En France, les cyberattaques visant les entreprises ont augmenté de 255% en 2020. En général, les failles de sécurité professionnelles proviennent des collaborateurs plutôt que des applications et des réseaux, souvent bien protégés.
D’ailleurs, d’après l’indice relatif à la veille stratégique en matière de sécurité d’IBM, 90% des incidents de cybersécurité sont liés à une erreur humaine. Clic sur un lien hameçonnage, consultation d’un site web suspect, activation de virus… les causes sont nombreuses.
Vous l’aurez compris, pour protéger les données de votre entreprise, il faut sécuriser les usages de vos collaborateurs. LockSelf et Codeur.com s’associent pour vous présenter les 7 bonnes pratiques à mettre en place dès aujourd’hui !
1. Imposer la création de mots de passe forts et sécurisés
Selon le rapport 2017 d’enquête sur la violation de données de Verizon, 81% des pirates informatiques exploitent les mots de passe faibles ou facilement devinables.
Actuellement, les usagers d’Internet doivent créer des comptes pour tout et n’importe quoi. Ainsi, vos collaborateurs ont vite fait de tomber dans la facilité en choisissant leurs mots de passe.
Souvent si l’entreprise ne définit pas de règles, ces derniers optent pour des termes très communs : azerty123, 12345, milou92, Marketing01, starwars, motdepasse…
La seule solution ? Imposer, via un outil dédié, la création de mots de passe forts et sécurisés comprenant un minimum de caractères, des chiffres, des caractères spéciaux, des majuscules et un certain niveau de complexité.
2. Utiliser un gestionnaire de mots de passe
42% des professionnels affichent leur mot de passe sur un post-it collé sur l’écran d’ordinateur. D’autres consignent leurs codes d’accès dans des carnets ou les stockent même dans leur navigateur. Des pratiques qui constituent une menace pour les données de votre entreprise.
Pour aider les utilisateurs à créer et mémoriser leurs accès, optez pour un gestionnaire de mots de passe, comme LockPass par exemple. En plus d’aider à générer des mots de passes forts et sécurisés, il offre une fonction d’autocomplétion qui fluidifie la navigation (et évite les efforts de mémorisation) grâce aux extensions navigateurs. Vous pouvez également paramétrer une ou plusieurs politiques de mots de passe afin d’imposer un niveau de complexité minimum sur les mots de passe créés.
3. Sécuriser les partages d’identifiants
43% des internautes ont déjà partagé un mot de passe avec une autre personne.
Ces partages se font via des moyens non sécurisés, comme les emails, les applications de chats, le SMS ou encore des fichiers excel circulant en clair entre les équipes.
Même si le partage d’identifiant représente un risque avéré en terme de sécurité, cette pratique répond à de réels besoins au sein de votre entreprise.
Toujours à l’aide d’un gestionnaire de mot de passe, vous pouvez gérer le partage des identifiants au niveau organisationnel. Avec un outil comme LockPass – le seul gestionnaire centralisé à utiliser des mécanismes de chiffrement certifiés par l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information) – vous pouvez mettre en place une gestion des accès calquée sur votre un annuaire d’entreprise, également appelé active directory.
C’est une pratique sécurisante qui garantit un accès automatique à tous les collaborateurs présents dans un groupe. Les données sont synchronisées en temps réel. Ainsi, si un collaborateur change le mot de passe, toute l’équipe détient instantanément le nouveau.
Les mots de passe sont traçables. Vous bénéficiez de l’historique des connexions de chaque identifiant, ainsi que la possibilité d’analyser l’accès aux mots de passe partagés. Parfait pour détecter une potentielle faille ou fraude.
4. Sécuriser les partages de données
Au sein des entreprises, on assiste souvent aux pratiques de « Shadow IT ». Les salariés utilisent WeTransfer, Dropbox ou d’autres sites de partage de documents non sécurisés. Ce qui met en danger vos données !
La première bonne pratique à imposer à vos collaborateurs ? Envoyer des documents uniquement via des logiciels chiffrant les données ! Assurez-vous que la solution choisie comprenne :
- Un chiffrement certifié par l’ANSSI.
- Un chiffrement des pièces jointes d’email depuis les clients de messagerie Outlook et Office365 (grâce à des plugins).
- La possibilité de configurer les envois, notamment la date d’expiration et la limite des téléchargements.
- Un suivi de fichiers permettant de vérifier les informations de téléchargement.
De précieuses fonctionnalités que vous pouvez tester dans la solution LockTransfer de la suite Lockself, notamment.
5. Désactiver les composants ActiveX et JavaScript
Bien que ActiveX et JavaScript favorisent une expérience de navigation conviviale sur les sites, ils peuvent poser des problèmes importants en matière de cybersécurité.
Par exemple, JavaScript peut être utilisé sous la forme de cross-site scripting (XSS). Cela permet aux pirates d’intégrer un code malveillant dans un site web légitime pour ensuite voler les informations sensibles sur votre entreprise.
Les composants ActiveX sont couramment utilisés par les hackers pour installer des logiciels malveillants et espions à partir de sites web infectés. Désactivez-les par défaut et surtout, encouragez vos collaborateurs à ne les activer que s’ils jugent le site digne de confiance.
6. Limiter la liste de vos salariés sur votre site web
Pour ne pas trop exposer vos collaborateurs, vous devez encourager l’anonymat sur le web. Cela commence par le site Internet de votre entreprise.
N’affichez pas la liste de tous vos employés avec leurs adresses email, numéros de téléphone et autres informations qui peuvent être exploitées par des internautes malveillants. Préférez plutôt donner leur profil LinkedIn ou Twitter.
À lire aussi : Comment créer une charte informatique d’entreprise ?
7. Informer, informer et informer encore !
Dans votre newsletter interne, lors de formations ou réunions internes, rappelez régulièrement les bonnes pratiques en matière de cybersécurité :
- Sensibilisez vos collaborateurs sur le phising : qu’est-ce que c’est ? comment s’en prémunir ?
- Apprenez-leur à se méfier des pièces jointes envoyées par des inconnus.
- Dites-leur d’analyser chaque message (s’il y a des fautes d’orthographe, le risque de phising est grand).
- Informez-les sur les nouvelles arnaques ou attaques en vogue, afin qu’ils redoublent de vigilance.
Plus ils seront (in)formés sur le sujet, moins ils prendront de risque pour la sécurité de vos données.
La sécurisation des données est l’une des grandes préoccupations des entreprises. Au cœur de cette problématique : vos collaborateurs. En plus de les sensibiliser régulièrement, adoptez une solution comme LockSelf, qui garantit le respect des bonnes pratiques en matière de cybersécurité.