Cyber-malveillance : Les clefs de la sécurité pour les TPE et PME

A l’heure du tout numérique, smartphones, ordinateurs et autres tablettes font partie de notre quotidien et changent nos habitudes de vie, mais celles professionnelles. De plus, conséquence de la pandémie de Covid, le travail s’est transformé, en s’installant aussi à domicile. Un changement de culture qui pourrait s’inscrire dans la durée, mais qui oblige surtout les entreprises à adapter leurs outils. Le numérique est donc entré un peu plus au cœur du quotidien des Français. Mais si les avantages en sont nombreux, les attaques de TPE et PME par ce que le gouvernement nomme la “cyber-malveillance” se sont multipliées. Pour se protéger, les entrepreneurs doivent prendre conscience de la menace et connaître les bonnes pratiques leur permettant de se protéger.

Des techniques malveillantes poussées…

La cyber-malveillance désigne l’ensemble des infractions liées au numérique. On y retrouve l’usage de moyens de paiements frauduleux, le piratage de compte sur les réseaux sociaux, l’escroquerie, l’extorsion de fonds, l’usurpation d’identité ou la collecte illégale de données personnelles.

Le site cybermalveillance.gouv.fr relève trois principales techniques utilisées par les cyber-malfrats. La première étant l’hameçonnage, qui consiste à tromper l’internaute, afin de récupérer des données personnelles (identifiants, mots de passe…) et bancaires en prenant l’apparence d’un tiers de confiance. Pour cela, faux mails de banque, de réseaux sociaux, d’opérateurs de téléphonie, d’énergie, de sites de commerce, d’administration ou d’héritage. Mais aussi SMS et appels téléphoniques. Et l’époque des logos douteux, des fautes d’orthographe et des traductions aléatoires est passée. Les mails sont de plus en plus élaborés et de plus en plus précis.

Autre technique, le rançongiciel qui bloque l’accès à l’ordinateur ou à des fichiers, en les chiffrant. La victime se voit ensuite réclamer une somme d’argent, généralement en monnaie numérique, afin d’avoir à nouveau accès à ses biens. Une navigation sur des sites compromis ou un simple clic sur une pièce jointe malveillante peut offrir un accès aux hackers.

Enfin, l’arnaque aux faux supports techniques est une solution de plus en plus utilisée. Elle consiste à effrayer la future victime par SMS, téléphone, courriel ou par un message apparaissant sur un ordinateur prétextant un problème technique. La victime est incitée à se rendre sur un support technique qui paraît officiel, sur lequel le pseudo-dépannage est payant.

Ces trois techniques peuvent être utilisées indépendamment ou l’une renforçant l’autre. Les données d’une personne sont récupérées par un premier criminel, puis revendues sur le marché noir, et utilisées pour construire une attaque plus complexe.

Lutter efficacement contre la cybermalveillance

Dès lors, comment les TPE et PME peuvent lutter ? Avec quelques bonnes pratiques, il est possible de réduire les risques.

Premier élément de vigilance, les mots de passe. Le conseil principal étant d’utiliser un mot de passe différent pour chaque service. Ainsi, si l’un d’eux est corrompu, il ne rendra vulnérable qu’un seul service. Le choix du mot de passe est aussi important. Il doit faire douze signes, avec des majuscules, des minuscules, des chiffres et des caractères spéciaux. Il ne doit pas non plus être devinable : il faut oublier les prénoms des enfants, des animaux, de l’équipe de sport préférée…

Bien entendu, il n’est pas possible à une personne normalement constituée de retenir tous ses mots de passe. C’est pourquoi le site cybermalveillance.gouv.fr propose le gestionnaire de mot de passe Keepass [Lien]. En parallèle, il ne faut pas communiquer les mots de passe à une tierce personne ni les écrire, il faut éviter aussi de les utiliser sur des ordinateurs partagés. Au moindre doute, il faut le changer. Enfin, le mot de passe de la messagerie, logiciel le plus fertile en données, doit être particulièrement choyé.

Du bon sens

Par ailleurs, il est important de tenir l’ensemble de ses logiciels à jour. De nombreuses failles de sécurité sont régulièrement corrigées par les éditeurs. Les professionnels doivent aussi faire attention à bien séparer leurs utilisations numériques pros et personnelles.

Autre point, les réseaux sociaux. A nouveau, la gestion des accès est essentielle. Sur les réseaux sociaux, l’essentiel est de faire preuve de bon sens. Les échanges avec les amis virtuels peuvent être utilisés par des criminels, aucune donnée ne doit donc être échangée dans ce cadre. Les publications doivent aussi être maitrisées. Relayer des informations et publier des photos peuvent donner des informations sur vos lieux de travail, vos routines quotidiennes ou vos informations personnelles. Enfin, il faut utiliser en conscience l’authentification avec les comptes de réseaux sociaux sur d’autres sites.

Les appareils mobiles constituent aussi des points sensibles. Bloquer l’accès aux mobiles via des codes d’accès est un minimum. Chiffrer les données de l’appareil, une option proposée sur la plupart des smartphones, est aussi une action de prévention efficace en cas de vol. L’utilisation de produits de sécurité adaptés est conseillée, de même que réaliser les mises à jour des logiciels, qui contiennent très souvent des améliorations sécuritaires. Enfin, dans l’utilisation des mobiles, il ne faut installer des applications que depuis les sites ou magasins officiels, et contrôler les autorisations de ces applications. Eviter les réseaux wifi publics et désactiver connexions wifi et Bluetooth lorsqu’elles ne sont pas utilisées sont des bons réflexes.

Nombreuses solutions gratuites ou payantes

Faire des sauvegardes régulières constituera une bouée de secours très utile en cas de problème. Mais comme tout élément qui regroupe des données, il faut le faire de façon contrôlée. Là encore, rien ne s’improvise. Il faut identifier les différents appareils utilisés qui font des sauvegardes et quels sont les éléments qui doivent être sauvegardés, afin de connaître leur volume De nombreuses solutions gratuites ou payantes existent pour réaliser ces sauvegardes. Il est conseillé d’éviter les clefs USB et les disques durs externes, à moins de les ranger dans des lieux sécurisés. La sauvegarde en ligne (sur le cloud) via un logiciel adapté et sécurisé est conseillée.

Enjeu national, la criminalité numérique est prise très au sérieux par l’Etat. Pour aider les TPE et PME dans ce cadre, le dispositif cybermalveillance regroupe sur son site 1 000 professionnels vérifiés et répartis sur l’ensemble du territoire, capables d’aider les entrepreneurs dans leur transition et leur sécurisation numérique.