iaas-paas-saas-quel-cloud-choisir

Pour les TPE, la sécurité informatique se heurte souvent au manque de moyens disponibles. Toutefois, avec un peu de méthode, il est possible de se protéger. Quelles sont les bonnes pratiques de cybersécurité ? On vous livre les clés !

Pourquoi la sécurité informatique est-elle importante pour une TPE ?

Aujourd’hui, les cyberattaques ne visent pas seulement les grandes entreprises : elles cherchent les portes les plus faciles à ouvrir.

Les risques pour la sécurité des données sont donc nombreux : e-mails piégés (phishing, ou tentative d’hameçonnage), blocage de vos fichiers (ransomwares), attaques par déni de service (DDoS), malwares, etc. Les procédés sont multiples et les conséquences peuvent être délétères pour les TPE : fuite de données personnelles et d’informations commerciales, indisponibilité de son site web, impossibilité d’accéder à ses commandes et de livrer ses clients…

Autant de difficultés qui vont avoir des conséquences très concrètes : perte financières, dégâts durables sur l’image de la société, voire même poursuites judiciaires en cas de non-respect des obligations de sécurisation des données.

Comment assurer la cybersécurité de son entreprise : nos 10 conseils face aux cyberattaques.

Alors, comment assurer la sécurité informatique de sa TPE à moindre coût ? Outre l’accompagnement proposé par votre opérateur, voici 10 conseils à mettre en place !

1. Fixez-vous des règles d’or simples mais écrites

Dans une TPE, inutile de vous lancer dans la rédaction d’une charte de 50 pages. Mais sans un minimum de réflexion posée sur papier, la sécurité est souvent oubliée au profit de l’urgence quotidienne.

L’objectif est de définir qui fait quoi et comment protéger ce qui a de la valeur.

Commencez par identifier vos données vitales (fichiers clients, devis en cours, mots de passe bancaires). Si vous perdiez tout demain matin, de quoi auriez-vous besoin en priorité pour travailler ? Ensuite, adoptez les bons réflexes. Si vous avez des employés (même un seul), définissez des règles claires : interdiction d’utiliser les clés USB trouvées, obligation de verrouiller sa session en partant, etc. Si vous êtes seul, c’est un contrat avec vous-même ! Enfin, préparez un plan « roue de secours ». Notez sur une fiche (papier !) les numéros d’urgence : votre prestataire informatique, votre banque, votre assurance… En cas d’attaque, la panique est votre pire ennemie ; cette fiche vous dira quoi faire.

Ne cherchez pas la perfection. Une simple check-list de 10 points affichée dans votre bureau vaut mieux qu’une stratégie complexe qui reste dans un tiroir.

2. Sécurisez votre box, la porte d’entrée de votre réseau

La box est le premier rempart entre le monde extérieur et vos ordinateurs.

  • Commencez par changer le mot de passe « Admin » : ce n’est pas le code WiFi, c’est le mot de passe qui permet de modifier les réglages de la box. Modifiez-le dès que possible pour empêcher un intrus de verrouiller votre propre accès.
  • Désactivez l’accès à distance à l’administration de votre box. Pour cela, connectez-vous à l’interface de gestion de votre box (généralement en tapant une adresse du type 192.168.1.1 dans votre navigateur web) et cherchez l’onglet « Sécurité » ou « Accès à distance ». Cette option permet à n’importe qui sur internet d’accéder à la page de connexion de votre box. En la désactivant, les réglages ne seront modifiables que si vous êtes physiquement connecté au réseau du bureau.
  • Désactivez le WPS. Ce petit bouton qui permet de se connecter sans code est pratique lors de l’installation de la box pour connecter vos équipements. Mais ensuite, il peut devenir une faille de sécurité. Toujours sur l’interface de gestion, cherchez les paramètres « WiFi ». Le WPS est souvent représenté par un bouton physique ou virtuel.
  • Si vous travaillez souvent à l’extérieur, utilisez un logiciel VPN, qui va créer un tunnel privé et sécurisé entre votre ordinateur portable et votre box.
L’utilisation d’une box pro peut vous simplifier la vie. La Bbox Pro Tout-en-Un par exemple, inclut par défaut 5 licences VPN.

3. Contrôlez les accès WiFi : ne laissez pas les ondes vous échapper

Le WiFi est pratique car il est invisible, mais c’est aussi son plus gros défaut : il traverse les parois de votre bureau ou de votre boutique. Des pirates installés dans le voisinage ou même dans un véhicule garé dans la rue ont de multiples outils à leur disposition pour décrypter les mots de passe en quelques minutes.

fleuriste-connexion-WiFi

  • Dans les réglages de votre WiFi, vérifiez que le protocole de sécurité est réglé sur WPA2 ou, idéalement, WPA3. Si vous utilisez du matériel ancien, évitez absolument le « WEP », totalement obsolète et piratable très rapidement.
  • Pensez à changer le mot de passe d’origine du WiFi, souvent inscrit sous la box, pour une phrase complexe, et à le modifier au moins une fois par an, et systématiquement après le départ d’un employé, d’un stagiaire ou d’un partenaire à qui vous l’aviez donnée.
  • Dans l’idéal, créez un réseau « Invité » séparé sur votre box, pour permettre à vos clients de se connecter sans risquer vos fichiers pro.
  • Enfin, si vous n’avez pas d’équipement qui doit rester connecté la nuit (comme une alarme IP), éteignez le WiFi de votre box en partant. C’est une protection radicale et gratuite, et beaucoup de box permettent de programmer des plages horaires.
Ne nommez pas votre réseau « Cabinet_Comptable_Durand ». Utilisez un nom neutre qui n’indique pas que des données sensibles circulent sur ce réseau.

