Le nombre d’attaques informatiques a connu une forte croissance avec l’avènement du télétravail. Cet article vous propose cinq actions simples et particulièrement efficaces, à appliquer dès aujourd’hui dans votre entreprise pour améliorer votre niveau de sécurité informatique.

Si la crise Covid semble progressivement trouver une issue grâce au vaccin, la crise cyber semble toujours être d’actualité, avec une augmentation de 60% des attaques informatiques en 2021. Pourtant, la cybersécurité n’est pas un domaine nouveau : le premier ver informatique, nommé Morris, date de 1988 ! Ce ver se propageait notamment à l’aide de vulnérabilités connues, c’est-à-dire des failles présentes dans des logiciels utilisés partout dans le monde et documentées pour le grand public. Plus de 30 ans plus tard, 99% des vulnérabilités exploitées sont connues, donnant le sentiment que rien n’a beaucoup changé, malgré la création de toujours plus de nouvelles solutions de sécurité informatique qui promettent des miracles.

Le salon «Les Assises de la cybersécurité», évènement majeur du secteur, a choisi pour thème en 2021 «Back to Fundamentals». Cette injonction à revenir sur des bases saines en matière d’hygiène informatique est faite à raison : l’application de quelques mesures simples sur un système d’information permet d’en augmenter considérablement le niveau de sécurité informatique.

L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) fournit ainsi un guide d’hygiène informatique comportant 42 recommandations à destination de toutes les entreprises.

Cyberwatch, société française spécialisée dans la gestion des vulnérabilités et le contrôle des conformités, vous propose ici une sélection de cinq actions particulièrement importantes, inspirées du guide de l’ANSSI et de retours d’expériences clients.

1 – Utilisez des mots de passe robustes, comme des phrases de passe, simples à mémoriser et difficiles à trouver

Le mot de passe est aujourd’hui un mécanisme de base pour protéger l’accès à une information, dont la sécurité repose essentiellement sur la difficulté de le deviner par des attaques appelées «force brute», où l’on essaye toutes les combinaisons possibles.

Dans ce cadre, pour augmenter la difficulté d’un mot de passe, on peut soit augmenter les choix possibles pour chaque caractère, en utilisant par exemple des caractères spéciaux, soit augmenter le nombre de caractères à trouver en utilisant un mot de passe plus long.

Or, pendant de nombreuses années, la recommandation officielle était d’utiliser des mots de passe complexes, à base de majuscules, minuscules, chiffres et caractères spéciaux. Cette approche rend les mots de passe très difficiles à mémoriser, et plus courts, ce qui les affaiblit. À l’inverse, un mot de passe très long, avec des caractères simples à retenir, est facile à mémoriser et difficile à deviner pour un pirate.
 
Exemples :
• rFyGu547# est un mot de passe très difficile à retenir, et qui prend moins d’une seconde à casser avec l’équipement informatique adéquat;
• J’aimeParlerDeCyberSurUnBlog ! est un mot de passe facile à retenir, et qui prend plusieurs siècles à casser avec le même équipement.

Ainsi, pour rendre vos mots de passe plus difficiles à trouver, mais aussi pour les rendre plus simples à mémoriser, privilégiez l’utilisation de phrases de passe longues.

2 – Installez régulièrement les mises à jour de sécurité

En 2020, plus de 18 000 vulnérabilités ont été rendues publiques, pour rejoindre la liste des Common Vulnerabilities and Exposures (CVE).

Ces vulnérabilités sont rendues publiques afin que les utilisateurs des logiciels qu’elles affectent puissent d’une part s’informer, et d’autre part déployer les correctifs de sécurité appropriés. Pourtant, trop peu d’entreprises déploient les correctifs de sécurité dans des délais raisonnables, souvent en raison d’un manque de ressources humaines ou financières.

