Conseils pour les PME

Les réseaux d’entreprise sont géné­ra­le­ment plus dif­fi­ciles à pro­téger contre les cybe­rat­taques que les réseaux privés. Cette vul­né­ra­bi­lité s’explique par leur plus grande com­plexité et les consé­quences éco­no­miques plus graves en cas de dys­fonc­tion­ne­ment ou de panne. Il est donc indis­pen­sable de prendre des mesures effi­caces pour réduire les risques.

Prin­ci­paux conseils à suivre :

  • Lors de l’évaluation des risques et de la mise en œuvre des mesures, prenez en compte les recom­man­da­tions et bro­chures rédi­gées par des orga­nismes reconnus.
  • Iden­ti­fiez les pro­cessus, sys­tèmes et don­nées qui comptent le plus pour votre entre­prise et traitez-les en prio­rité.
  • Réflé­chissez à des mesures tech­niques et orga­ni­sa­tion­nelles appro­priées pour accroître la sécu­rité de l'information dans le réseau de votre entre­prise.
  • Défi­nissez les res­pon­sa­bi­lités, les com­pé­tences et les ser­vices à contacter pour les ques­tions liées à la sécu­rité.

Les réseaux d’entreprise sont en général des struc­tures com­plexes qui se sont mises en place pro­gres­si­ve­ment, avec de nom­breuses inter­faces et des flux de don­nées vers une mul­ti­tude de clients et par­te­naires com­mer­ciaux. De courtes périodes de dys­fonc­tion­ne­ment ou de pannes suf­fisent par­fois pour impacter lour­de­ment l’activité éco­no­mique de l’entreprise. Les PME sont donc, de ce point de vue, davan­tage expo­sées aux risques de la cyber­cri­mi­na­lité que les par­ti­cu­liers.

Des mesures de pro­tec­tion adap­tées s'imposent donc pour amé­liorer la capa­cité de résis­tance des PME – ce que l’on appelle aussi la « rési­lience infor­ma­tique » –, et réduire les risques au minimum. Or du fait jus­te­ment de la com­plexité et de l’ampleur de leurs réseaux infor­ma­tiques, ces mesures de pro­tec­tion s’avèrent sou­vent très coû­teuses et très lourdes en termes de res­sources. D’où l’intérêt de bien y réflé­chir afin d’apporter les meilleures solu­tions.

Se reporter aux recom­man­da­tions et bro­chures offi­cielles

Com­ment les PME peuvent-elles affronter cette lourde tâche ? Et com­ment peuvent-elles s’assurer qu’aucun aspect ne sera été négligé ?

Plu­sieurs ins­ti­tu­tions recon­nues se sont pen­chées sur la ques­tion et sur l’application de mesures de sécu­rité infor­ma­tique pour les PME. De nom­breuses recom­man­da­tions et bro­chures ont ainsi été rédi­gées pour aider les entre­prises à adopter une approche la plus effi­cace pos­sible. Le recours à ces outils est donc vive­ment conseillé.

Pour vous fami­lia­riser avec la ques­tion, vous pouvez com­mencer par consulter la « Sécu­rité de l'information : aide-mémoire pour les PME » de la cen­trale MELANI. Cet aide-mémoire très syn­thé­tique s’adresse spé­ci­fi­que­ment aux PME suisses et s’avère donc utile pour amé­liorer la sécu­rité infor­ma­tique dans leur infra­struc­ture sys­tème et leur réseau infor­ma­tique.

Iden­ti­fier les pro­cessus, sys­tèmes et don­nées

La ques­tion se pose ensuite de savoir par où et par quoi com­mencer. Quels sont les pro­cessus, sys­tèmes ou don­nées à traiter en prio­rité ?

Pour répondre à cette ques­tion, une ana­lyse de risque (même simple) s'impose. Il s’agit pour com­mencer d’identifier les pro­cessus, sys­tèmes et don­nées stra­té­giques ou par­ti­cu­liè­re­ment impor­tants dans la chaîne de créa­tion de valeur de l’entreprise et d’évaluer leur vul­né­ra­bi­lité face aux dan­gers liés à l’usage des TIC.

Prendre des mesures tech­niques adap­tées

C’est sur le plan tech­nique qu’il faut ériger la pre­mière bar­rière défen­sive pour faire face aux cybe­rat­taques. La liste des mesures envi­sa­geables est longue, mais les­quelles choisir ?

La réponse dépend for­te­ment des menaces spé­ci­fiques aux­quelles la PME est exposée. On peut tou­te­fois iden­ti­fier un cer­tain nombre de mesures tech­niques géné­rales à appli­quer pour garantir une pro­tec­tion de base à chaque PME. Parmi ces mesures, il y a bien entendu :

  • l’exécution régu­lière de sau­ve­gardes de don­nées (backup).
  • l'installation et l’utilisation d'un anti­virus régu­liè­re­ment mis à jour
  • le télé­char­ge­ment et l’installation des mises à jour de sécu­rité à inter­valles régu­liers

Prendre des mesures orga­ni­sa­tion­nelles adap­tées

Or, comme les mesures tech­niques ne suf­fisent pas pour assurer une pro­tec­tion glo­bale, elles doivent être accom­pa­gnées de mesures de type orga­ni­sa­tionnel.

Là encore, il existe tout un atti­rail de mesures pos­sibles, parmi les­quelles il convient de mettre en avant :

  • la sen­si­bi­li­sa­tion et la for­ma­tion régu­lière des col­la­bo­ra­teurs
  • la mise en place d'une poli­tique très stricte concer­nant les mots de passe
  • la sécu­ri­sa­tion des appli­ca­tions cri­tiques (p. ex. le prin­cipe des « deux paires d’yeux » ou des doubles contrôles dans les appli­ca­tions d’e-banking)

Définir les res­pon­sa­bi­lités, les com­pé­tences et les ser­vices à contacter

Qui est res­pon­sable de la sécu­rité des don­nées ? Qui est chargé de l'installation des mises à jour de sécu­rité ? À qui les sala­riés doivent-ils s’adresser s’ils estiment être la vic­time d'une attaque par mal­ware par exemple ?

Pour que tout fonc­tionne sans accroc, les res­pon­sa­bi­lités, les com­pé­tences et les ser­vices à contacter en cas de pro­blème de sécu­rité infor­ma­tique doivent être clai­re­ment définis au sein de l’entreprise, mais aussi être connus de l’ensemble des sala­riés.

La créa­tion et l’utilisation d'une pla­te­forme d'information adaptée doit per­mettre un accès faci­lité aux bureaux concernés, mais aussi de réduire les délais d'intervention en cas d'incident et d’augmenter le taux de signa­le­ment.

Les PME suisses sont de plus en plus la cible de cybe­rat­taques, avec par­fois des consé­quences dra­ma­tiques pour les entre­prises concer­nées. Il est donc essen­tiel de prendre des mesures pour réduire les risques.

Qu’aimeriez-vous savoir encore sur le thème de la sécurité en e-banking ?

Je sou­haite m'inscrire
à une for­ma­tion :

For­ma­tion de base

La for­ma­tion de base pré­sente les menaces qui planent actuel­le­ment sur Internet ainsi qu’une pano­plie de mesures simples pour vous en pro­téger.

en savoir plus

For­ma­tion pra­tique

Exercez-vous sur des ordi­na­teurs pré­parés par nos soins et apprenez à appli­quer les prin­ci­pales mesures à suivre pour votre sécu­rité infor­ma­tique et la sécu­ri­sa­tion de vos opé­ra­tions d’e-banking.

en savoir plus

Send this to a friend