Cyber risques et conseils

Cyber risques et conseils

La cybercriminalité, l’affaire de tous.

Parce que 35% des incidents de cyber sécurité sont dus à des collaborateurs soit par erreur, omission ou malveillance. Pour contrer le cyber risque, il est nécessaire pour le chef d’entreprise de former et d’informer ses salariés sur les menaces et les risques mais aussi sur un certain nombre de bonnes pratiques à adopter en entreprise.

Comment attirer la vigilance de vos collaborateurs face aux cyber attaques ?

Pour protéger votre entreprise des cyber attaques, CRA vous recommande de respecter à minima les 12 points de sécurité informatique ci-dessous conformément aux recommandations de l’Agence Nationale de Sécurité Des Systèmes d’Informations (ANSSI).

Source Guide des Bonnes pratiques de l’informatique par la CGPME en partenariat avec l’ANSSI – Janvier 2017 version 1.1.1

Le mot de passe est un outil d’authentification utilisé notamment pour accéder à un équipement numérique et à ses données. Pour bien protéger vos informations, choisissez des mots de passe difficiles à retrouver à l’aide d’outils automatisés ou à deviner par une tierce personne.

Pour contrer les cyber attaques, choisissez des mots de passe composés si possible de 12 caractères de types différents (majuscules, minuscules, chiffres, caractères spéciaux) n’ayant aucun lien avec vous (nom, date de naissance…) et ne figurant pas dans le dictionnaire.

Dans chaque système d’exploitation* (Android, IOS, MacOS, Linux, Windows,…), logiciel ou application, des vulnérabilités existent. Une fois découvertes, elles sont corrigées par les éditeurs qui proposent alors aux utilisateurs* des mises à jour* de sécurité. Sachant que bon nombre d’utilisateurs ne procèdent pas à ces mises à jour, les spécialistes de la cybercriminalité exploitent ces vulnérabilités pour mener à bien leurs opérations encore longtemps après leur découverte et leur correction.

Lorsque vous accédez à votre ordinateur, vous bénéficiez de droits d’utilisation plus ou moins élevés sur celui-ci. On distingue généralement les droits dits « d’utilisateur »*et les droits dits «d’administrateur »*.

  • Dans l’utilisation quotidienne de votre ordinateur (naviguer sur Internet, lire ses courriels, utiliser des logiciels de bureautique, de jeu,…), prenez un compte utilisateur. Il répondra parfaitement à vos besoins.
  • Le compte administrateur n’est à utiliser que pour intervenir sur le fonctionnement global de l’ordinateur (gérer des comptes utilisateurs, modifier la politique de sécurité, installer ou mettre à jour des logiciels,…).

Pour veiller à la sécurité de vos données et faire face aux cyber risques, il est vivement conseillé d’effectuer des sauvegardes régulières (quotidiennes ou hebdomadaires par exemple). Vous pourrez alors en disposer suite à un dysfonctionnement de votre système d’exploitation ou à une attaque.

Pour sauvegarder vos données, vous pouvez utiliser des supports externes tels qu’un disque dur externe réservé exclusivement à cet usage, ou, à défaut, un CD ou un DVD enregistrable que vous rangerez ensuite dans un lieu éloigné de votre ordinateur, de préférence à l’extérieur de l’entreprise pour éviter que la destruction des données d’origine ne s’accompagne de la destruction de la copie de sauvegarde en cas d’incendie ou d’inondation ou que la copie de sauvegarde ne soit volée en même temps que l’ordinateur contenant les données d’origine. Néanmoins, il est nécessaire d’accorder une attention particulière à la durée de vie de ces supports.

L’utilisation du Wi-Fi est une pratique attractive. Il ne faut cependant pas oublier qu’un Wi-Fi mal sécurisé peut permettre à des spécialistes de la cybercriminalité d’intercepter vos données et d’utiliser la connexion Wi-Fi à votre insu pour réaliser des opérations malveillantes malintentionnées. Pour cette raison l’accès à Internet par un point d’accès Wi-Fi est à éviter dans le cadre de l’entreprise : une installation filaire reste plus sécurisée et plus performante.

