Cybersécurité des TPME/PME : Bercy propose de nouveaux outils

 

 

 

Le site economie.gouv édité par Bercy rappelle les bonnes pratiques et fournit plusieurs outils pour protéger ses données et ses équipements informatiques des cyberattaques. Voici l’essentiel pour un créateur ou un dirigeant d’entreprise.

 

Au niveau de l’équipement informatique

 

En premier lieu, Bercy préconise de procéder à toutes les mises à jour qui sont proposées par vos différents logiciels. En effet, les mises à jour renforcent les protections contre le piratage. En parallèle, vérifiez que la fonction anti-hameçonnage (anti-pishing) de votre navigateur Internet est activée (généralement via la commande ou les paramètres du navigateur). Cette fonctionnalité bloque les navigations suspectes et vous prévient en cas de tentative d’infection ou de vol de données.

 

Au niveau du site Internet

 

Bercy rappelle qu’un nom de domaine qui se termine en .fr bénéficie des services de l’AFNIC* (Association française pour le nommage Internet en coopération) pour le règlement des litiges ou pour bénéficier de tout type de service relatif à l’enregistrement du nom de domaine. A moins d’envisager un site disponible à l’international (.com), il sera donc judicieux de créer un site en .fr

De même, il est recommandé de créer un site avec le protocole de sécurité renforcé « https » (et non http).

Enfin, n’hésitez pas à passer régulièrement en revue les paramètres de sécurité de votre site et de réaliser toutes les mises à jour.

*L’AFNIC gère également les noms en les extensions .re (Ile de la Réunion), .wf (Wallis et Futuna), .pm (Saint-Pierre et Miquelon), .yt (Mayotte) et .tf (Terres australes et antarctiques françaises).

 

 

 Au niveau des données sensibles de l’entreprise

 

Votre niveau de protection des données doit être adapté à leur niveau de sensibilité. Dans ces conditions, Bercy préconise :

  • de scorer l’information ou la donnée selon son niveau de sensibilité. Ce marquage permet de zoomer sur les documents les plus importants de votre entreprise
  • de verrouiller l’accès aux documents et informations confidentiels. Pour cela, veillez à utiliser un logiciel de traitement de texte comprenant la possibilité d’intégrer des codes d’accès aux documents
  • d’effectuer des sauvegardes récurrentes pour vous prémunir des éventuels incidents matériels ou des erreurs de manipulation

Pour aller plus loin dans la protection de vos documents sensibles, notamment dans le cadre d’attaques extérieures, vous pouvez utiliser une solution de chiffrement ou un accès via une puce avec certificat numérique.

 

Si vous avez des salariés

 

Une charte informatique est d’usage pour rappeler les règles de sécurité à appliquer à l’ensemble de vos équipes. Sachez qu’un kit de sensibilisation a été élaboré à cet effet par la cellule cyber du gouvernement. Il est bien conçu et facile à prendre en main. Vous le trouvez en téléchargement sur le site : cybermalveillance.gouv.fr/contenus-de-sensibilisation.

 

En résumé, votre charte informatique pourra comporter les règles suivantes (liste non exhaustive) :

  • ne pas ouvrir les emails douteux (provenance, forme du message) qui pourraient être des rançongiciel (courant dans les TPE/PME)
  • ne pas ouvrir les pièces jointes douteuses contenues dans les mails (pif,.exe, .lnk, .vbs, .pif, .com)
  • idem concernant les liens sur lesquels il est proposé de cliquer : une lettre ou un caractère différent dans l’adresse peuvent mener vers un site frauduleux au lieu d’un site officiel
  • cliquer essentiellement sur des sites en « https »
  • ne pas connecter une clé USB ou un disque dur inconnu de l’entreprise, car ils pourraient être infectés
  • ne pas installer de logiciel, ne pas télécharger d’outil sur le poste de travail sans l’accord du chef d’entreprise
  • pour les salariés ayant accès au compte administrateur, leur demander d’utiliser le compte utilisateur qui dispose de moins de pouvoirs et de moins d’accès

 

Dans la mesure du possible, n’hésitez pas à désigner un responsable chargé de la sécurité de vos systèmes d’informations, voire une équipe dédiée aux systèmes d’informations selon la taille de votre entreprise et la sensibilité de vos données.

 

 

Évaluez gratuitement votre niveau de protection

 

Les services du haut fonctionnaire de défense et de sécurité du ministère de l’Économie et des Finances ont mis un point un autodiagnostic cyber pour vérifier que vos données ou celles de vos fournisseurs et partenaires sont suffisamment protégées. Ce service est gratuit et disponible en ligne : ssi.economie.gouv.fr.

 

 

Un MOOC pour se former à la protection des données

 

L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) propose un MOOC gratuit disponible en ligne jusqu’en 2021 pour vous former facilement à la protection des données et aux enjeux de la sécurité numérique. Le MOOC vise tant les entrepreneurs et dirigeants que les équipes salariées. Vous le trouvez ici : secnumacademie.gouv.fr.

 

 

 

Vos contacts en cas de cyberattaque

 

En cas d’acte cyber malveillant (ou d’une simple suspicion d’un acte malveillant), vous pouvez bénéficier d’un accompagnement en contactant la plateforme cybermalveillance.gouv.fr.

Pour signaler un contenu illicite, rendez-vous sur internet-signalement.gouv.fr.