Or, l’installation des mises à jour de sécurité est un processus essentiel, qui contribue grandement au renfort du niveau de sécurité informatique, en empêchant les pirates d’utiliser des défauts connus pour rentrer sur le système d’information. En l’absence de CVE, les pirates doivent innover, donc réfléchir, et préfèrent souvent attaquer une autre cible plus simple. Les autorités recommandent ainsi de régulièrement installer les mises à jour de sécurité, sur l’ensemble du système d’information, ou d’isoler les systèmes qui doivent être laissés en l’état.

3 – Utilisez un pare-feu

Un pare-feu est un logiciel de protection contre les menaces extérieures qui bloque les tentatives d’intrusion sur des ports réseaux. C’est une sorte de garde-frontière, situé entre deux zones du réseau, dont la mission est de contrôler le flux d’informations. Ce dispositif est souvent embarqué de base avec des systèmes d’exploitation ou des équipements réseaux modernes, et s’avère fondamental pour réduire la surface d’exposition d’une organisation informatique.

4 – Utilisez un anti-virus

Si le pare-feu surveille et filtre les flux d’informations entrants et sortants, l’antivirus, lui, effectue une opération d’analyse en trois étapes : il détecte, identifie et supprime les programmes malveillants. L’antivirus étant situé sur un ordinateur, celui-ci agit comme « le dernier maillon » de la chaîne de sécurité : son rôle est de neutraliser une menace qui aurait réussi à s’introduire sur le système malgré toutes les autres barrières de sécurité présentes dans l’entreprise. Ce dispositif est aussi très souvent embarqué de base avec des systèmes d’exploitation modernes, et est tout aussi fondamental que le pare-feu pour améliorer la sécurité informatique de votre SI.

5 – Sensibilisez le personnel

L’e-mail est aujourd’hui un vecteur d’attaque incontournable pour les pirates : un e-mail peut ainsi être piégé avec un kit d’attaque utilisant une vulnérabilité connue de type CVE, ou un lien vers un site imitant une page de connexion légitime, ou une pièce jointe contenant un virus.

Malgré toutes les solutions techniques disponibles au sein d’une entreprise, le maillon le plus important reste ainsi l’humain et sa capacité à résister à des attaques qui misent tout sur la crédulité des cibles. Face à ces attaques, dites «hameçonnage» ou «phishing», il est indispensable de sensibiliser le personnel. Pour cela, il peut être envisagé de mettre en place une fausse campagne de phishing grâce à des outils payants ou gratuits tels que GoPhish.

Si ces cinq mesures basiques de sécurité ne garantissent pas une protection absolue, elles permettent d’avoir un niveau de protection plus élevé que la moyenne des organisations. Or, les pirates cherchent la rentabilité, et donc la simplicité, en ciblant les fruits les plus simples à cueillir sur ce gigantesque arbre qu’est Internet. Dans cet environnement, l’enjeu n’est pas d’être un fruit impossible à cueillir, mais juste d’être un fruit un tout petit peu plus difficile à cueillir que les autres.

La plateforme Cyberwatch vous aide à appliquer ces mesures de sécurité dans votre organisation

Notre plateforme Cyberwatch vous aide à appliquer ces mesures de sécurité dans votre système d’information, via nos deux modules :

Cyberwatch Vulnerability Manager vous aide à détecter, prioriser, et corriger les vulnérabilités en continu, et à appliquer les mises à jour de sécurité;

Cyberwatch Compliance Manager vous aide à mesurer le niveau de conformité de votre système d’information, et embarque des règles concernant la présence d’un anti-virus ou d’un pare-feu, ainsi que les longueurs des mots de passe configurés, sur vos actifs.

Plus d’informations sur : CYBERWATCH

Article précédentLe choix de votre partenaire pour le recouvrement de créances : le taux des honoraires, critère unique de décision ?
Article suivantEntretien exclusif avec le fondateur du cabinet GFK Conseils Juridis, Romain Gerardin-Fresse, l’un des meilleurs stratèges mondiaux