Bien que proposant des services innovants, les iphones (smartphones) sont aujourd’hui très peu sécurisés. Pour faire face au cyber risque, il est donc indispensable d’appliquer certaines règles élémentaires de sécurité informatique :

  • N’installez que les applications nécessaires et vérifiez à quelles données elles peuvent avoir accès avant de les télécharger (informations géographiques, contacts, appels téléphoniques…). Certaines applications demandent l’accès à des données qui ne sont pas nécessaires à leur fonctionnement, il faut éviter de les installer ;
  • En plus du code PIN qui protège votre carte téléphonique, utilisez un schéma ou un mot de passe pour sécuriser l’accès à votre terminal et le configurer pour qu’il se verrouille automatiquement ;
  • Effectuez des sauvegardes régulières de vos contenus sur un support externe pour pouvoir les conserver en cas de restauration de votre appareil dans son état initial ;
  • Ne préenregistrez pas vos mots de passe

Avant de partir en mission, pensez à vous protéger des cyber attaques.

  • N’utilisez que du matériel (ordinateur, supports amovibles, téléphone) dédié à la mission, et ne contenant que les données nécessaires ;
  • Sauvegardez ces données, pour les retrouver en cas de perte ;
  • Si vous comptez profiter des trajets pour travailler, emportez un filtre de protection écran pour votre ordinateur ;
  • Apposez un signe distinctif (comme une pastille de couleur) sur vos appareils pour vous assurer qu’il n’y a pas eu d’échange pendant le transport ;
  • Vérifiez que vos mots de passe ne sont pas préenregistrés.

 

Pendant la mission

  • Gardez vos appareils, supports et fichiers avec vous, pendant votre voyage comme pendant votre séjour (ne les laissez pas dans un bureau ou un coffre d’hôtel) ;
  • Désactivez les fonctions Wi-Fi et Bluetooth de vos appareils ;
  • Retirez la carte SIM et la batterie si vous êtes contraint de vous séparer de votre téléphone
  • Informez votre entreprise en cas d’inspection ou de saisie de votre matériel par des autorités étrangères ;
  • N’utilisez pas les équipements que l’on vous offre si vous ne pouvez pas les faire vérifier par un service de sécurité de confiance ;
  • Pour faire face à la cybercriminalité, évitez de connecter vos équipements à des postes qui ne sont pas de confiance. Par exemple, si vous avez besoin d’échanger des documents lors d’une présentation commerciale, utilisez une clé USB destinée uniquement à cet usage et effacez ensuite les données avec un logiciel d’effacement sécurisé ;
  • Refusez la connexion d’équipements appartenant à des tiers à vos propres équipements (iphone, clé USB, baladeur…)

 

Après la mission

  • Effacez l’historique des appels et de navigation ;
  • Changez les mots de passe que vous avez utilisés pendant le voyage ;
  • Faites analyser vos équipements après la mission, si vous le pouvez.
  • N’utilisez jamais les clés USB qui peuvent vous avoir été offertes lors de vos déplacements (salons, réunions, voyages…) : très prisées des attaquants, elles sont susceptibles de contenir des programmes malveillants.

Les menaces de cybercriminalité sont très présentes via le média mail. Lorsque vous recevez des courriels, prenez les précautions suivantes :

  • L’identité d’un expéditeur n’étant en rien garantie : vérifiez la cohérence entre l’expéditeur présumé et le contenu du message et vérifier son identité. En cas de doute, ne pas hésiter à contacter directement l’émetteur du mail;
  • N’ouvrez pas les pièces jointes provenant de destinataires inconnus ou dont le titre ou le format paraissent incohérents avec les fichiers que vous envoient habituellement vos contacts;
  • Si des liens figurent dans un courriel, passez votre souris dessus avant de cliquer. L’adresse complète du site s’affichera dans la barre d’état du navigateur située en bas à gauche de la fenêtre (à condition de l’avoir préalablement activée). Vous pourrez ainsi en vérifier la cohérence;
  • Ne répondez jamais par courriel à une demande d’informations personnelles ou confidentielles (ex : code confidentiel et numéro de votre carte bancaire). En effet, des courriels circulent aux couleurs d’institutions comme les Impôts pour récupérer vos données. Il s’agit d’attaques par hameçonnage ou « phishing»*
  • N’ouvrez pas et ne relayez pas de messages de types chaînes de lettre, appels à la solidarité, alertes virales, etc.
  • Désactivez l’ouverture automatique des documents téléchargés et lancez une analyse antivirus* avant de les ouvrir afin de vérifier qu’ils ne contiennent aucune charge virale connue.