4. Faites simple : la complexité est l’ennemie de la sécurité

Plus vous avez d’appareils différents et de vieux logiciels, plus vous multipliez les failles potentielles. Pour se protéger efficacement, il faut faire simple.

  • Si vous avez plusieurs ordinateurs, essayez d‘utiliser la même version du système (ex: tous sous Windows 11). C’est beaucoup plus facile à surveiller et à mettre à jour en une seule fois.
  • Activez les mises à jour automatiques pour vous protéger des nouveaux virus et failles.
  • Désinstallez tout ce qui ne sert pas à votre activité professionnelle. Un logiciel que vous n’utilisez plus est une potentielle porte d’entrée pour un pirate. Enfin, choisissez une solution antivirus ou EDR identique pour tous vos postes.

Si vous n’avez pas de responsable informatique, vous êtes le « gardien du temple ».

Une fois par mois, prenez 15 minutes pour vérifier que tous les appareils de l’entreprise sont bien à jour. Un seul PC « oublié » peut contaminer tout votre réseau.

5. Identifiez et filtrez les sites internet malveillants

Sur internet, certains sites sont de véritables nids à virus. Un employé — ou vous-même — peut arriver sur l’un d’eux par erreur via une publicité trompeuse. Plutôt que de surveiller chaque écran, installez un système qui bloque l’accès aux zones dangereuses du web. La Bbox Pro Tout-en-Un intègre nativement un filtrage web. Votre antivirus peut également inclure une extension pour votre navigateur (Chrome, Firefox, Safari). Activez-la ! Elle affichera un avertissement rouge si vous tentez d’ouvrir un site jugé dangereux.

Si vous utilisez le navigateur Edge, il est synchronisé avec SmartScreen, l’outil de filtrage intégré à Windows. Vérifiez dans vos paramètres de « Sécurité Windows » (section « Contrôle des applications et du navigateur ») que tout est bien activé.

6. Faites attention aux applications cloud personnelles

Dans une petite entreprise, on est souvent tenté d’utiliser ses comptes personnels (Google Drive, iCloud, Dropbox, WeTransfer) pour stocker ou envoyer des documents de travail. C’est pratique et gratuit, mais c’est un piège : si votre compte personnel est piraté, ce sont toutes les données de votre entreprise et de vos clients qui s’envolent. Pour la sécurité du cloud, créez des comptes cloud strictement dédiés à votre entreprise. Ne mélangez pas vos photos de vacances avec vos factures ou vos fichiers clients. Et quand vous partagez un lien cloud avec un client, n’oubliez pas de mettre une date d’expiration ou de supprimer l’accès une fois le projet fini pour ne pas laisser de portes ouvertes indéfiniment sur vos dossiers.

Méfiez-vous des applications gratuites qui peuvent dissimuler des logiciels malveillants. Avant d’installer une application sur votre téléphone pro pour « scanner » un document ou « gérer » vos tâches, vérifiez d’où elle vient. Certaines applications gratuites se rémunèrent en collectant (et parfois en revendant) les données qu’elles traitent.

7. Activez la double authentification : votre garde du corps 24h/24

Le mot de passe seul ne suffit plus. Aujourd’hui, les pirates utilisent des robots capables de tester des millions de combinaisons ou de récupérer vos codes sur le « Dark Web ». La double authentification, ou authentification multifacteur (MFA), est l’arme absolue de la TPE : elle rend votre mot de passe inutile pour un pirate s’il n’a pas votre téléphone en main. N’hésitez pas, activez-la partout où vous pouvez. La méthode « SMS », qui consiste à recevoir un code par message sur votre téléphone portable, est sans doute la plus simple.

Utiliser une application dédiée, comme Microsoft Authenticator ou Google Authenticator peut être une solution intéressante, dans la mesure où ces apps fonctionnent même sans réseau mobile.

8. Protégez votre smartphone : il contient toute votre vie pro

Un smartphone égaré ou volé, c’est comme laisser les clés de votre bureau sur un banc public. Dans une TPE, vos téléphones et tablettes sont vos principaux outils de travail. Il faut pouvoir les verrouiller et protéger leurs données, même si vous ne les avez plus entre les mains.

