Entreprendre
Sécurité des données | Vos données sont-elles bien protégées ?
Chaque entreprise dispose de données. Et cela fait de chaque entreprise une cible potentielle pour les pirates. Oui, votre entreprise aussi. Et non, ce ne sera pas « moins grave que prévu ». Vous pensez peut-être que les données de votre entreprise n'ont aucune valeur pour des tiers. Mais croyez-moi, les pirates chevronnés vous ciblent également. C'est pourquoi il est important d'identifier les risques et de prendre des mesures pour protéger au mieux vos données. Dans Exact aussi, la sécurité des données est une priorité. Dans cet article, Jack Krul, Chief Information Security Officer d'Exact, vous précise le plan par étapes qu'ils appliquent et les éléments que vous pouvez reprendre très facilement pour votre entreprise.
Il s'agit d'un aspect auquel vous devez réfléchir en permanence. Prévoyez à cet effet une période d'évaluation au moins une fois par an, voire plus souvent au sein d'une organisation en pleine croissance.
Insistez donc pour que les collaborateurs utilisent un gestionnaire de mots de passe. Vous avez alors un seul mot de passe (de préférence très complexe) à retenir ; tous les autres mots de passe sont créés et mis à jour automatiquement. Cette solution est beaucoup plus sûre.
Utilisez également l'authentification à deux facteurs – en abrégé 2FA. Vous ajoutez alors une deuxième étape en plus du mot de passe pour pouvoir vous connecter, par exemple un code SMS que vous devez encore saisir. La 2FA est surtout très importante pour l'accès à votre courriel. En effet, si vous souhaitez modifier le mot de passe d'un système quelconque, vous devez le faire via un « courriel de mot de passe oublié ».
Cela vaut non seulement pour le stockage, mais aussi pour les outils de communication. Ainsi, l'outil gratuit Houseparty est actuellement largement répandu pour passer des appels vidéo. Ce que de nombreuses personnes ignorent, c'est qu'en acceptant les conditions générales, vous consentez à la lecture des contacts de votre ordinateur portable ou téléphone et que Houseparty peut utiliser vos images vidéo à des fins commerciales. Alors faites preuve de prudence avec les applications que vous utilisez et vérifiez toujours les risques au préalable. Des sources telles que l'Autoriteit Persoonsgegevens (AP, l'autorité néerlandaise de protection des données personnelles) et le NCSC partagent des conseils à ce sujet sur leurs sites web.
1. Quels sont les risques ?
Déterminez d'abord quelles données circulent au sein de votre entreprise. Par données, j'entends le sens le plus large du terme : des dessins de construction aux données des clients en passant par les informations relatives aux fournisseurs stratégiques. Imaginez ensuite la raison pour laquelle des personnes voudraient disposer de ces données et ce qu'elles pourraient en faire. Pourraient-elles les enrichir avec d'autres données pour en faire des informations précieuses ?2. Qui pourrait vous attaquer ?
Une fois que vous avez identifié ces risques, vous pouvez considérer qui pourrait attaquer votre entreprise. Le Nederlandse Nationaal Cyber Security Centrum (NCSC, le centre national néerlandais de cybersécurité) fait à cet égard une distinction entre huit acteurs et leurs intentions. Les acteurs dont vous devez tenir compte dépendent de votre type d'entreprise et du type de données que votre entreprise possède. Pour Exact, par exemple, les acteurs internes et les scripts kiddies constituent le principal risque.3. Comment sécurisez-vous vos données ?
Au sein d'une entreprise, vous travaillez avec différents systèmes dans lesquels des données sont stockées. La dernière étape consiste à déterminer pour chaque système si une protection supplémentaire est nécessaire et comment procéder. Une fois que vous avez inventorié ces éléments, vous pouvez établir un plan d'action concret et ainsi réduire le risque à un niveau que vous jugez acceptable en tant qu'entrepreneur. Dans un monde idéal, vous souhaitez bien entendu pouvoir sécuriser tous vos systèmes et données. Mais dans la pratique, il s'agit d'une utopie : aucune entreprise ne protège toutes les données et tous les systèmes. Commencez donc par les données et systèmes les plus importants.Il s'agit d'un aspect auquel vous devez réfléchir en permanence. Prévoyez à cet effet une période d'évaluation au moins une fois par an, voire plus souvent au sein d'une organisation en pleine croissance.