Si vous téléchargez du contenu numérique sur des sites Internet dont la confiance n’est pas assurée, vous prenez le risque d’enregistrer sur votre ordinateur des programmes ne pouvant être mis à jour, qui, le plus souvent, contiennent des virus ou des chevaux de Troie*. Cela peut permettre à des personnes malveillantes de prendre le contrôle à distance de votre machine pour espionner les actions réalisées sur votre ordinateur, voler vos données personnelles, lancer des attaques, etc.

Dans ce contexte, afin de veiller à la sécurité de votre machine et de vos données et éviter le cyber risque :

  • Téléchargez vos programmes sur les sites de leurs éditeurs ou d’autres sites de confiance ;
  • Pensez à décocher ou désactiver toutes les cases proposant d’installer des logiciels complémentaires
  • Restez vigilants concernant les liens sponsorisés et réfléchir avant de cliquer sur des liens ;
  • Désactivez l’ouverture automatique des documents téléchargés et lancez une analyse antivirus avant de les ouvrir afin de vérifier qu’ils ne contiennent aucune charge virale connue.

Lorsque vous réalisez des achats sur Internet, via votre ordinateur ou votre ordiphone (smartphone), le cyber risque est toujours présent ! Vos coordonnées bancaires sont susceptibles d’être interceptées par des attaquants directement sur votre ordinateur ou dans les fichiers clients du site marchand. Ainsi, avant d’effectuer un paiement en ligne, il est nécessaire de procéder à des vérifications sur le site Internet :

  • Contrôlez la présence d’un cadenas dans la barre d’adresse ou en bas à droite de la fenêtre de votre navigateur Internet (remarque : ce cadenas n’est pas visible sur tous les navigateurs);
  • Assurez-vous que la mention « https:// » apparaît au début de l’adresse du site Internet ;
  • Vérifiez l’exactitude de l’adresse du site Internet en prenant garde aux fautes d’orthographe par exemple.

 

Si possible, lors d’un achat en ligne :

  • Privilégiez la méthode impliquant l’envoi d’un code de confirmation de la commande par SMS ;
  • De manière générale, ne transmettez jamais le code confidentiel de votre carte bancaire ;
  • N’hésitez pas à vous rapprocher votre banque pour connaître et utiliser les moyens sécurisés qu’elle propose.

Les usages et les mesures de sécurité sont différents sur les équipements de communication (ordinateur, iphone, etc.) personnels et professionnels.

Le AVEC (Apportez Votre Equipement personnel de Communication) ou BYOD (Bring Your Own Device) est une pratique qui consiste, pour les collaborateurs, à utiliser leurs équipements personnels (ordinateur, iphone, tablette, etc.) dans un contexte professionnel. Si cette solution est de plus en plus utilisée aujourd’hui, elle pose des problèmes en matière de sécurité des données (vol ou perte des appareils, intrusions, manque de contrôle sur l’utilisation des appareils par les collaborateurs, fuite de données lors du départ du collaborateur) et représente de forts risques de cybercriminalité.

Dans ce contexte, il est recommandé de séparer vos usages personnels de vos usages professionnels :

  • Ne faites pas suivre vos messages électroniques professionnels sur des services de messagerie utilisés à des fins personnelles ;
  • N’hébergez pas de données professionnelles sur vos équipements personnels (clé USB, téléphone, etc.) ou sur des moyens personnels de stockage en ligne ;
  • De la même façon, évitez de connecter des supports amovibles personnels (clés USB, disques durs externes, etc.) aux ordinateurs de l’entreprise.

