Cybersécurité de votre TPE/PME

Comment améliorer la cybersécurité de votre TPE/PME en 13 conseils
(guide de l’ANSSI)

La transformation numérique des TPE et PME s’accélère et permet de nombreuses opportunités pour leur croissance. Mais cette transformation s’accompagne également de risques réels qui ne font que croître. Les attaques cyber étant en constante augmentation, la cybersécurité doit être un sujet de priorité pour votre entreprise.

Même si elle découle de beaucoup de bon sens, la question cyber peut encore paraître fastidieuse, abstraite et coûteuse… Pourtant, l’application de quelques bonnes pratiques permet déjà de réduire massivement les risques. Dans cet article, nous avons résumé pour vous les 13 questions développées par l’ANSSI pour renforcer la cybersécurité de votre TPE/PME et établir un premier rempart autour de votre entreprise et de son savoir-faire.

Conseil n°1 – Bien connaitre votre parc informatique et vos actifs métiers

Difficulté de mise en œuvre : facile à moyenne

Pour améliorer la cybersécurité de votre TPE/PME, vous devez tout d’abord répertorier :

  • L’ensemble de vos équipements et de vos services : ordinateurs, mobiles, tablettes, serveurs vocaux, serveurs distants (hébergement de site, service de messagerie, services logiciels…).
  • Les logiciels que vous utilisez : il faut connaître leur nature, leurs fonctions principales, leurs versions et s’assurer d’être en possession de licences valides.
  • Vos données et leur traitement.
  • Tous les accès : savoir qui se connecte à votre système d’informations et quelles sont les modalités d’accès (administrateur, utilisateur, invité) et les moyens d’accès (connexion locale ou distante). Il est important que chaque personne dans votre équipe ait bien les droits qui correspondent à son poste. Inutile de lui en conférer trop…
  • Toutes vos interconnexions avec l’extérieur : c’est-à-dire, tout accès internet vers un prestataire ou un partenaire, ainsi que les accès des employés au système d’information de votre entreprise.

Note : un actif informatique comprend le matériel, les systèmes logiciels ou les informations vitales pour votre organisation.

Comment le Groupe Asten peut vous aider ?

Vous souhaitez un état des lieux exhaustif de votre infrastructure, mieux la comprendre et la documenter ? Vous voulez améliorer votre parc ? Vous assurer de la sécurité de votre infra, détecter les problèmes, anticiper les mises à jour à venir ? Améliorer votre MCO, MCS ?

Dans le cadre d’audits systèmes et réseaux personnalisé, nous vous accompagnons pour vous apporter une vision globale de votre SI, une cartographie exhaustive de votre infrastructure (réseaux, systèmes, sécurité, performances, parc…). Vous recevrez notamment un rapport détaillé avec priorisation, préconisation et chiffrage, le tout détaillé dans le cadre d’une réunion de restitution.

Conseil n°2 – Effectuer des sauvegardes régulières

Difficulté de mise en œuvre : facile à moyenne

Réaliser des sauvegardes régulières aide à une restauration plus rapide des activités opérationnelles en cas d’incident. Pour cela, il faut :

  • Identifier les données à sauvegarder : il faut répertorier vos matériels au préalable puis identifier quelles données sont essentielles à la poursuite de votre activité.
  • Déterminer le rythme de vos sauvegardes.

  • Choisir le/les supports à privilégier pour votre sauvegarde : vous pouvez appliquer la règle « 3-2-1 » : 3 copies de sauvegarde, sur 2 supports différents, dont 1 hors ligne.
  • Évaluer la pertinence du chiffrement des données : grâce au chiffrement, en cas d’accès illégitime au cloud, les données restent sécurisées (à condition que les clés de chiffrement soient bien gérées).
  • Respecter le cadre juridique : les données personnelles nécessitent des mesures de protection renforcées pour garantir leur intégrité, leur confidentialité, leur disponibilité et leur résilience (RGPD).

Comment le Groupe Asten peut vous aider ?

Toutes les entreprises ayant des postes de travail et des données sont concernées par le sujet des sauvegardes. Externaliser votre sauvegarde vous permet de sécuriser vos données et votre savoir-faire, mais aussi d’avoir une solution en cas d’incident sur vos serveurs (redémarrage / restauration). Avec de multiples sauvegardes, externalisées et disponibles sur un temps long, vous serez certain de « repartir » (et pas de zéro) en cas d’attaque cyber.

