Vous avez aussi des préjugés sur la sécurité des réseaux Wifi publics, des appareils Apple, des VPN ou encore de la navigation privée ? Cet article est fait pour vous ! Nous vous donnons toutes nos bonnes pratiques en cybersécurité.
Sevan Marian
COO & co-fondateur
Domaine parfois technique et souvent mal compris, la cybersécurité véhicule de nombreuses idées reçues. Des réseaux Wifi publics en passant par les mots de passe et la navigation sur Internet, de nombreuses recommandations circulent, parfois contradictoires et il est difficile de démêler le vrai du faux. Il existe pourtant des solutions de sécurité efficaces et simples à mettre en œuvre pour protéger ses données, y compris à destination des startups et PME, qui n’ont pas forcément d’expert cyber sur lequel s’appuyer.Quelles sont les idées reçues les plus courantes en cybersécurité ? Quels sont les meilleurs conseils à suivre en matière de sécurité informatique ? Quelles solutions de sécurité privilégier ? Voici une compilation des principales idées reçues en cybersécurité.
Particulièrement pratiques pour les collaborateurs en mobilité, les réseaux Wifi publics que l’on retrouve par exemple dans les gares ou les aéroports présentent néanmoins des risques de sécurité. L’utilisation de réseaux Wifi publics fait peser des risques sur la sécurité des données. Si le point d’accès est mal configuré, il est possible d’intercepter les données des utilisateurs (identifiants et mots de passe, par exemple) et de les utiliser à des fins malveillantes. C’est ainsi que fonctionnent les attaques de type « Man-in-the-Middle» (MITM).
Il existe en théorie un moyen simple de savoir si un réseau Wifi public gratuit est sécurisé : regarder son nom et vérifier la présence ou non d’un cadenas à côté (l’absence de cadenas indiquant que le réseau Wifi n’est pas sécurisé). Cette règle n’est toutefois pas infaillible. Le plus simple est d’adopter une posture prudente et de considérer par défaut tout réseau Wifi public gratuit comme étant non sécurisé.
Éviter d’utiliser le wifi public et inciter les collaborateurs à se connecter en partage de connexion via leur smartphone peut être la meilleure option. Si ce n’est pas possible : utiliser un VPN (virtual private network / réseau privé virtuel) pour ajouter une couche de chiffrement. Le VPN crée un tunnel sécurisé et chiffré entre l’appareil utilisé (PC, smartphone) et le site web auquel se connecte l’internaute, ce qui sécurise les connexions. Personne ne peut avoir accès aux données de l’internaute ni à son activité en ligne grâce au chiffrement de bout en bout. Le VPN masque également les adresses IP.
Utiliser son ordinateur personnel pour ses missions professionnelles présente des risques en matière de sécurité. Cette pratique – appelée « BYOD » (Bring Your Own Device / Apportez votre appareil personnel) – augmente les risques de fuites de données. Les appareils utilisés à titre personnel ne sont généralement pas aussi bien sécurisés (mises à jour de sécurité réalisées de manière aléatoire, téléchargement d’applications non sécurisées, etc.) que dans un contexte professionnel.
En utilisant leur ordinateur personnel pour travailler, les collaborateurs traitent des données professionnelles qui ne sont pas aussi bien protégées qu’avec un ordinateur sécurisé par leur entreprise. En cas de vol, les données de l’entreprise peuvent se retrouver entre les mains d’acteurs malveillants. Une situation qui peut fortement perturber les activités et la réputation d’une entreprise.
Les ordinateurs sont particulièrement ciblés par les groupes malveillants : tentatives de phishing par mail, téléchargement de logiciels malveillants, fausses applications mobiles, etc. Les appareils mobiles étant désormais au cœur de notre quotidien professionnel, les hackers en font un vecteur privilégié pour accéder à nos données et les utiliser à des fins malveillantes.
Diverses mesures de sécurité permettent de sécuriser les ordinateurs professionnels. La première des mesures à prendre est de répertorier les terminaux mobiles dans un outil de MDM (Mobile Device Management), qui permet également de :
Autant de fonctionnalités utiles pour protéger les données et les terminaux en entreprise. Les professionnels de la sécurité insistent également sur la nécessité d’effectuer régulièrement des sauvegardes de données professionnelles.
