Software">
Guide - La Cybersécurité en 12 Questions
Guide - La Cybersécurité en 12 Questions
Guide - La Cybersécurité en 12 Questions
Avant-propos2
Questions :
NO1 – Connaissez-vous bien votre parc informatique ? 4
NO2 – Effectuez-vous des sauvegardes régulières ? 6
NO3 – Appliquez-vous régulièrement les mises à jour ? 8
NO4 – Utilisez-vous un antivirus ? 10
NO5 – Avez-vous implémenté une politique d’usage de
mots de passe robustes ? 11
NO6 – Avez-vous activé un pare-feu ?
En connaissez-vous les règles de filtrage ? 14
N 7 – Comment sécurisez-vous votre messagerie ?
O
16
NO8 – Comment séparez-vous vos usages informatiques ? 18
NO9 – Comment maîtrisez-vous le risque numérique
lors des missions et des déplacements professionnels ? 21
NO10 – Comment vous informez-vous ? Comment sensi-
bilisez-vous vos collaborateurs? 24
NO11 – Avez-vous fait évaluer la couverture de votre
police d’assurance au risque cyber ? 26
NO12 – Savez-vous comment réagir en cas de cyberat-
taque ? 27
1
AVANT-PROPOS
2
bonnes pratiques permet déjà de réduire très significativement le risque.
En mettant en place quelques mesures simples mais essentielles, vous
pourrez protéger votre entreprise contre de nombreuses cybermenaces
et considérablement limiter les dégâts en cas d’attaque de haut niveau. Il
n’y a pas de solution miracle ou de risque zéro mais chaque organisation
peut faire beaucoup pour sa propre sécurité !
Ce guide présente, en douze questions, des mesures accessibles
pour une protection globale de l’entreprise. À vous de vous en emparer
pour protéger votre activité et vos emplois. Certaines recommandations
relèvent des bonnes pratiques, d'autres requièrent un investissement plus
important pour lequel votre structure pourra être accompagnée. Elles vous
permettront d’accroître votre niveau de sécurisation et de sensibiliser vos
équipes aux bons gestes à adopter.
En l'absence de préparation, lorsque l'incident survient, il est déjà
trop tard. N'attendons pas que le pire arrive. Protégeons-nous !
3
QUESTION NO1
CONNAISSEZ-VOUS BIEN VOTRE
PARC INFORMATIQUE ?
PUBLIC : TOUS
DIFFICULTÉ : FACILE À MOYENNE
4
Inventorier les données et les traitements de données
Quelles sont les données susceptibles d'affecter ou d'interrompre
l'activité en cas de perte ou d'altération ? Quelles sont les données soumises
à des obligations légales ? Y a-t-il un fichier client ? Où sont conservées
les données, par exemple la comptabilité ? La même question se pose pour
les traitements : quels sont les traitements dont l'altération affecterait ou
interromprait particulièrement l'activité ?
5
QUESTION NO2
EFFECTUEZ-VOUS DES
SAUVEGARDES RÉGULIÈRES ?
PUBLIC : TOUS
DIFFICULTÉ : FACILE À MOYENNE
6
Choisissez le ou les supports à privilégier pour votre sauvegarde
Il peut s'agir d'un support physique comme un disque dur externe, à dé-
connecter impérativement du système d'information à l'issue de la sauvegarde
ou d'une sauvegarde dans un service nuagique (service commercialisé sous le
terme cloud), voire des deux pour vos données les plus précieuses. Le support
physique présente l'avantage d'être à l'abri d'une intrusion informatique, mais
n'est pas à l'abri d'un vol, d'une destruction ou d'un dysfonctionnement. Les
services nuagiques proposés aussi bien par les fournisseurs d'accès que par les
éditeurs peuvent permettre une automatisation simple des sauvegardes mais
sont plus exposés aux risques d’intrusion ou de panne. Quelle que soit votre
préférence de support, toute sauvegarde, une fois effectuée, doit faire l'objet
d'un test pour vérifier son intégrité et sa viabilité lors d'une restauration.
7
QUESTION NO3
APPLIQUEZ-VOUS RÉGULIÈREMENT
LES MISES À JOUR ?
