Saviez-vous que 64 % des personnes continuent à utiliser un mot de passe exposé lors d’une faille de sécurité ? Et que la culture populaire, le divertissement et la politique influencent également la création de mots de passe ?

C’est, entre autres, ce que révèle le rapport SpyCloud intitulé “2022 Annual Identity Exposure Report”. Ces mauvaises pratiques, comme tant d’autres,  peuvent mettre en danger votre organisation et ses utilisateurs, les exposant ainsi aux cyberattaques. 

Pour mieux se protéger, votre entreprise doit renforcer sa première ligne de défense : vos collaborateurs. Les former en cybersécurité et les tenir informés des tendances concernant les types d’attaques et leur fréquence est une étape incontournable de votre stratégie. Ils seront ainsi plus alertes et au fait des écueils à éviter, ainsi que des risques pesant sur eux et vos clients. Grâce à ces 18 bonnes pratiques, votre sécurité sera renforcée et vous serez mieux préparé aux cybermenaces.

Vous ne pourrez pas empêcher un collaborateur de commettre une erreur, mais en diffusant et rappelant régulièrement les bonnes pratiques, vous améliorez vos chances de succès.

Pour la sensibilisation et la formation des collaborateurs en matière de cybersécurité, voici cinq domaines sur lesquels axer vos interventions : 

1. La sécurité des comptes utilisateurs finaux
2. La protection des équipements de l’organisation
3. La protection des données et les politiques de stockage
4. La gestion responsable des logiciels et des licences
5. L'anticipation de la cyber-menace et la réponse à incidents

 

La sécurité des comptes utilisateurs

Les points d'accès reposant sur des identifiants représentent la surface d'attaque la plus vulnérable de toute organisation. Sécuriser les comptes des utilisateurs finaux à l’aide des bonnes pratiques suivantes est une  première étape vers la protection de l'ensemble de l'organisation contre les risques:

Appliquer une politique de conformité en matière de mots de passe

Vos collaborateurs devraient appliquer strictement la politique mise en place par votre organisation. Vous devriez décider des critères de longueur et de complexité à employer lors de la création d’un mot de passe. Certaines solutions vous permettent même de bloquer l’utilisation de mot de passe compromis. 

Utiliser l’authentification multi-facteur dès que possible

L’activation du MFA pour les utilisateurs qui se connectent aux applications de l’entreprise ou modifient des informations liées au compte en question devrait être généralisée dans la mesure du possible. Le risque de vol d’informations diminue avec l’augmentation des points de contrôle liés à la vérification des identités.

Utiliser un gestionnaire de mots de passe

Encouragez l'utilisation d'un gestionnaire de mots de passe, non seulement à titre individuel, mais également à titre collectif : les fonctions de coffre-fort partagé permettent d’éviter l'échange non sécurisé de mots de passe entre les employés.

Ne jamais laisser des informations sans protection

Il est bon de rappeler à vos collaborateurs l’importance de verrouiller leur écran en cas d’absence temporaire, qu’ils travaillent dans vos locaux ou depuis un autre lieu.

 

La protection des équipements de l’organisation

Il est indispensable de sécuriser l’ensemble de vos appareils aussi bien que votre réseau.

Fournir le matériel informatique à vos collaborateurs

C’est une règle fondamentale. Le matériel doit être fourni et configuré par vos propres services. Cette pratique permet au service informatique d’intervenir à distance sur le matériel et de garantir la tenue à jour des systèmes d'exploitation et équipements.

Chiffrer aussi les appareils mobiles

Les appareils mobiles sont très souvent utilisés par les entreprises. Les fonctionnalités dont ils disposent leur permettent d’étendre la couverture du réseau de l’entreprise, partout où se trouvent ses collaborateurs. C’est très pratique, souvent efficace, mais ça se fait au détriment d’une surface d’attaque toujours plus grande. Trop souvent, ces appareils sont de véritables talons d'Achille pour les organisations. Renforcer leur sécurité est donc un enjeu majeur.

L’entreprise doit donc tirer parti des fonctionnalités orientées sécurité disponibles sur ces appareils pour en permettre l’utilisation dans des conditions acceptables de sécurité. Le chiffrement des données du téléphone et celui des messages sont vivement recommandés pour faire face aux risques consécutifs à une perte ou un vol de l’appareil.

En ce qui concerne l’accès au téléphone (ou à son système pour être plus précis), il ne devrait se faire qu’après avoir saisi un mot de passe ou s’être authentifié au déverrouillage de l’écran. Le but étant que seuls les collaborateurs qui y sont autorisés ont accès au téléphone, comme pour un ordinateur.