Les partisans du BYOD mettent en avant une réduction des coûts d’achat et de maintenance du matériel informatique, tout en affirmant que la productivité des salariés est meilleure quand on leur permet d’utiliser leur matériel personnel. Cette pratique a également d’importants inconvénients en matière de sécurité informatique. Les smartphones personnels n’étant pas répertoriés dans le parc informatique de l’entreprise, ils représentent des portes d’entrée que les équipes IT ne peuvent pas sécuriser. Et un seul point d’entrée mal sécurisé peut compromettre tout l’ensemble du système d’information d’une entreprise.
Un antivirus est un programme informatique conçu pour être installé sur un ordinateur, une tablette ou encore un smartphone. Son rôle est de détecter et supprimer les virus et logiciels malveillants (malwares). Si l’antivirus s’est imposé auprès du grand public, il a peu à peu perdu en crédibilité. Le fonctionnement des antivirus « traditionnels », qui reposait sur une base de données de menaces connues, est devenu insuffisant pour répondre à l'évolution des modes opératoires des cybercriminels.
Les antivirus ont donc évolué pour aller au-delà de la simple détection des virus. Ils peuvent désormais surveiller le comportement des différents programmes installés sur la machine, réaliser des analyses automatiques, analyser des fichiers, supprimer les codes et logiciels malveillants, etc.
Premier élément à savoir, les antivirus gratuits ne sont généralement pas suffisants pour répondre aux besoins de sécurité des entreprises. Leurs fonctionnalités sont trop limitées. Les antivirus de « nouvelle génération » (NGAV / Next-Generation Antivirus) sont bien plus utiles. Certaines de leurs fonctionnalités peuvent désormais offrir aux entreprises une protection étendue : protection des terminaux et des disques durs, gestionnaire de mots de passe, détection des tentatives de phishing, analyse des clés USB, etc. S’appuyant sur la surveillance continue et la détection des menaces en temps réel (via l’IA et le machine learning), ces antivirus offrent un niveau de sécurité bien plus élevé.
Les identifiants et mots de passe sont des informations particulièrement convoitées par les hackers. Un mot de passe doit être long (au moins 12 caractères) et contenir différents types d’éléments (minuscules, majuscules, chiffres et caractères spéciaux). Un mot de passe complexe sera plus long à cracker.
Il est également conseillé d’utiliser un mot de passe différent pour chaque service. De cette manière, si l’un des mots de passe est piraté, les autres comptes en ligne ne seront pas impactés.
__L’optimisation des mots de passe fait partie des bonnes pratiques conseillées aux startups et PME pour se protéger des cyberattaques. __
PME, startups : 6 bonnes pratiques pour votre cybersécurité.
Il est également recommandé de modifier régulièrement ses mots de passe pour protéger ses comptes en ligne, mais cette mesure peut s’avérer compliquée et rébarbative lorsqu’on doit le faire pour des dizaines de comptes différents. La meilleure pratique consiste donc à ajouter une couche de sécurité en plus : l’authentification à double facteur (2FA).
L’une des pratiques les plus efficaces pour sécuriser ses comptes en ligne consiste à activer l’authentification à double facteur, qui ajoute un moyen de validation supplémentaire (un code reçu par SMS, par exemple) en plus du mot de passe. Stocker ses mots de passe au sein d’un coffre-fort numérique sécurisé (gestionnaire de mots de passe) est également considéré comme une bonne pratique d’hygiène informatique.
La confidentialité en ligne préoccupe les internautes, qui ne sont pourtant pas toujours bien informés sur la notion de « navigation privée ». Ce qu’on appelle « navigation privée » est une fonctionnalité disponible sur les navigateurs web (Chrome, Firefox, Safari, etc.). Lorsque l’internaute active ce mode, il empêche le navigateur d’enregistrer certaines informations (son historique de navigation, les informations saisies lorsqu’il a rempli des formulaires, ses mots de passe) et de poser des cookies. L’historique de navigation disparaît par exemple lorsque l’internaute ferme son navigateur. Il serait plus juste de parler de « navigation à usage unique » que de « navigation privée ».
La navigation « privée » porte en réalité mal son nom, puisqu’elle n’est absolument pas synonyme d’anonymat complet. Même lorsque le mode « navigation privée » est activé, l’activité de l’internaute reste visible par les sites qu’il visite, par les administrateurs du réseau sur lequel il est connecté et par les fournisseurs d’accès à internet.
