Découvrez 7 conseils essentiels pour sécuriser votre site web et protéger votre entreprise contre les violations de données, notamment les pare-feux, les politiques de mot de passe, les sauvegardes, l’anti-malware, et bien plus.
Un jour de plus, un hacker s’empare des données de plusieurs millions de clients de la banque Enormo lors de la dernière énorme faille de cybersécurité d’entreprise. Les petites et moyennes entreprises (PME) rient sous cape et remercient le ciel de ne pas être assez grandes pour attirer l’attention des hackers. Si c’est votre état d’esprit, permettez-nous d’être les premiers à vous dire que votre perception est erronée. Totalement erronée.
La réalité, selon le Comité des petites entreprises du Congrès américain, est que 71 % des violations de sécurité en ligne ciblent des sociétés de moins de 100 employés. Quoi ? Vous avez bien lu ! Donc, si la mentalité “nous sommes trop petits pour intéresser les hackers” règne dans votre PME, il est temps de poser votre boisson énergisante, de vous redresser et de prêter une grande attention à ces 7 conseils essentiels de sécurité web qui pourraient sauver votre entreprise d’une violation de données.
Vous nous remercierez plus tard.
Si vous n’avez pas de pare-feu installé sur votre réseau, autant publier tous vos mots de passe sur le dark web pour que n’importe quel hacker puisse les trouver. La réalité est qu’un pare-feu doit être considéré comme votre première ligne de défense pour protéger les données clients. Pour rappel, un pare-feu est un système de sécurité — matériel ou logiciel — qui surveille le flux des données entre votre réseau interne et Internet, et filtre toute activité suspecte selon des règles prédéfinies.
Trois points méritent votre attention lors de l’installation de pare-feu.
Pare-feu externe : Ce type de pare-feu se trouve généralement dans un routeur ou un serveur. Il est situé à l’extérieur du réseau de votre entreprise et empêche toutes sortes d’attaques de logiciels malveillants d’atteindre votre système. Si vous n’êtes pas sûr d’en avoir un, contactez votre hébergeur et posez-lui la question.
Pare-feu interne : Ce type de pare-feu prend la forme d’un logiciel installé sur votre réseau. Il joue un rôle similaire au pare-feu externe — notamment la détection de virus, malwares et autres cybermenaces — mais doit aussi segmenter le réseau afin de pouvoir rapidement mettre en quarantaine les menaces et limiter la propagation avant qu’elles n’infectent tout le système.
Le troisième point est à propos des employés travaillant à domicile et accédant au réseau de l’entreprise. La sécurité globale n’est jamais plus forte que le maillon le plus faible. Il vaut la tranquillité d’esprit de prévoir une protection pare-feu de nouvelle génération dans ces cas.
Les pare-feu sont intrinsèquement liés à l’hébergement de votre site/réseau. Pour quelques euros de plus par mois, il est judicieux d’abandonner l’hébergement mutualisé au profit d’un serveur dédié ou privé virtuel offrant un meilleur contrôle sur la configuration de la sécurité.
Une enquête Tech Pro de 2016 a révélé que 59 % des entreprises appliquent une politique « Bring Your Own Device » (BYOD). Cela fait beaucoup de portes d’entrée potentielles non sécurisées dans le réseau de l’entreprise. Croiser les doigts en espérant qu’aucun hacker ne remarque cette immense faille n’est pas une politique sérieuse. Que faire alors ? À l’ère de l’information, tenter d’interdire les appareils personnels comme smartphones, tablettes, bracelets connectés et montres intelligentes au travail risquerait de provoquer une mutinerie générale.
Voici la marche à suivre.
Mettez en place une politique de sécurité dédiée aux appareils personnels. Faites savoir aux employés qu’ils peuvent apporter leur propre matériel, mais qu’ils doivent — et on insiste — DOIVENT respecter les règles pour garantir la sécurité du réseau. Deux mesures à appliquer :
Si vous vous sentez comme le Grinch avec toutes ces exigences, demandez-vous ceci : préférez-vous agacer quelques salariés avec des consignes strictes ou laisser partir la donnée la plus précieuse de l’entreprise — celle de vos clients ? On connaît la réponse.
Comme mentionné, les données sont souvent l’atout le plus précieux d’une PME. Un seul salarié négligent avec ses mots de passe ou peu attentif face aux tentatives de phishing peut littéralement couler votre business. Petit conseil : les clients n’ont pas la mémoire courte et hésitent à revenir vers une entreprise qui semble prendre à la légère la protection de leurs informations. Si besoin, un développeur de logiciels de sécurité peut vous aider.
