Aller au contenu principal
Sécurité

Cybersécurité des TPE-PME : les bonnes pratiques

Parcourez les conseils de l'ANSSI concernant la cybersécurité des TPE et PME.

Aline Cordier Simonneau 2 min de lecture
Illustration : Cybersécurité des TPE-PME : les bonnes pratiques
Les TPE et PME doivent se protéger et se préparer aux cyberattaques.
Sommaire
    Écouter cet article

    Plus exposées au risque cyber car moins bien protégées que les grosses entreprises, les TPE-PME sont désormais dans le viseur des cyberattaquants. Comment réduire l’exposition de son entreprise aux risques cyber et renforcer sa protection ? Passons en revue quelques bonnes pratiques.

    Sauvegarder régulièrement ses données

    Une entreprise qui réalise régulièrement des sauvegardes de données pourra les restaurer plus rapidement en cas d’incident cyber (lors d’une attaque par ransomware ou rançongiciel, par exemple).

    Pour que cette sauvegarde soit réellement efficace en cas d’attaque, l’entreprise doit identifier au préalable les données essentielles au maintien ou à la reprise de ses activités puis définir un rythme de sauvegarde (mensuel, hebdomadaire, quotidien…), et tester régulièrement ses sauvegardes de données.

    Sensibiliser les salariés

    Souvent désignés comme le « maillon faible » des organisations en matière de cybersécurité, les salariés peuvent également constituer le dernier rempart pour empêcher qu’une tentative de phishing réussisse au sein de l’organisation.

    Concrètement, cette sensibilisation des utilisateurs peut prendre plusieurs formes :

    • Mise en place d’une charte informatique,
    • Diffusion régulière de bonnes pratiques en matière d’hygiène numérique (via des newsletters internes, par exemple),
    • Mise en place de campagnes de simulation de phishing,
    • Etc.

    Mettre en place une politique de mots de passe robustes

    L’utilisation de mots de passe trop simples (123456, azerty, etc.) ou du même mot de passe pour différents services est trop risquée. Voici quelques conseils pour mettre en place une politique de gestion de mots de passe :

    • Utiliser 14 caractères minimum pour les services critiques,
    • Mélanger des capitales, minuscules, chiffres et caractères spéciaux,
    • Ne pas faire figurer d’éléments personnels dans un mot de passe (sa date de naissance, par exemple),
    • Utiliser une phrase de passe,
    • Utiliser un mot de passe différent pour chaque service (messagerie professionnelle, logiciel métier, etc.),
    • Générer des mots de passe robustes via un coffre-fort de mots de passe,
    • Activer l’authentification à deux facteurs lorsque c’est possible.

    Sécuriser la messagerie professionnelle

    Les messageries professionnelles sont toujours un vecteur d’infection privilégié. Il est donc nécessaire de respecter quelques règles :

    • Ne pas mettre en place de redirection de messages professionnels vers une messagerie personnelle,
    • Disposer d’un système d’analyse antivirus,
    • Activer le chiffrement TLS (les e-mails sont ainsi chiffrés durant leur acheminement),
    • Sensibiliser les utilisateurs sur les différents risques autour de la messagerie professionnelle (demande de virement du président, pièces jointes ou liens frauduleux, etc.).

    Savoir comment réagir en cas d’incident

    En cas d’incident cyber avéré, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) recommande de « déconnecter son équipement ou son système d’information d’entreprise d’Internet » et de ne pas éteindre ni modifier « les ordinateurs et matériels affectés par l’attaque » (ce matériel étant utile aux enquêteurs), encore moins de payer la rançon en cas de rançongiciel. L’entreprise victime doit également traiter les aspects juridiques et la communication autour de l’incident.

    Pour balayer de manière plus complète les questions relatives à la cybersécurité des TPE et PME, consultez le guide de l’ANSSI sur ssi.gouv.fr.

    #Sécurité #Bonnes pratiques
    Partager

    À lire aussi

    Tous les articles →