Éteindre les appareils régulièrement et correctement

Très souvent, vos collaborateurs laissent leur ordinateur sous tension pendant le week-end. Pour la sécurité des équipements et leur bon fonctionnement, il est préférable de les mettre hors tension. Les mises à jour de sécurité importantes requièrent souvent un redémarrage de l’ordinateur. Éteindre l’ordinateur est donc une bonne pratique pour la maintenance des logiciels. 

Ne pas désactiver les protections intégrées

Encouragez vos collaborateurs à ne pas désactiver les pare-feux. Leur fonction est de protéger votre organisation. Les désactiver, c’est exposer votre organisation aux attaques malveillantes qui utilisent des ports de réseau ouverts. Ajouter un antivirus permet une couche de protection supplémentaire étant donné qu’ils sont chargés de scanner les nouveaux fichiers en temps réel et vous avertissent en cas de danger.

 

La protection des données et les politiques de stockage

La confidentialité des données est également un élément fondamental de la sécurité informatique. En adoptant un cadre "zéro confiance" au sein de votre organisation, vous réduisez les chances qu'un de vos utilisateurs finaux mette vos données en péril. Quel que soit le cadre dans lequel s’inscrit votre activité, les quatre recommandations suivantes favorisent la confidentialité des données de l’entreprise :

Décourager ou interdire le stockage de données personnelles sur les équipements de l’entreprise

De plus en plus d’entreprises encouragent leurs employés à stocker des données dans le cloud, ce qui permet un plus grand contrôle de l’accès à ces données. Si cette politique est en place au sein de votre organisation, aucune information personnelle ne devrait être stockée sur les appareils utilisés par les employés. Dans le cas contraire, il existe une possibilité pour que les informations personnelles de collaborateurs se retrouvent dans le cloud avec les données de l’entreprise.

Élaborer une politique efficace de classification des données

Il s’agit d’un document qui comprend un cadre de classification, une liste des responsabilités pour identifier les données sensibles et la description des différents niveaux de classification des données. Vous devriez adopter et définir ces niveaux de classification en fonction de votre secteur d’activité. Par exemple, si vous travaillez dans la presse, vous pouvez définir les niveaux suivants concernant les articles rédigés par vos collaborateurs : Brouillon - Publiable - Confidentiel. 

Vous pouvez également définir les niveaux de classification comme suit :

Niveau 1 : Données très sensibles de l’entreprise ou de clients

Niveau 2 : Données internes sensibles

Niveau 3 : Données internes qui ne sont pas destinées à être divulguées au public

Niveau 4 : Données pouvant être divulguées au public

Ci-dessous vous trouverez un tableau vous proposant d’autres exemples de niveaux de classification. 

Sensibilité	Désignation
Restreint	Données personnelles ou professionnelles soumises aux exigences de traitement les plus strictes en raison de leur sensibilité et du risque qu'elles représentent pour l'entreprise et les clients en cas de traitement inadéquat.
Confidentiel	Données personnelles ou professionnelles soumises à des exigences de traitement strictes en raison de leur sensibilité et des risques qu'elles présentent en cas de traitement inadéquat.
Interne	Données mises à disposition des employés et des partenaires affiliés dans le cadre d'accords de confidentialité uniquement en raison de leur emploi au sein de votre entreprise, et qui ne sont pas classées comme confidentielles ou restreintes.
Public	Données commerciales accessibles au public, y compris celles qui sont divulguées au public, et qui ne sont pas soumises à des exigences de traitement.

Source: Data Privacy (Nishant Bhajaria)

Dissuader le stockage de données sur périphérique USB

Non seulement leur taille permet de les égarer facilement, mais en général, ils ne sont pas non plus chiffrés. Si un périphérique amovible (disque ou clé USB) est branché sur un appareil infecté, puis sur l’un de vos équipements, il peut alors introduire un virus dans votre système, même dans le cas d’un ordinateur isolé du réseau (comme on a pu le voir avec Stuxnet). Laissez le service informatique les fournir et les configurer si leur utilisation est réellement nécessaire.

Faire attention aux e-mails et messages suspects

Entraînez vos employés à repérer les e-mails suspects et à les transférer en cas de doute à votre service informatique qui sera plus à même d’identifier et de résoudre le problème. Le service informatique peut également mener des campagnes de test de hameçonnage pour sensibiliser les employés à ce phénomène et les informer de la conduite à tenir. 

Faire attention à votre environnement de travail et à la sécurité des données

L’impression de documents comportant des informations liées à l’organisation est une pratique à proscrire. Ces documents pourraient facilement tomber entre de mauvaises mains ! Toutefois, si cela est nécessaire, insistez sur l’importance de détruire ces documents après utilisation. 

