Cybersécurité : surfons couverts !

Ce 31 octobre s’achève le mois de la cybersécurité, que nous vous avons fait vivre grâce à beaucoup de communication et de nombreuses rencontres, autant lors de nos interventions et nos conférences, qu’à travers les petites expériences ludiques auxquelles vous avez pu participer sur l’application Klaxoon.

Mais attention, ce n’est pas parce que le mois est fini qu’il faut jeter les bonnes attitudes apprises dans la corbeille ! Petite ou grande entreprise, la cybersécurité est aussi assurée par vos bons réflexes au quotidien, et ce toute l’année ! Parce qu’avec environ 180 000 attaques informatique effectuées au quotidien à travers le monde, vous pouvez vous assurer que les pirates prennent encore moins de vacances que vous.

C’est pourquoi, en guise de memo, nous vous avons récapitulé dans cet article les astuces essentielles à appliquer en toute simplicité et dès maintenant afin de protéger efficacement vos données. Chaque bon geste compte !

CHOISIR LE BON MOT DE PASSE : PAS DE FORMULE MAGIQUE !

Le mot de passe est un moyen de protection vieux comme le monde : et à en juger par le classement des mots de passe les plus utilisés dans le monde, il semblerait que chez de nombreuses personnes, la complexité de celui-ci nous renvoie également à l’Âge de Pierre.

Les 5 mots de passe les plus utilisés en 2018 sont :

C’est évidemment tout l’inverse qu’il faut faire. Votre mot de passe doit être suffisamment complexe, c’est-à-dire impossible à deviner (évitez donc le nom de votre animal de compagnie par exemple, ou tout autre nom issu du dictionnaire d’ailleurs) et comporter différents caractères (chiffres, lettres, caractères spéciaux).

La longueur est également importante : la CNIL recommande un mot de passe de 12 caractères, mais déjà à partir de 8 caractères, on commence à parler.

Comme disait l’autre, un mot de passe, c’est comme un slip : on ne le donne pas aux autres, on ne le laisse pas trainer sur son bureau, c’est conseillé d’en avoir plusieurs, et on en change lorsque nécessaire. Si une personne mal intentionnée tombe dessus, vous en serez également responsable ! Nous vous recommandons donc également de différentier vos mots de passe pros et persos, ce serait dommage de ruiner les deux aspects de votre vie d’un seul coup.

C’est bien sûr là où vous nous dites : « Mais comment m’y retrouver dans tous ces mots de passe ? Déjà que j’ai du mal à retenir l’anniversaire de mes parents !». Nous vous déconseillons de les écrire dans un carnet, dans l’appli « bloc-notes » de votre portable, ou encore sur une nappe de restaurant.

De nombreuses méthodes de stockage plus fiables et sécurisantes existent :

Actuellement, la seule application de stockage recommandée par l’agence nationale s’appelle Keepass, une installation en dur, mais compatible avec vos téléphones grâce à des plug ins, cette petite merveille centralise tous vos mots de passe et génère des combinaisons fortes pour vos connecter sur tous vos sites préférés. Ça n’en fait donc qu’un seul à retenir ! Si après ça vous n’y arrivez toujours pas, on ne peut plus rien pour vous !

Keepass n’est pas la seule sur ce marché, d’autres solutions existent aussi, comme Dashlane, Lastpass, et j’en passe. Des solutions basées sur la sécurité en lesquelles on peut avoir confiance, bien que l’on ne sache pas forcément dans quel pays sont hébergées nos données…

Mention spéciale au petit dernier, une appli française appelée Zenypass, référencée par la CNIL, proposant des outils que nous testons actuellement et qui sont plein de promesses !

Maintenant que, comme Patrick Sabatier, vous êtes devenus des professionnels du mot de passe, voyons l’étape suivante.

METTRE SES LOGICIELS A JOUR : C’EST MOI QUI PILOTE !

Ça arrive à tout le monde : on a tendance à fuir les mises à jour Windows comme les acteurs français fuient le fisc. Rien de plus agaçant que de devoir redémarrer son ordinateur et patienter durant l’installation des patchs correctifs, surtout en pleine séance de travail !

Si nous vous recommandons systématiquement de tenir régulièrement à jour vos logiciels, ce n’est pas pour vous torturer : en plus d’améliorer les fonctionnalités du produit, ces patchs sont surtout là pour corriger les failles de sécurité présentes dans la version actuelle, des failles qui, une fois exploitées par les pirates, pourraient vous coûter cher. Un ransomware peut faire des dégâts : en 2017, le groupe Saint-Gobain a par exemple perdu environ 250 millions d’euros à la suite d’une attaque provoquée par une faille logicielle, laissée béante pour des raisons de production (les dernières mises à jour des logiciels de la boîte créant parfois des problèmes de compatibilité avec leurs outils).

C’est pourquoi, chez Strat&SI, on insiste régulièrement chez nos clients pour que les mises à jour des logiciels de nos clients soient bien faites, en particulier les maj Windows et celles des antivirus : rien de pire que de voir un pc portable qui n’a pas été mis à jour depuis deux ans, c’est comme pour le brossage de dent, si vous traînez trop ça risque de sentir pas bon. Et comme un ortho-dentiste, impossible de nous bluffer : nous pouvons mettre en place un système de monitoring pour détecter les problèmes de logiciels obsolètes et les réparer en direct. Nous lisons également avec assiduité le changelog des derniers patchs de vos logiciels les plus importants, car l’information c’est le pouvoir !