PUBLIC : TOUS
DIFFICULTÉ : FACILE À MOYENNE
8
peuvent survenir en cas de détection d'une vulnérabilité dont la criticité
ne permet pas d'attendre plusieurs semaines pour le déploiement d'un
correctif. Ces mises à jour doivent aussi être appliquées dès que possible.
9
QUESTION NO4
UTILISEZ-VOUS UN ANTIVIRUS ?
PUBLIC : TOUS
DIFFICULTÉ : FACILE
10
QUESTION NO5
AVEZ-VOUS IMPLÉMENTÉ UNE
POLITIQUE D’USAGE DE MOTS
DE PASSE ROBUSTES ?
PUBLIC : TOUS
DIFFICULTÉ : FACILE À MOYENNE
11
Qu’est-ce qu’un mot de passe robuste ?
▶ L’ANSSI recommande que la longueur d'un mot de passe
soit corrélée avec la criticité du service auquel il donne
accès, avec un minimum de 9 caractères pour les services
peu critiques (dont la compromission ne donnerait accès à
aucune information personnelle, financière et n'impacterait
pas le fonctionnement de l'entreprise) et un minimum de 14
caractères pour les services critiques ;
▶ Un mot de passe robuste comporte des capitales et des mi-
nuscules, des chiffres et des caractères spéciaux ;
▶ Ces mots de passe ne doivent comporter aucun élément per-
sonnel (tel qu’une date de naissance ou un prénom);
▶ Il est possible d'avoir recours à une phrase de passe (passphrase
en anglais). Les phrases de passe consistent à choisir aléatoire-
ment un certain nombre de mots parmi un corpus déterminé
(comme le dictionnaire de la langue française). Les passphrases
sont souvent bien plus longues que les mots de passe « clas-
siques », mais sont aussi pour certains utilisateurs plus simples
à mémoriser.
12
mot de passe par une authentification secondaire : en plus du
mot de passe, la saisie d’un second élément est nécessaire. Il est
recommandé d’activer ce paramètre dès qu’il vous est proposé.
13
QUESTION NO6
AVEZ-VOUS ACTIVÉ UN PARE-FEU ?
EN CONNAISSEZ-VOUS LES
RÈGLES DE FILTRAGE ?
PUBLIC : TOUS
DIFFICULTÉ : FACILE À EXPERT
Comment procéder ?
POUR LES TPE
Sans connaissance informatique particulière, l’activation d’un
pare-feu préinstallé sur le poste de travail et son paramétrage par
défaut (qui bloque toute connexion entrante), constituent un premier
niveau de protection. Un pare-feu local est une fonction disponible sur
la plupart des systèmes d’exploitation grand public. Des pare-feux sont
également commercialisés en complément de suites logicielles antivirales.
14
les postes de travail. Il est recommandé d’assurer l’homogénéité des
configurations et de la politique de filtrage des flux.
Une politique de filtrage minimale :
▶ bloque tous les flux non strictement nécessaires (en particulier
les connexions entrantes depuis Internet) ;
▶ journalise les flux bloqués.
Par ailleurs, une PME doit déployer des pare-feux physiques en
priorité pour protéger l’interconnexion du SI à Internet, voire, pour les
entités les plus matures en matière de sécurité ou disposant d’une masse
critique, pour segmenter le réseau interne en zones ayant des niveaux
différents de sensibilité et d’exposition aux menaces (zone des postes de
travail utilisateurs, zone des serveurs internes, zone des serveurs exposés
sur Internet, zone des systèmes industriel et outils de production, etc.).
S’agissant de l’interconnexion à Internet, elle se traduira idéalement
par la mise en œuvre d’une zone « démilitarisée » (DMZ), constituée de
pare-feux mais aussi de services de rebond, principalement pour la mes-
sagerie et la navigation Web.
Pour une configuration adaptée à vos usages, n’hésitez pas à recourir
aux services d’un prestataire informatique labellisé ExpertCyber. Une mise
en relation est proposée par le site Cybermalveillance.gouv.fr.
15
QUESTION NO7
COMMENT SÉCURISEZ-VOUS
VOTRE MESSAGERIE ?