Sécurité des données : les principaux dangers dans la pratique quotidienne
Rassurez-vous, une PME classique ne doit normalement pas craindre une attaque DDoS à grande échelle. Mais cela ne signifie pas que vous ne courez aucun risque de fuite de données. Dans la pratique quotidienne, il y a en effet aussi de nombreux dangers dont vous devez tenir compte sur le plan de la sécurité des données.Mots de passe des collaborateurs
Les collaborateurs ont accès à de nombreuses données d'entreprise via leur ordinateur. Les mots de passe qu'ils ont eux-mêmes créés constituent souvent la seule protection prévue à cet effet. Malheureusement, ces mots de passe sont généralement bien trop simples. Ils contiennent par exemple des informations personnelles ou parfois même le nom de l'entreprise. De plus, un même mot de passe est régulièrement utilisé pour différents systèmes. « C'est au moins facile à retenir », pense-t-on alors. C'est vrai, mais c'est aussi la raison pour laquelle ils sont très faciles à pirater !Insistez donc pour que les collaborateurs utilisent un gestionnaire de mots de passe. Vous avez alors un seul mot de passe (de préférence très complexe) à retenir ; tous les autres mots de passe sont créés et mis à jour automatiquement. Cette solution est beaucoup plus sûre.
Utilisez également l'authentification à deux facteurs – en abrégé 2FA. Vous ajoutez alors une deuxième étape en plus du mot de passe pour pouvoir vous connecter, par exemple un code SMS que vous devez encore saisir. La 2FA est surtout très importante pour l'accès à votre courriel. En effet, si vous souhaitez modifier le mot de passe d'un système quelconque, vous devez le faire via un « courriel de mot de passe oublié ».
Serveurs qui ne sont pas mis à jour
Les entreprises invoquent souvent toutes sortes de raisons pour ne pas mettre automatiquement à jour les serveurs, alors que c'est justement très important. Un serveur régulièrement mis à jour est en effet mieux protégé contre les pirates. Mettez-vous donc d'accord à ce sujet avec vos fournisseurs et la personne responsable en interne. Maintenez votre hygiène de serveur à niveau et faites vérifier les routeurs et les systèmes wifi au moins une fois par semestre. Les protocoles que vous utilisez à cet effet sont-ils toujours sûrs ? Le mot de passe doit-il être mis à jour ?Outils gratuits
Faites attention à l'endroit où vous enregistrez vos données. Rien n'est gratuit. Donc, si vous stockez vos données via un service gratuit comme Dropbox, gardez à l'esprit qu'il y a un modèle de revenus sous-jacent, par exemple l'analyse de métadonnées. Ce type d'entreprises vend ces données à d'autres acteurs pour gagner de l'argent dans le respect des cadres légaux. Ne stockez donc pas de données sensibles via des services gratuits, mais optez pour des services ou systèmes payants qui tournent dans votre environnement et qui relèvent de votre sphère d'influence.Cela vaut non seulement pour le stockage, mais aussi pour les outils de communication. Ainsi, l'outil gratuit Houseparty est actuellement largement répandu pour passer des appels vidéo. Ce que de nombreuses personnes ignorent, c'est qu'en acceptant les conditions générales, vous consentez à la lecture des contacts de votre ordinateur portable ou téléphone et que Houseparty peut utiliser vos images vidéo à des fins commerciales. Alors faites preuve de prudence avec les applications que vous utilisez et vérifiez toujours les risques au préalable. Des sources telles que l'Autoriteit Persoonsgegevens (AP, l'autorité néerlandaise de protection des données personnelles) et le NCSC partagent des conseils à ce sujet sur leurs sites web.