Soigner les mises à jour, ça ne se limite pas uniquement à votre ordinateur : pensez à mettre à jour votre téléphone et vos applications, les failles de sécurité y sont tout aussi importantes et dommageables. Oui, même votre Iphone flambant neuf n’est pas à l’abri d’un piratage ! N’oublions également pas les mises à jour matérielles : pas forcément le point le plus sensible de votre système d’information, mais pensons tout de même à remplacer régulièrement ses équipements actifs : switch, bornes wifi… celles-ci ne sont pas exemptes de failles !

Passé un moment, il faut également laisser les fossiles au musée : faites attention aux systèmes d’exploitation qui ne sont plus soutenus. Par exemple, en janvier prochain Windows 7 ne sera plus mis à jour, et sera donc à la merci des pirates. Nous vous conseillons donc de passer dès que possible au système d’exploitation le plus récent, au risque parfois de devoir contourner d’éventuels problèmes de compatibilité sur vos machines les plus anciennes. Vous allez voir, on s’habitue à la nouveauté plus rapidement que l’on ne le pense !

SAUVEGARDEZ VOS DONNEES REGULIEREMENT : COPIER N’EST PAS TRICHER !

Les photos sur papier, c’est chouette. Mais si vous les perdez, c’est irremplaçable. Si seulement vous en aviez fait une photocopie ! Pour vos données informatiques c’est pareil :  Il faut sauvegarder régulièrement ses données, et au-delà de ça il faut les tester !

Une bonne sauvegarde se fait régulièrement, elle doit être supervisée pour assurer un fonctionnement optimal, et permettre une restauration rapide de la totalité des données, ou dans le pire des cas du plus de données possibles. Du plus petit fichier au serveur complet, tout est important, tout doit être remplaçable ! Idéalement, une sauvegarde doit être effectuée en interne, mais également en externe, pour parer les incidents majeurs, et pouvoir redémarrer son activité beaucoup plus rapidement.

C’est bien beau de faire des mises à jour et des sauvegardes, mais encore faut-il monitorer ses données régulièrement : pour cela pas de remède miracle, de très nombreuses solutions existent, de la plus à la moins coûteuse, que ça soit des serveurs internes, externes, la sauvegarde des postes de travail sensibles… Tout ça pour ne pas vivre la frayeur de sa vie en cas de panne, ou pire, de vol !

Prenons l’exemple d’un prospect s’étant fait subtiliser son Ipad et son mac. Il avait tout bien sauvegardé au préalable et il a pu verrouiller son mac, mais malheureusement pas son Ipad, qui en plus de cela était équipé d’un mot de passe faible ! Au final, il a tout de même pu s’assurer que ses données ne soient pas compromises. Certains clients en revanche peuvent tout perdre en un instant !

Pour choisir la meilleure réponse à vos problématiques de sauvegarde, tout dépend de votre besoin : grossièrement, nos recommandations sont basées sur la durée d’interruption de mon activité informatique que j’accepte sans mettre en péril ma société, et le temps maximum de travail que je suis prêt à perdre en cas de panne.

Selon leur activité, certains peuvent se permettre de perdre une journée de travail, et se passer d’informatique pendant deux jours le temps de la restauration, mais pas tous.

Notre métier, c’est essentiellement de montrer que les petits réflexes font la différence. Une sauvegarde régulière sur un disque dur externe (que l’on va bien évidemment ranger à un autre endroit que notre ordinateur), ça ne mange pas de pain et ça fait toujours du bien.

SENSIBILISONS-NOUS : UN INTERNAUTE AZERTY EN VAUT DEUX !

On ne le dira jamais assez : 80% des problèmes informatiques se situent entre la chaise et l’écran. Chaque jour, par nos interventions, nos conférences, notre communication (comme cet article que vous lisez actuellement), ou les cours que nous pouvons être amenés à donner, nous œuvrons pour de meilleurs réflexes informatiques au quotidien, et pour soigner les usages.

Chez nos clients, on ne sensibilisera jamais assez, que ça soit de façon physique (avec des actions ludiques) ou via des serious games qui permettent à chacun de mesurer son niveau en cybersécurité en s’amusant, avec une moyenne de 60 % de bonnes réponses pour une 100aine personnes interrogées.

Parfois, quand nous d’humeur plus facétieuse, nous traitons le mal par le mal, avec des actions de sensibilisation surprise sous la forme de fausses attaques, ou de faux mails frauduleux, afin de savoir si les cours magistraux suffisent et faire des retours à l’équipe. Lors de notre dernière attaque simulée via un lien de phishing (technique consistant à créer une fausse page de connexion pour subtiliser les identifiants et mots de passe des utilisateurs), le résultat montre que notre action de sensibilisation est encore loin d’être terminée :  sur 591 emails frauduleux envoyés, 290 ont été ouverts, 101 personnes ont cliqué sur le lien et 51 nous ont donné leur identifiant / mot de passe.

Il y a certes encore du chemin à faire, mais la cybersécurité c’est un combat qui se mène au quotidien, au fur et à mesure de l’évolution des attaques. Il faut bien connaître l’ennemi, qui est de plus en plus redoutable et inventif, et les dernières menaces qui planent sur les entreprises, afin d’informer nos clients, avant que les pirates ne passent à l’action. Ils attaquent, nous défendrons.

Pour que chaque mois soit celui de la cybersécurité, faisons de celle-ci l’affaire de tous, tous les jours. Réfléchir d’abord, cliquer après !