PUBLIC : TOUS
DIFFICULTÉ : FACILE À MOYENNE (TPE) / MOYENNE À EXPERT (PME)
16
Pour se prémunir d’escroqueries connues (ex : demande de virement
frauduleux émanant vraisemblablement d’un dirigeant), des mesures or-
ganisationnelles doivent être appliquées strictement.
Il est souhaitable de ne pas exposer directement les serveurs de
messagerie électronique d’entreprise sur Internet. Dans ce cas, un serveur
relai dédié à l’envoi et à la réception des messages doit être mis en place
en coupure d’Internet.
17
QUESTION NO8
COMMENT SÉPAREZ-VOUS VOS
USAGES INFORMATIQUES ?
PUBLIC : TOUS
DIFFICULTÉ : FACILE À MOYENNE
18
de ses accès et de tous les révoquer, de telle sorte que lui-même ou un
tiers ne puisse plus y accéder.
Par ailleurs, l'idéal est de posséder un ordinateur uniquement dédié
à sa pratique professionnelle, sans usage personnel et familial. Cependant
en cas d'usages multiples sur une seule et même machine, il est alors re-
commandé de créer des comptes utilisateur pour chaque usage.
Ces cloisonnements d’usage sont faciles à implémenter même par un
entrepreneur individuel, sur sa propre machine. Ils permettent de contrer
l’exécution arbitraire d’un certain nombre de programmes malveillants.
Depuis un mobile multifonctions ou une tablette, les tâches d'admi-
nistration et de cloisonnement s'effectuent d'une autre manière : il faut
limiter les autorisations données à chaque application pour chacune
de leurs utilisations et télécharger les applications uniquement depuis
les marchés officiels ou le site Internet des éditeurs.
19
POUR EN SAVOIR PLUS :
www.ssi.gouv.fr/guide/definition-dune-architecture-de-passerelle-dinter-
connexion-securisee
www.cybermalveillance.gouv.fr/tous-nos-contenus/bonnes-pratiques/
securite-usages-pro-perso
20
QUESTION NO9
MAÎTRISEZ-VOUS LE RISQUE
NUMÉRIQUE LORS DES MISSIONS
ET DES DÉPLACEMENTS
PROFESSIONNELS ?
PUBLIC : TOUS
DIFFICULTÉ : FACILE
21
Après la mission
▶ n’utilisez jamais les clés USB qui peuvent vous avoir été of-
fertes lors de vos déplacements (salons, réunions, etc.) : très
prisées des attaquants, elles sont susceptibles de contenir des
programmes malveillants.
Avant :
▶ n’utilisez que du matériel (ordinateur, supports amovibles, téléphone)
dédié à la mission et ne contenant que les données nécessaires ;
▶ apposez un signe distinctif sur vos appareils pour vous assurer
qu’il n’y a pas d’échange pendant le transport ;
▶ dans le cas où vous devez accéder à distance aux systèmes d'in-
formation de l’entreprise, prévoyez l’installation d’un logiciel
de connexion à distance de type VPN (virtual private network)
afin de protéger vos communications.
Pendant :
▶ gardez vos appareils, supports et fichiers avec vous pendant
votre voyage comme pendant votre séjour (ne les laissez pas
dans un coffre d’hôtel) ;
▶ retirez la carte SIM si vous êtes contraint de vous séparer de
votre téléphone ;
▶ informez votre entreprise en cas de perte ou de vol d’inspection
ou de saisie de votre matériel par des autorités étrangères ;
▶ n’utilisez pas les équipements que l’on vous offre ;
▶ ne connectez pas vos équipements à des postes qui ne sont pas
de confiance. Si vous avez besoin d’échanger des documents
lors d’une présentation commerciale, préférez les échanges par
mail ou utilisez une clé USB destinée uniquement à cet usage
et effacez ensuite les données avec un logiciel d’effacement
sécurisé. Si vous devez recharger votre mobile, ne le connec-
tez pas à un ordinateur non maîtrisé ou à une prise USB en
libre-service dans les aéroports.
22
Après :
▶ effacez l’historique des appels et de navigation ;
▶ changez les mots de passe que vous avez utilisés pendant le
voyage ;
▶ faites analyser vos équipements après la mission, si vous le
pouvez.