Une adresse IP est une succession de chiffres associée à chaque appareil connecté à internet. Elle permet de savoir à partir de quel lieu l’appareil se connecte. S’il existe de nombreuses méthodes pour masquer une adresse IP (utiliser un serveur proxy, par exemple), l’un des moyens les plus efficaces et les plus sûrs pour rendre sa navigation réellement anonyme est d’utiliser un VPN. Grâce à la connexion au VPN, les données de l’internaute sont chiffrées automatiquement. L’internaute navigue en utilisant une nouvelle adresse IP, qui correspond à l’un des serveurs du fournisseur de VPN. Personne n’a accès à l’identité ni à l’activité en ligne de l’internaute.
Les appareils Apple ont longtemps bénéficié d’une bonne réputation en matière de sécurité, ce qui a conduit à une baisse de vigilance chez les utilisateurs. Ces appareils ne sont pourtant pas immunisés contre les virus et programmes malveillants de toutes sortes. De nouvelles familles de malwares ciblant le système macOS apparaissent régulièrement.
Les produits Apple étant de plus en plus populaires en entreprise, ils sont également davantage visés par des cyberattaques. Les menaces prennent la forme de phishing (par email ou SMS), de programmes malveillants, de logiciels espions, d’applications frauduleuses, etc.
Les mesures de protection et de sécurité relatives aux appareils Apple sont sensiblement les mêmes que pour les autres appareils :
Certaines solutions de sécurité spécifiques aux produits Apple peuvent également être déployées (protection anti-phishing, scan des contenus web et des applications, etc.).
Le petit cadenas à côté de l’url d’un site internet indique que la communication entre le navigateur de l’internaute et le serveur du site est sécurisée (chiffrée ») grâce au protocole « HTTPS » et à un certificat de sécurité. Concrètement, cette couche de sécurité permet à l’internaute de saisir ses données sur le site sans qu’elles soient interceptées (son login et mot de passe, par exemple). Le protocole HTTPS sécurise les échanges de données entre l’internaute et le site Internet, mais il ne garantit pas que le site lui-même soit sécurisé.
Le cadenas et la mention « https » indiquent seulement que les échanges entre le site et l’internaute sont sécurisés, mais cela ne veut pas dire que le site est légitime pour autant. Lorsqu’ils créent des sites frauduleux, les acteurs malveillants peuvent tout à fait obtenir un certificat de sécurité et l’adosser à leur site Internet. Un site malveillant reprenant l’apparence du site des impôts peut par exemple comporter un petit cadenas. Si l’internaute se fie uniquement au picto cadenas, il baisse la garde et peut tout à fait saisir des données confidentielles, qui tombent ensuite entre les mains d’acteurs malveillants. C’est ainsi que fonctionnent les sites de phishing (hameçonnage). La présence d’un picto cadenas n’est donc absolument pas un signe de sécurité.
L’utilisation du cadenas s’avérait utile quand le protocole HTTPS n’était pas généralisé. Son utilisation est aujourd’hui devenue une norme. Conscient que l’icône du cadenas pouvait être trompeuse pour les utilisateurs et ne représentait pas un gage de sécurité, Google a décidé de la retirer de son navigateur Chrome, ou du moins de la rendre moins visible en la plaçant en sous-menu.
Le design du site et son contenu ne représentent pas des critères suffisants pour s’assurer de l’authenticité d’un site. Afin de s’assurer qu’un site est légitime, il est bien plus important d’en vérifier l’url (nom de domaine + extension) plutôt que la présence d’un cadenas. En cas de doute et afin de ne pas atterrir sur un site d’hameçonnage, il est recommandé de ne pas cliquer sur les liens reçus par email ou SMS. Enfin, les entreprises peuvent mettre en place des outils de sécurité (pare-feu, VPN, antivirus, etc.) pour limiter les risques inhérents à la navigation en ligne.
Il existe désormais des services de sécurité accessibles et efficaces permettant aux PME et startups d’améliorer leur posture de sécurité, de protéger leurs données et leur activité. Pour bien s’outiller, encore faut-il démêler le vrai du faux et balayer les idées reçues les plus courantes en matière de cybersécurité.
Fleet vous aide à mieux gérer votre parc informatique et à protéger vos données professionnelles avec des mesures de sécurité simples et efficaces.
Concentrez vous sur votre croissance en choisissant notre solution clé-en-main.
Solutions
Avantages
Afin d’optimiser votre expérience, nous utilisons des cookies 🍪, que vous acceptez en poursuivant votre navigation.