Mesures de prévention

Il faut prendre des mesures pour éviter l’urgence d’une cyberattaque réussie. Comme le disent les experts en informatique, les murs (informatiques) de protection doivent être élevés de manière à ce que les autres soient les premiers touchés. La porte d’entrée numéro 1 réside dans le comportement des collaborateurs et la sensibilisation des cadres et des collaborateurs est donc essentielle. Outre les personnes, les mesures de protection techniques jouent également un rôle important, que nous développerons ensuite.

Il est important de sensibiliser les collaborateurs, car le rythme effréné de la vie quotidienne peut rapidement conduire à agir de manière imprudente dans le feu de l’action et trahir ou à dérober des mots de passe / des noms d’utilisateur. Il vaut donc la peine de former et de sensibiliser les collaborateurs à ce sujet. Cela peut se faire par le biais des mesures 
suivantes :

Formation
Les thèmes suivants peuvent faire l’objet d’une formation :

  • Que sont les mots de passe forts ? Le mot de passe « 123456 » fait partie des mots de passe les plus utilisés. Il est clair que ce mot de passe n’offre que peu de protection. Les gestionnaires de mots de passe sont une bonne solution, car chaque compte doit avoir un mot de passe différent. Le mot de passe du compte professionnel ne doit être utilisé qu’à cette fin.
  • Reconnaître les e-mails suspects (hameçonnage) et comment y réagir de manière appropriée
  • Danger de l’ingénierie sociale : qui devrait être autorisé à voir quelles informations personnelles et qui ne devrait pas ?
  • Sensibiliser le service comptable afin d’éviter les paiements erronés (définir le processus de paiement)
     

Outre les formations, un test d’hameçonnage, par exemple, est un bon moyen de sensibiliser les collaborateurs. Des e-mails d’hameçonnage fictifs sont envoyés à différents intervalles et on regarde ensuite combien de collaborateurs sont tombés dans le panneau. Ces collaborateurs peuvent être informés personnellement, puis formés, ou une communication peut être faite à tous les collaborateurs.

Si vous avez souscrit une cyber-assurance, celle-ci comprend souvent des formations pour les collaborateurs et/ou les tests de sensibilisation mentionnés. Pour que la couverture d’assurance soit efficace, il est important de mettre en œuvre les mesures exigées par l’assurance. Il peut en outre être judicieux, dans certaines circonstances, de s’inspirer de certifications telles que ISO 27001 ou la directive NIS2 sur la cybersécurité de l’Union européenne pour les mesures à prendre, même si vous ne souhaitez pas obtenir de certification pour votre entreprise.

Parmi les mesures de protection techniques, on compte la protection des données et des accès. Il s’agit de bien sécuriser les données afin qu’elles puissent être récupérées rapidement en cas de cheval de Troie de cryptage, par exemple. Les questions suivantes sont centrales à cet égard :

  • Comment les sauvegardes sont-elles effectuées ?
  • Les sauvegardes fonctionnent-elles ?
  • Vérifie-t-on que les sauvegardes fonctionnent ?
  • Les sauvegardes sont-elles séparées du système (c’est-à-dire qu’en cas de cheval de Troie de cryptage, elles ne seront pas connectées et donc infectées) ?
  • Les sauvegardes se trouvent-elles dans un endroit sûr (à l’abri des incendies et du vol) ?
  • Existe-t-il un accès de secours (« break-glass account ») pour les services cloud ? Ce compte d’utilisateur a des droits élevés et donc un accès privilégié pour continuer à avoir accès aux services cloud en cas d’urgence.

La protection de l’accès soulève la question de savoir qui devrait avoir accès à quelles données et qui ne devrait pas. Moins de personnes ont accès aux systèmes les plus importants, moins il y a de risque que des cybercriminels obtiennent des mots de passe. Les droits d’accès peuvent être attribués différemment afin de réduire les risques.

D’un point de vue technique, il convient de s’interroger sur les points faibles. Il est recommandé d’introduire l’authentification multifactorielle (MFA). Outre le login avec le mot de passe, un autre facteur est pris en compte. Il peut s’agir de l’Authenticator de Microsoft ou d’autres fournisseurs, ou d’un SMS envoyé au téléphone portable enregistré après le login avec le mot de passe. De nombreuses entreprises utilisent l’authentification à deux facteurs, mais beaucoup d’autres sont possibles. C’est justement pour l’accès à distance, par exemple dans le bureau à domicile, que de tels MFA sont prédestinés, bien que nous les recommandions pour toutes les entreprises.

