En 2020, 49 % des entreprises françaises auraient subi une cyberattaque selon cette étude Hiscox Cyber Readiness réalisé auprès d’un millier de décideurs et professionnels IT dans l’Hexagone. Or, le manque de vigilance des utilisateurs figure en bonne place parmi les causes à l’origine des cyberattaques.
Après nos 3 conseils contre le phishing en entreprise, voici donc le second volet de notre série spéciale cybersécurité avec 6 bonnes pratiques applicables par tous les collaborateurs pour bien protéger vos données personnelles et professionnelles afin de donner du fil à retordre aux pirates ! 🏴☠️
Cybersécurité : comment protéger vos données ?
1. Ne pas laisser « traîner » vos données sur papier
Ecrire vos identifiants, mots de passe, numéro de CB… sur un post-it ou un cahier, qui plus est à proximité de votre ordinateur, présente évidemment un risque de vol de ces données sensibles. Malgré tout, encore beaucoup de personnes continuent à le faire.
Privilégiez plutôt, pour stocker vos mots de passe, une plateforme sécurisée spécialisée parmi les acteurs reconnus (KeePass certifié par l’ANSSI, Keeper, Dashlane, 1Password, etc.). Pour vous authentifier sur vos appareils, vous pouvez aussi vous appuyer sur la fonctionnalité « coffre-fort » généralement proposée gratuitement dans vos outils informatiques, par exemple Windows Vault sur PC ou le trousseau iCloud sur Mac.
Du côté des données de paiement, vous pouvez confier votre numéro de CB et sa date d’expiration aux principaux sites e-commerce, aux solutions tierces comme Paypal, voire à Google… en vérifiant toutefois que le service choisi assure le cryptage des données, qu’elles soient stockées en local ou dans le cloud. Dans tous les cas, le cryptogramme visuel (les 3 chiffres au dos de votre carte) devra toujours être saisi par vos soins.
2. Choisir un mot de passe différent pour chaque compte
Un mot de passe de qualité doit contenir au moins 12 caractères, comprenant des minuscules, des majuscules, des chiffres et des caractères spéciaux (par exemple @). Pourquoi ? Pour éviter que les hackers, disposant de logiciels testant toutes les combinaisons du dictionnaire, ne le trouvent trop facilement… Naturellement, votre mot de passe peut être encore plus long !
Changer votre mot de passe régulièrement, par exemple tous les 3 mois, constitue un second rempart contre les cyberattaques : en cas de piratage informatique d’une entreprise ayant pour conséquence une fuite de vos données utilisateur (ce qui peut arriver sans même que vous en ayez connaissance), les hackers ne pourront pas accéder à votre compte même s’ils disposent de votre identifiant ou de votre adresse e-mail.
Enfin, définir un mot de passe différent pour chacun de vos comptes web constitue la meilleure protection en la matière. En effet, si un cyberpirate récupère l’un de vos mots de passe, même récemment modifié, ses tentatives pour accéder à vos autres comptes avec celui-ci seront vaines.
Pour faciliter la mémorisation de vos mots de passe, appuyez-vous sur un algorithme personnel – Prénom+date+Lieu dans le modèle ci-dessous – avec des caractères spéciaux et une partie qui s’adapte au site sur lequel vous vous connectez, comme « LR » pour La Redoute. Exemple de mot de passe (fictif 🙂) appliquant ces principes : Thibaut2014@Nantes%LR
Naturellement, utiliser un gestionnaire de mots de passe comme évoqué en début d’article permet d’activer des mots de passe encore plus complexes, idéalement sans informations personnelles, voire totalement aléatoires.
3. Mettre en place la double authentification en ligne
La double authentification, appelée aussi authentification à deux facteurs (A2F), permet de sécuriser l’accès en ligne à des données sensibles (données bancaires, données de santé…) en exigeant deux preuves d’identité distinctes. Concrètement, cette méthode s’appuie souvent sur la saisie du mot de passe sur le web, puis la saisie d’un code de sécurité transmis par e-mail, par SMS ou par serveur vocal.
Ce mécanisme est notamment de plus en plus utilisé par les acteurs de la banque pour valider un achat en ligne ou effectuer une opération sensible. Si la double authentification semble parfois un peu lourde pour l’utilisateur qui est contraint de montrer patte blanche deux fois, elle est aujourd’hui indispensable, en cas de piratage de votre mot de passe, pour empêcher un hacker d’effectuer des transactions frauduleuses.