Plus que jamais, la formation à la prévention des violations de sécurité en ligne doit être prise au sérieux par la direction et chaque collaborateur, du plus ancien au dernier arrivé. Il vous faut un manuel papier détaillant les protocoles à suivre et les conséquences en cas de non-respect, pouvant aller jusqu’au licenciement. Les cybercriminels sont malins : ils testent vos défenses et inventent sans cesse de nouveaux moyens de pénétrer votre réseau par la technologie, la ruse, ou les deux.
Il incombe aux responsables de PME de mettre régulièrement à jour le manuel selon les meilleures pratiques contre le piratage, et de consacrer suffisamment de temps à la formation lors de l’intégration des nouveaux salariés. Si vous voulez que ce sujet soit pris au sérieux, commencez par l’être vous-même. Au minimum, chaque collaborateur accédant au réseau doit être formé à sa sécurisation. Une grande partie de cette sécurité repose sur les mots de passe, assez importante pour justifier une section dédiée.
Quelques statistiques pour comprendre pourquoi les PME sont vulnérables au niveau de la cybersécurité :
Par où commencer ? Oui, les salariés râleront si vous exigez des mots de passe plus complexes que « 1234 » et un renouvellement régulier, mais, au risque de radoter, vaut-il mieux subir quelques jérémiades ou voir votre réseau piraté ? Si vous choisissez la première option, il serait peut-être temps de vendre votre entreprise.
La sécurité des mots de passe mérite sa propre section dans le manuel de sécurité, avec des bonnes pratiques à appliquer :
Et surtout, une fois la politique élaborée, veillez à la faire appliquer, contrairement à 65 % des entreprises — ce serait dommage.
Gestionnaires de mots de passe : Impossible de quitter ce sujet sans mentionner les gestionnaires de mots de passe. Qu’il s’agisse d’un logiciel, d’un service cloud ou d’un dispositif physique, ces outils vous aident à générer et à stocker des mots de passe complexes. Ils font ce que leur nom indique : gérer vos mots de passe, ce dont la plupart d’entre nous avons bien besoin.
Lisez-en plus sur cette précaution de sécurité simple et peu coûteuse sur le site de Consumer Reports.
Vous avez scrupuleusement suivi tous nos conseils. Vous pouvez respirer, votre réseau est inattaquable. Pourquoi ne pas vous détendre ? Eh bien, malgré toutes vos précautions, il y a toujours une chance qu’un hacker parvienne à s’introduire et à semer la pagaille. Ces individus sont ingénieux et déterminés. Une fois à l’intérieur, ils peuvent enregistrer les frappes clavier des mots de passe, utiliser vos ressources pour lancer des attaques ou effacer vos serveurs.
À ce stade, vous regretterez de ne pas pouvoir revenir à une version antérieure de votre système, avant l’intrusion. Vous effectuez bien des sauvegardes régulières dans le cloud et conservez une copie dans un autre site physique, n’est-ce pas ? Car incendies et inondations arrivent aussi. Si ce n’est pas le cas, pensez à sauvegarder vos documents, feuilles de calcul, bases de données, fichiers RH et comptabilité.
Les services de sauvegarde cloud deviennent chaque jour plus abordables. Il n’y a donc plus aucune excuse pour ne pas mettre en place une stratégie de sauvegarde robuste permettant de remettre rapidement le système en marche en cas d’intrusion. À moins d’aimer tout reconstruire de mémoire…
D’accord, installer un anti-malware EST optionnel. Mais décider de ne pas le faire est une très mauvaise idée. L’anti-malware protège contre les attaques de phishing, l’une des tactiques favorites des hackers — parce qu’elle fonctionne trop bien. Pour preuve, revenons au rapport Verizon de 2016 : selon cette enquête, 30 % des employés ont ouvert des e-mails de phishing (soit 7 % de plus que l’année précédente) !
Pour rappel, le phishing consiste à envoyer un e-mail piégeant l’employé pour qu’il clique sur un lien, déclenchant ainsi l’installation d’un malware et l’accès au réseau pour le hacker. Premier rempart : former vos collaborateurs à ne jamais cliquer sur quoi que ce soit dans un e-mail sans s’être assuré de sa légitimité.
Puisque 30 % des salariés ouvrent la porte aux hackers, l’anti-malware est votre meilleure chance d’intercepter et de neutraliser l’installation du logiciel avant qu’elle n’aboutisse. Portez une attention particulière aux profils les plus ciblés : PDG, assistants administratifs, commerciaux, RH. Ils ont souvent accès aux parties les plus sensibles du réseau.