 

La gestion responsable des logiciels et des licences

Cette formation à la cybersécurité devrait inclure les risques liés aux logiciels sur les appareils professionnels. Les organisations doivent établir des directives claires sur la manière dont les collaborateurs peuvent télécharger des logiciels qui ne sont pas fournis par défaut sur leurs ordinateurs de travail, et sur le moment où ils peuvent le faire. En voici quelques exemples :

Permission expresse pour tout nouveau téléchargement

Les téléchargements de logiciels devraient être limités. Si un utilisateur a besoin de le faire, il doit contacter le service informatique en premier lieu, afin d'y être autorisé. 

Le MFA pour les logiciels en ligne externes est obligatoire

Pour plus de sécurité, tout logiciel externe devrait être pourvu d’authentification multi-facteur. 

Appliquer le principe de moindre privilège (POLP)

C’est l’une des idées fondatrices en matière de sécurité informatique, qu’elle soit numérique ou physique. En bref, le principe est que tout utilisateur ou processus doit disposer du nombre minimal de droits pour exécuter sa tâche.

 

L'anticipation de la cyber-menace et la réponse aux incidents

Cette dernière étape vous permettra de mettre en place un système vous permettant de répondre aux menaces potentielles. Elle s’adresse plus particulièrement au personnel chargé de la sécurité informatique au sein de votre organisation.

Utiliser l'analyse comportementale pour détecter les comptes et appareils compromis, ainsi que les menaces internes

Un avertissement doit être déclenché à la moindre tentative d’intrusion dans une application. Souvent, les attaques peuvent être détectées en examinant les logs car elles laissent des signes révélateurs qui peuvent être repérés avant qu’elles ne réussissent. 
Par exemple, un attaquant qui tente de deviner un mot de passe effectue de nombreuses demandes à un système de connexion. Le monitoring autour du système de connexion peut détecter des modèles étranges, non conformes au modèle d’accès classique. Ce monitoring peut être transformé en une alerte qui peut, à son tour, alerter une personne chargée des opérations qui activera une sorte de contre-mesure.

Pratiquer des tests d’intrusions

Un test d’intrusion, ou pentest, consiste à tester un système informatique, un réseau ou une application Web pour y déceler des vulnérabilités susceptibles d'être exploitées par un pirate. Ils peuvent être automatisés ou effectués manuellement dans le but de collecter des informations sur la cible avant d'effectuer le test (reconnaissance), d'identifier les points d'entrée possibles, de tenter de s'infiltrer (virtuellement ou réellement), puis de rapporter les résultats obtenus.

Il convient de noter que très souvent une obligation de réaliser régulièrement des tests d’intrusion pèse sur les entreprises considérées comme fournisseurs de SaaS. Cette obligation peut être légale ou contractuelle.
 
Pour en savoir plus sur le déroulement d’un test d’intrusion, vous pouvez explorer cet article.

---

La cybersécurité est un effort constant et collectif. Avec des formations, des rappels et le soutien de votre département IT, vos collaborateurs pourront aider à protéger votre entreprise, ses informations et leurs collègues. 

Les experts sont d’avis que les RSSI pourraient intégrer la psychologie dans leurs programmes de sécurité afin de renforcer l’efficacité de leur travail. En effet, les employés d’une organisation devraient être considérés comme un vecteur d’attaque comme un autre, plutôt que comme “le maillon faible”.

Le Dr. Erik J. Huffman, chercheur en cyberpsychologie, affirme que les réactions humaines face aux tentatives d’hameçonnage sont typiques de l’ADN humain, qui n’a pas encore évolué pour déclencher une réaction de fuite ou d’évasion face à des dangers en ligne. La cyberpsychologie est un domaine relativement nouveau qui s’intéresse à la façon dont l’esprit réagit lorsque les gens interagissent avec la technologie. Pour en savoir plus sur ses recherches, nous vous recommandons de visionner ce TED Talk. 

 

Sources : 

https://spycloud.com/resource/2022-annual-identity-exposure-report/

https://www.bleepingcomputer.com/news/security/14-cybersecurity-best-practices-to-instill-in-your-end-users/

https://expertinsights.com/insights/the-top-enterprise-password-policy-enforcement-software/

https://www.pcmag.com/picks/the-best-password-managers

https://www.gartner.com/reviews/market/zero-trust-network-access

https://www.cybermalveillance.gouv.fr/medias/2020/01/Fiche-reflexe_hameconnage.pdf

https://www.stoik.io/cybersecurite/campagne-phishing

https://blog.netwrix.fr/2018/06/20/comment-elaborer-une-politique-efficace-de-classification-des-donnees-pour-une-meilleure-securite-de-linformation/

https://www.lemagit.fr/definition/Test-dintrusion

https://www.lafabriquedunet.fr/blog/test-intrusion-informatique/