4. Transmettre les données sensibles par plusieurs canaux
Lorsque vous avez besoin de partager des données telles que vos identifiant et mot de passe, ne les transmettez pas via un seul canal pour ne pas faciliter la tâche des hackers en cas de piratage (notamment de votre messagerie). Voici quelques exemples de répartition des informations :
- envoi de l’identifiant par e-mail et du mot de passe par SMS
- envoi des données par SMS en deux temps vers deux numéros
- transmission du mot de passe à l’oral (téléphone ou de visu)
- envoi des données par lettres recommandées en deux temps
5. Sauvegarder régulièrement l’ensemble de vos données
En cas de piratage empêchant l’accès à vos données, voire à vos appareils, il est primordial de disposer d’une copie (sans virus…) de vos données sur un support indépendant de vos outils du quotidien, de façon à pouvoir restaurer la data et reprendre votre activité sur un autre ordinateur.
Aujourd’hui, la sauvegarde en ligne dans le cloud vient immédiatement à l’esprit. Ce service sur lequel Dropbox a bâti sa notoriété dès 2008 figure désormais dans les fonctionnalités natives de Windows (Microsoft OneDrive) et MacOS (Apple iCloud), et de nombreux acteurs d’envergure comme Google proposent aujourd’hui un outil de sauvegarde avec des fonctionnalités – la plupart payantes – adaptées aux entreprises.
Toutefois, même les plus grands acteurs du cloud ne sont pas infaillibles (en témoigne l’incendie chez le français OVH en mars 2021) et les multinationales du cloud telles que Amazon – dont le service AWS a représenté près des deux tiers de son résultat net en 2020 – sont une cible de choix pour les pirates.
Sachant que l’absence d’accès « physique » aux serveurs peut aussi représenter un frein en cas de données très sensibles, il est toujours utile d’effectuer des sauvegardes locales (après vérification par votre antivirus) sur une clé USB, un disque dur externe ou – mieux – un serveur NAS voire le serveur de fichiers de l’entreprise si vous en bénéficiez.
Pensez à sauvegarder les données les plus critiques sur un support informatique externe en dehors des locaux de l’entreprise (ou du domicile en cas de télétravail) et dans un emplacement lui-même sécurisé, par exemple en louant un coffre-fort dans une banque… une solution certes « à l’ancienne » mais toujours aussi efficace face aux risques de vol et d’incendie.
6. Ne pas mélanger données personnelles et professionnelles
Dans un contexte d’hybridation du travail, tantôt au bureau, tantôt à distance, il peut être tentant de copier des documents d’ordre professionnel sur une clé USB ou sur son smartphone pour y accéder plus facilement en mobilité ou les éditer sur l’ordinateur du foyer… multipliant ainsi les risques de piratage des données.
Sauf cas particulier, les données professionnelles doivent être conservées autant que possible sur le réseau d’entreprise, sans copies physiques, et seuls les outils informatiques validés par votre organisation (donc sécurisés par votre service informatique) devraient pouvoir éditer les documents, avec un éventuel accès en lecture seule depuis l’extérieur.
Naturellement, brancher un support externe, par exemple une clé USB, sur votre ordinateur professionnel est aussi à proscrire si ce support provient de l’extérieur de l’entreprise et contient déjà des données. Cela permet d’éviter d’introduire un virus… sujet que nous aborderons dans notre prochain article !
Gestion des mots de passe, double authentification, sauvegarde de vos données… Appliquer les 6 conseils ci-dessus permet déjà de bien sécuriser vos informations personnelles et professionnelles. Rendez-vous dans quelques jours pour découvrir comment garder le contrôle de vos outils informatiques !
Attention ! Soyez aussi vigilant sur les mesures de protection des données prises par vos partenaires et prestataires… En effet, votre chaîne de sous-traitants constitue une porte d’entrée, parfois directe, à vos données. Les pirates informatiques exploitent de plus en plus souvent la vulnérabilité des petites entreprises pour s’attaquer aux grandes organisations (en 2019 déjà, 4 TPE françaises sur 10 déclaraient avoir subi une cyberattaque d’après cette enquête CPME).