Si vous n’appliquez pas ces bonnes pratiques, vous prenez le risque que des personnes malveillantes volent des informations sensibles de votre entreprise après avoir réussi à prendre le contrôle de votre machine personnelle.

Les données que vous laissez sur Internet vous échappent instantanément. Des personnes malveillantes pratiquent l’ingénierie sociale, c’est-à-dire récoltent vos informations personnelles, le plus souvent frauduleusement et à votre insu, afin de déduire vos mots de passe, d’accéder à votre système informatique, voire d’usurper votre identité ou de conduire des activités d’espionnage industriel.

Dans un contexte où les cyber attaques se multiplient, une grande prudence est conseillée dans la diffusion de vos informations personnelles sur Internet :

  • Soyez vigilant vis-à-vis des formulaires que vous êtes amenés à remplir :
    • Ne transmettez que les informations strictement nécessaires ;
    • Pensez à décocher les cases qui autoriseraient le site à conserver ou à partager vos données ;
    • Ne donnez accès qu’à un minimum d’informations personnelles et professionnelles sur les réseaux sociaux, et soyez vigilant lors de vos interactions avec les autres utilisateurs ;
  • Pensez à régulièrement vérifier vos paramètres de sécurité et de confidentialité (Cf. Guide de la CNIL sur la sécurité des données personnelles);
  • Enfin, utilisez plusieurs adresses électroniques dédiées à vos différentes activités sur Internet : une adresse réservée aux activités dites sérieuses (banques, recherches d’emploi, activité professionnelle…) et une adresse destinée aux autres services en ligne (forums, jeux concours…).

Pourquoi protéger mes données avec une cyber assurance ?

L’arrivée du RGPD ne change hélas pas le risque des entreprises face aux cybers attaques. Il n’y aura pas moins d’attaques après le 25 mai 2018.

En revanche, la responsabilité des entreprises sera plus facilement recherchée et les sanctions pour les entreprises ne protégeant pas les données clients seront plus lourdes. Actuellement, la plupart des entreprises ne sont pas couvertes avec un contrat cyber risques. Ce qui est une erreur grave mais rectifiable.

Amendes maximales :

20


millions d’euros ou

4 %


du chiffre d’affaire total mondial.

Pourquoi choisir un contrat de cyber assurance ?

La réponse est simple : si l’un de vos clients est victime du vol de ses données suite au piratage de votre système informatique il pourra se retourner contre vous.

Normalement, lorsque vous commettez un dommage à autrui votre responsabilité civile est engagée et l’assureur est là pour indemniser la victime.
Dans le cas d’une
cyber-attaque, la plupart des contrats d’assurance entreprise excluent de leurs champs d’application de la garantie Responsabilité civile les dommages suite aux cyber risques.
En règle générale cela est spécifié de la sorte dans les contrats d’assurance : «nous excluons les dommages résultant de virus ou d’infections informatiques qui affectent les programmes, progiciels, paramétrages, données et systèmes informatiques ».
Ou encore : « Les dommages résultant, à dire d’expert, de l’absence ou de l’insuffisance manifeste des systèmes : de protection des données contre les infections informatiques, de sécurisation des échanges de données et de paiements, de sécurisation de votre site Internet, ou de leurs dysfonctionnements dus à leur inadaptation. »
De plus, vous ne pourrez bientôt plus dissimuler le fait que vous avez été victimes du vol de vos données car la loi vous imposera d’en informer la CNIL mais aussi et surtout l’intégralité de vos clients.
Dans le cadre du RGPD les sanctions prévues peuvent être très lourdes.
Face à ces risques et aux carences des contrats multirisques professionnels et Responsabilité civile professionnelle, seul un contrat cyber assurance peut vous protéger de manière globale des conséquences d’une cyber attaque.

Cyber attaques, cybercriminalité, anticipez et protégez votre entreprise !

Prenez rendez-vous dès maintenant avec nos experts CRA, spécialistes de la cyber assurance pour une estimation personnalisée !

PRENDRE RDV EN LIGNE