  • Activez le verrouillage automatique et utilisez systématiquement un code (6 chiffres minimum), le schéma, ou la reconnaissance biométrique (empreinte, visage).
  • Vérifiez que l’option « Localiser mon appareil » (Google) ou « Localiser mon iPhone » (Apple) est bien activée. Ces outils gratuits permettent de bloquer l’appareil ou d’effacer toutes les données à distance en cas de perte ou vol.
  • Désactivez le Bluetooth et les fonctions comme « AirDrop » ou « Nearby Share » quand vous ne les utilisez pas, surtout dans les lieux publics, pour éviter que des inconnus ne vous envoient des fichiers piégés.
Notez dès aujourd’hui le numéro IMEI de votre téléphone (tapez *#06# sur le clavier d’appel). En cas de vol, ce numéro est indispensable pour que votre opérateur bloque définitivement l’appareil et le rende inutilisable, même avec une autre carte SIM.

9. Limitez les accès aux seules personnes autorisées

Dans une TPE, on fait souvent confiance à tout le monde. Pourtant, d’un point de vue sécurité, chaque personne ne devrait avoir accès qu’aux dossiers nécessaires à son travail : c’est la règle du « moindre privilège ». En limitant les droits d’accès, vous limitez les dégâts en cas de piratage, de malveillance interne ou simplement d’erreur humaine.

  • Sur votre cloud ou votre serveur partagé, créez des dossiers séparés par métier (ventes, facturation, technique) au lieu de partager le dossier racine avec toute l’équipe.
  • Dès qu’un employé ou un stagiaire quitte la TPE, supprimez immédiatement ses accès aux mails, aux logiciels pro et au cloud. Ne laissez pas de comptes « fantômes » actifs.
  • Évitez également les comptes communs, utilisés par trois personnes avec le même mot de passe. Créez des accès individuels pour savoir qui fait quoi et pouvoir couper un accès précis en cas de problème.
Pour vos tâches quotidiennes (mails, internet), n’utilisez pas une session « Administrateur » sur votre PC. Utilisez une session « Utilisateur standard ». Ainsi, si vous cliquez sur un lien malveillant, le virus aura beaucoup plus de mal à s’installer sur le système.

10. Préparez l’imprévu avec 3 sauvegardes de vos données

Malgré l’ensemble de ces précautions, le risque zéro n’existe pas en cybersécurité. Il existe toujours une probabilité qu’un jour, un ransomware parvienne à bloquer vos fichiers.

Appliquez la règle de la sauvegarde « 3-2-1 » : 3 copies de vos données, sur 2 supports différents (par exemple votre cloud et un disque dur externe), dont 1 copie qui reste hors ligne une fois la sauvegarde terminée.

Une sauvegarde qui ne fonctionne pas ne sert à rien. Une fois par trimestre, essayez de récupérer un fichier au hasard sur votre sauvegarde pour vérifier que tout fonctionne.

Bon à savoir : comment apprendre à protéger son entreprise ?

L’ANSSI – Agence Nationale de la Sécurité des Systèmes d’Information

L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) diffuse de nombreuses ressources à destination des entreprises : l’actualité des alertes en matière de cyberattaque, présentation des mesures nationales de cyber-prévention, modules de formation gratuits pour les salariés, etc.

Cybermalveillance.gouv.fr

C’est le guichet unique de proximité pour les petites structures, conçu pour vous accompagner pas à pas en cas de problèmes de sécurité, avec un diagnostic en ligne si vous pensez avoir été piraté, un annuaire pour vous mettre en relation avec des prestataires informatiques de confiance et des fiches pratiques pour avoir les bonnes réponses aux attaques informatiques.

Cert-FR

Le Cert-FR est le centre de veille de l’ANSSI. C’est un peu « la météo des risques » de l’internet français. Il répertorie les failles de sécurité majeures qui touchent les logiciels que nous utilisons tous (Windows, Outlook, navigateurs). C’est un outil plutôt technique. Pour un indépendant, l’intérêt est surtout de s’abonner à leur flux pour connaître les alertes virales et savoir quand une mise à jour de sécurité devient « urgente » et obligatoire pour protéger ses données.

Protéger son identité numérique

Votre identité numérique est votre signature officielle : si elle est volée, c’est votre entreprise qui est engagée. Pour la protéger, ne publiez jamais d’informations personnelles sensibles sur vos réseaux sociaux (date de naissance, documents internes) que des pirates pourraient utiliser pour vous manipuler. Utilisez une adresse e-mail différente pour vos comptes vitaux (banque, impôts) et vos échanges courants. Enfin, vérifiez régulièrement votre réputation en tapant votre nom dans un moteur de recherche pour repérer tout faux profil tentant de se faire passer pour vous.

Sur le même thème

Sécurité numérique : les notaires face à de nouvelles menaces. Médecins libéraux : comment assurer la cybersécurité des données de santé ? EDR vs antivirus : quelle protection pour les indépendants ? Pentest : penser comme un hacker pour protéger votre entreprise Sauvegarde externalisée et PRA : protégez votre entreprise contre la perte de données et assurez votre continuité d’activité Cybersécurité : comment votre opérateur télécom peut vous accompagner ?