Tenir le système à jour est une autre remarque importante, car les anciens systèmes d’exploitation et les logiciels non mis à jour peuvent contenir des points faibles qui peuvent être exploités. La question se pose donc de savoir comment maintenir à jour tous les appareils connectés à Internet (y compris les machines). Nous connaissons des exemples d’entreprises de construction métallique où une machine connectée à Internet a été la porte d’entrée des pirates.

Il existe des fournisseurs qui proposent des tests d’intrusion. Il s’agit de vérifier de l’extérieur si le réseau et les différents ordinateurs présentent des failles, puis de les communiquer afin qu’elles puissent être comblées. 

Les questions suivantes sont pertinentes à cet égard :

  • Quelles sont les machines connectées à Internet ?
  • Comment ces machines sont-elles protégées ?
  • Quels sont les PC connectés à Internet ?
  • Comment s’assurer que ces PC sont mis à jour (mises à jour du système d’exploitation et des logiciels) ?
  • Utilisez-vous l’authentification multifactorielle (MFA) ?
  • La salle des serveurs est-elle fermée à clé ?

Les mesures de sécurité techniques comprennent le pare-feu et le logiciel antivirus, ainsi que de nombreuses autres mesures, comme la surveillance de l’activité du réseau afin de détecter rapidement toute activité inhabituelle. Notre expérience montre que dans la plupart des cas, cela est mis en œuvre par un prestataire de services informatiques spécialisé. Lors du choix de ces prestataires de services informatiques, on peut conseiller de demander des références à d’autres entreprises de machinisme agricole ou de construction métallique afin de vérifier la qualité. Il vaut également la peine de demander plusieurs devis afin de pouvoir comparer les offres.

Il y a des fournisseurs qui ont des offres / des logiciels dans le cloud et qui sont donc responsables de leur sécurité. Ils ont des spécialistes qui s’en occupent. Les mises à jour sont également effectuées par ces spécialistes. Cela signifie que les capacités informatiques de l’entreprise de technique agricole ou de construction métallique ont des exigences plus faibles. En contrepartie, le fournisseur de cloud demande un montant mensuel pour ce service. De telles offres sont souvent plus sûres, car ces spécialistes connaissent mieux le sujet.

Si votre entreprise applique la règle selon laquelle chacun peut accéder au réseau avec son propre appareil (« Bring Your Own Device », BYOD), cela pose certains défis. Il n’est pas possible de garantir quels logiciels sont installés sur ces appareils, ce qui peut mettre en danger la sécurité informatique en cas d’utilisation insouciante. Il convient également de séparer les appareils utilisés à des fins professionnelles de ceux utilisés à des fins privées.

Il vaut la peine de fixer les directives de sécurité et de former ou d’informer les collaborateurs à certains intervalles. Cela peut être mis en œuvre sous la forme d’un contrat ou sous la forme de formations en ligne ou d’entretiens. Les questions suivantes peuvent aider et/ou être mentionnées dans le document relatif à la politique de cybersécurité :

  • Quelle est la politique en matière de mots de passe (par exemple, changement à certains intervalles de temps ; un mot de passe ne peut pas être utilisé pour plusieurs services) ?
  • Procédure à suivre lors de l’installation d’un nouveau logiciel. Dans quelles circonstances un nouveau logiciel peut-il être installé (p. ex. demande à la personne compétente) ?
  • Comment les appareils personnels sont-ils gérés (BYOD) ou sont-ils autorisés ?
  • À quels intervalles la formation à la cybersécurité est-elle dispensée ? Il vaut la peine de tester l’efficacité des mesures à des intervalles précis.
  • Ce document doit être signé par les collaborateurs.
     

Ci-dessous, nous souhaitons donner une indication sur l’ingénierie sociale : Les collaborateurs et les cadres doivent être conscients qu’ils doivent être économes dans la publication d’informations personnelles sur Internet. Les identités sur Internet peuvent aujourd’hui être facilement falsifiées. Nous connaissons plusieurs exemples d’entreprises dont la personne responsable de la comptabilité a reçu des e-mails de ses prétendus supérieurs lui demandant de payer. Si des informations sur le lieu de séjour de ces personnes sont disponibles sur Internet (p. ex. des photos de vacances), les cybercriminels s’y réfèrent. Il peut être utile que les courriers externes soient identifiés comme tels (p. ex. « Attention, il s’agit d’un courrier externe »).

De plus amples informations peuvent être consultées sur le lien suivant :
https://www.ncsc.admin.ch/ncsc/fr/home/infos-fuer/infos-private/aktuelle-themen/social-engineering.html 

08.01.2025
Qui sommes-nous ?
Médias
Accès rapide
Partenaires stratégiques

© AM Suisse 2025