23
QUESTION NO10
COMMENT VOUS INFORMEZ-
VOUS ? COMMENT SENSIBILISEZ-
VOUS VOS COLLABORATEURS?
PUBLIC : TOUS
DIFFICULTÉ : FACILE À MOYENNE
24
déclaration d'un incident. Elle se doit d'être régulièrement rappelée : il
peut s'agir, par exemple, de diffusions régulières de messages en interne,
lors de réunions ou par le biais d'une newsletter éventuellement étayée
par une revue de presse des incidents récents.
La déclaration d'incidents doit être encouragée et, pour ce faire, une
réponse non coercitive doit être privilégiée. Il s'agit de responsabiliser les
utilisateurs face à des menaces évolutives et non de les sanctionner (sauf
en cas d'action délibérée) afin d'éviter une sous-déclaration des incidents.
25
QUESTION NO11
AVEZ-VOUS FAIT ÉVALUER LA
COUVERTURE DE VOTRE POLICE
D’ASSURANCE AU RISQUE CYBER ?
PUBLIC : PME
DIFFICULTÉ : MOYENNE
26
QUESTION NO12
SAVEZ-VOUS COMMENT RÉAGIR
EN CAS DE CYBERATTAQUE ?
PUBLIC : PME
DIFFICULTÉ : MOYENNE À EXPERTE
Préparez-vous à l'incident
Les TPE et PME ont tout avantage à identifier préalablement des
prestataires spécialisés dans la réponse aux incidents de sécurité.
Pour les TPE et les PME (mais aussi les particuliers et les collecti-
vités), le gouvernement a mis en place la plateforme Cybermalveillance.
gouv.fr. Après avoir réalisé un diagnostic en ligne, les victimes accèdent
à des conseils personnalisés leur permettant de résoudre leur problème.
Elles peuvent également être mises en relation avec des professionnels de
proximité pour les assister. Il ne faut pas non plus hésiter à vous rapprocher
de votre chambre des métiers (CMA) ou de votre chambre du commerce
(CCI) : leurs experts peuvent vous orienter vers une assistance appropriée.
27
sauvegardes vous permettront de retrouver une activité normale (cf. Question n°2).
Il est recommandé d’ouvrir une main courante pour tracer les actions et
les événements liés à l’incident. Chaque entrée de ce document doit contenir,
a minima :
▶ l’heure et la date de l’action ou de l’événement ;
▶ le nom de la personne à l’origine de cette action ou ayant informé
sur l’événement ;
▶ la description de l’action ou de l’événement.
La tenue d’une main courante régulièrement alimentée tout au long de
l’incident va considérablement faciliter l’intervention du prestataire et la réso-
lution du problème.
Pour une PME, il convient de concevoir et de déployer un dispositif de
communication (messages, communication interne, communication partena-
riale, réseaux sociaux, relations presse, etc.). Ce dispositif doit être proposé par
le service communication (en lien avec les experts techniques) et porté par les
dirigeants de l'entreprise.
La charte informatique peut également informer les collaborateurs de la
bonne attitude à avoir en cas d'incident avéré.
Aspects juridiques
Les entreprises traitant des informations personnelles, relevant du Règle-
ment général sur la protection des données personnelles (RGPD) sont soumises
au respect des exigences de ce texte. En cas d’incident, elles sont également
tenues d’informer la CNIL et leurs clients.
Il est essentiel de porter plainte. Vos matériels affectés et vos journaux
seront très utiles aux enquêteurs. En cas de demande de rançon, ne pas la payer.
En cas de fuites de données personnelles, il est obligatoire de faire une
déclaration auprès de la CNIL.
28
Ce guide présente, en douze questions,
des mesures accessibles pour une
protection globale de l’entreprise.
Certaines recommandations relèvent des
bonnes pratiques, d'autres requièrent un
investissement plus important pour lequel
votre structure pourra être accompagnée.
Elles vous permettront d’accroître votre
niveau de sécurisation et de sensibiliser vos
équipes aux bons gestes à adopter. À vous
de vous en emparer pour protéger votre
activité et vos emplois.
En l'absence de préparation, lorsque
l'incident survient, il est déjà trop tard.
N'attendons pas que le pire arrive.
Protégeons-nous !