employés ont souvent accès à l’ensemble du réseau interne. Si quelqu’un récupère les identifiants et mot de passe VPN d’un collaborateur, il peut accéder à toutes les données de la société.
Les nouvelles solutions « Zero Trust » fonctionnent différemment. Au lieu de faire confiance automatiquement une fois la connexion établie, chaque demande d’accès est vérifiée individuellement. Si un collaborateur veut utiliser l’application comptable, le système contrôle son identité. Il y aura une vérification de l’appareil, de la localisation et de l’heure de connexion. Si tout est normal, l’accès sera permis mais uniquement à l’application demandée. Cette approche limite énormément les dégâts car même si un compte est compromis, l’accès reste cloisonné application par application.
Faire les mises à jour régulièrement
La sécurité ne s’arrête pas aux mots de passe et aux accès. Les équipements (ordinateurs, tablettes, smartphones) sont souvent la porte d’entrée des attaques et méritent une attention particulière.
Même avec les meilleurs mots de passe, si les ordinateurs et téléphones sont infectés, vos données restent en danger. Gérez tous les appareils de façon centralisée pour forcer le chiffrement des disques durs (protection des données stockées), activer les pare-feux et installer automatiquement les mises à jour de sécurité.
Ne pas oublier les systèmes automatiques
Vos applications et scripts ont aussi besoin de mots de passe pour se connecter aux bases de données ou services externes. Ne les stockez jamais en clair dans le code source ! Utilisez un coffre-fort spécialisé pour ces « secrets techniques », changez-les régulièrement et, si possible, utilisez des identités de workload (systèmes qui s’authentifient automatiquement sans mot de passe fixe).
Durcir la sécurité des e-mails
Beaucoup d’attaques commencent par un faux e-mail qui semble venir de votre entreprise. Protégez vos e-mails avec les bons réglages (SPF, DKIM, DMARC).
Ces outils empêchent les pirates de se faire passer pour votre entreprise. C’est un peu comme avoir une signature infalsifiable sur tous vos mails. Mettez des petits avertissements sur les messages qui viennent de l’extérieur. Ça aide vos équipes à rester vigilantes. Et configurez votre système pour qu’il bloque automatiquement les pièces jointes suspectes – les .exe, les .zip bizarres… Avec une bonne formation des salariés à la sécurité des emails, cela devrait réduire grandement les risques.
Surveiller et se préparer aux incidents
On a beau prendre toutes les précautions du monde, aucun système n’est parfait. Il faut donc se préparer au pire. L’idée ? Détecter les problèmes vite et réagir encore plus vite pour limiter la casse.
Mettez en place des outils qui gardent un œil sur vos ordinateurs 24h/24. Dès qu’une machine fait quelque chose de louche – des connexions bizarres, des fichiers qui bougent tout seuls – hop, on l’isole du réseau. Plus on réagit tôt, moins on a de dégâts à gérer après.
Gardez une trace de tout ce qui se passe. Toutes les connexions, les tentatives ratées, les changements de droits… Tout ! Ces historiques vous sauveront la mise quand il faudra comprendre ce qui a posé problème.
Réagir rapidement
Programmez des alertes qui se déclenchent dès qu’il se passe un truc anormal. Une connexion depuis la Patagonie alors que votre équipe travaille à Paris ? Alerte ! Quelqu’un qui récupère des droits admin sans raison ? Re-alerte !
Organisez des points réguliers avec vos collègues pour faire le tri dans les accès. Et surtout, préparez vos plans d’urgence. Quand ça part en vrille, chaque seconde compte.
Tester régulièrement
Installer tout ça, c’est bien. Mais ça ne suffit pas ! Il faut tester, encore et encore. Faites semblant d’être attaqués pour voir si ça marche. Vérifiez que vos sauvegardes sont bonnes. Assurez-vous que tout le monde sait quoi faire si ça tourne mal.
Un plan qu’on n’a jamais testé ? C’est comme une voiture qu’on n’a jamais démarrée. Ça a l’air bien sur le papier, mais quand on en a vraiment besoin, ça ne marche pas.