Mais ne pensez pas que les autres sont à l’abri. Tout salarié ayant accès au réseau est une cible potentielle.
Ces dernières années, l’authentification multifacteur (MFA) s’impose comme la nouvelle référence pour la sécurité des accès. Certes, cela peut sembler contraignant, mais c’est presque infaillible pour sécuriser la connexion. Il existe de nombreuses variantes, mais voici un exemple concret :
Encore plus simple : utiliser le numéro de téléphone portable du salarié comme second facteur d’authentification. L’idée est qu’un hacker aura très difficilement accès à la fois au mot de passe et au téléphone. Cette protection supplémentaire est facile à activer sur la plupart des systèmes et renforce considérablement la sécurité des accès.
Une grande partie des avancées dans ce domaine provient de Google, qui n’a pas eu un seul piratage de compte Gmail sur ses 85 000 collaborateurs pendant un an. Leur secret ? Une clé de sécurité physique « Titan » qui se branche sur un port USB. Même avec nom d’utilisateur et mot de passe, l’accès est impossible sans la clé physique.
En résumé, les PME doivent garder à l’esprit que la sécurité d’un site web ou d’un réseau ne consiste pas à appuyer sur un bouton pour ne plus jamais s’en soucier. C’est un processus itératif où la ligne d’arrivée recule à mesure que vous progressez. Il n’existe pas de solution miracle. Les hackers n’arrêtent jamais de tester et d’apprendre, raffinant sans cesse leurs méthodes — vous devez en faire autant. Aujourd’hui, les entreprises doivent aussi respecter les règlements sur la confidentialité des données , donc mettre en place une gouvernance des données vous aidera à assurer que toutes les données utilisées sont collectées et gérées correctement.
Si ce n’est déjà fait, vous ou une personne désignée devriez suivre de près l’actualité de la cybersécurité pour repérer les nouvelles techniques d’attaque et de prévention dès leur apparition. Dans un monde où l’adversaire ne cesse d’apprendre , vous ne pouvez pas vous permettre de rester passif. Si vous tenez à votre entreprise, la complaisance n’est pas une option pour garantir la confidentialité de votre réseau et de vos données.
Selon le Comité des petites entreprises du Congrès américain, 71 % des violations de sécurité en ligne ciblent des sociétés de moins de 100 employés, car les PME constituent souvent une cible facile en raison de défenses moins robustes.
Les pare-feu constituent la première barrière en surveillant les flux de données entre votre réseau et Internet, filtrant ainsi les activités suspectes.
Mettez en place une politique BYOD exigeant que les appareils personnels installent automatiquement les mises à jour de sécurité et respectent la politique de mot de passe de l’entreprise.
Les mots de passe doivent être changés tous les 60 à 90 jours, comporter au moins 8 caractères, et inclure des majuscules, minuscules, chiffres et caractères spéciaux.
Des sauvegardes régulières dans le cloud et sur des sites distants permettent une reprise rapide et minimisent les interruptions en cas de cyberattaque ou de perte de données.
L’anti-malware aide à détecter et bloquer les logiciels malveillants, notamment ceux provenant d’e-mails de phishing, réduisant ainsi le risque de compromission du réseau.
La MFA ajoute une couche de sécurité supplémentaire à la connexion en exigeant une vérification additionnelle, comme un code envoyé sur le téléphone, rendant l’accès non autorisé bien plus difficile.
Gary Stevens est un développeur front-end. Il est passionné à plein temps par la blockchain et bénévole à la fondation Ethereum, ainsi que contributeur actif sur Github.
Ne mettez pas en danger les données précieuses de vos clients. Mettez en œuvre ces 7 conseils de sécurité web pour prévenir les violations de données et garder votre entreprise en sécurité.
Le marketing d'affiliation est simplement un partenariat entre un marketeur et une entreprise. Découvrez comment lancer un programme d'affiliation et augmenter ...
Découvrez des stratégies concrètes pour que les petites entreprises tirent parti du marketing d'affiliation. Apprenez à utiliser la preuve sociale, le contenu g...
Post Affiliate Pro prend la cybersécurité très au sérieux. Découvrez les mesures de sécurité que nous utilisons pour protéger vos données contre les pirates....
Rejoignez notre communauté de clients satisfaits et offrez un excellent support client avec Post Affiliate Pro.