En choisissant nos offres de sauvegarde Asten BackUp, vous bénéficierez de plus d’une externalisation des données dans un datacenter local (breton/français), en pleine propriété, certifié ISO 27001/HDS, selon un mode opératoire structuré, avec des reportings et de l’accompagnement, sur une durée de rétention longue.

Conseil n°3 – Appliquer régulièrement les mises à jour

Difficulté de mise en œuvre : facile à moyenne

Une grande partie des attaques exploitent des failles dues à la non-application régulière des mises à jour. Pour améliorer la cybersécurité de votre TPE/PME, il est donc indispensable d’effectuer les mises à jour des systèmes d’exploitation et de tout logiciel dès la mise à disposition de ces correctifs de sécurité par leurs éditeurs.

Pour cela, vous devez favoriser l’utilisation de solutions matérielles et logicielles maintenues. Tout matériel ou logiciel qui ne peut plus être mis à jour doit être désinstallé ou remplacé. Il est également recommandé d’activer les fonctions de mise à jour automatique proposées par les éditeurs.

Comment le Groupe Asten peut vous aider ?

Nous vous proposons une offre de supervision à distance pour vous permettre de bénéficier d’une infrastructure gérée, administrée, supervisée. En externalisant les compétences informatiques, vous disposerez d’une assistance au quotidien et protégerez ainsi durablement votre SI. Finis les casse-têtes des mises à jour, des patchs, des supervisions d’alertes, des fins de garanties… On en discute ?

Conseil n°4 – Utiliser un antivirus

Difficulté de mise en œuvre : facile

Pour améliorer la cybersécurité de votre TPE/PME, il est primordial de déployer un antivirus sur la majorité de vos équipements informatiques, puisqu’il représente une première ligne de défense contre de potentielles attaques.  Ce logiciel informatique permet d’identifier et de bloquer les logiciels malveillants (pour en savoir plus). Il doit bien sûr être administré et mis à jour ; vos équipes doivent être sensibilisées et ne pas bloquer le logiciel.

Comment le Groupe Asten peut vous aider ?

Maitrisez la protection de votre parc, soyez toujours à jour !
Notre offre Asten Protect vous permet de protéger votre entreprise, votre savoir-faire, vos données et ainsi limiter le risque cyber. Nous pouvons vous proposer une offre d’hébergement et de management de la console antivirus chez nous.

Conseil n°5 – Implémenter une politique d’usage de mots de passe robustes

Difficulté de mise en œuvre : facile à moyenne

Utiliser des mots de passe robustes permet d’améliorer la cybersécurité de votre TPE/PME, puisque de nombreuses attaques sur internet sont facilitées par l’utilisation de mots de passe trop simples ou réutilisés par plusieurs services.

Pour avoir un mot de passe robuste, l’ANSSI recommande que la longueur du mot de passe soit corrélé avec la criticité du service auquel il donne accès (minimum 9 caractères pour les services peu critiques et minimum 15 caractères pour les services critiques). Il doit également comporter des capitales, des minuscules, des chiffres et des caractères spéciaux.

Pour renforcer votre politique de mot de passe, vous devez également :

  • Utiliser différents mots de passe pour chaque service
  • Utiliser un coffre-fort de mots de passes (ex : PPS)
  • Activer une authentification multifacteurs quand elle est proposée par le fournisseur de service (ex : banque, mail…)

Comment le Groupe Asten peut vous aider ?

Lors d’audit de votre infrastructure et de vos pratiques, nous pouvons vous délivrer un état des lieux de la protection de votre SI. Nous déployons également des campagnes de sensibilisations cyber à la carte pour vos équipes, comportant un module dédié sur le sujet des mots de passe (robustes, uniques, qui ne se prêtent pas…).

Pensez par ailleurs aux outils de gestion de mot de passe, nous pouvons vous accompagner dans le cadre du déploiement de l’outil dans votre entreprise.

Conseil n°6 – Activer un pare-feu, connaitre ses règles de filtrage

Difficulté de mise en œuvre : facile à expert

Activer un pare-feu permet de vous protéger contre des attaques et de ralentir ou de limiter l’action d’un acteur malveillant souhaitant prendre le contrôle de vos postes de travail. Nous pouvons vous accompagner sur ce sujet, n’hésitez pas à nous contacter !

Comment le Groupe Asten peut vous aider ?

Sur ce sujet, nous pouvons également vous accompagner dans le cadre d’audits de vos SI, de paramétrage de vos pare-feu et d’infogérance. Ce mécanisme de sécurité réseau, matériel ou logiciel, contrôle le trafic entrant et sortant selon un ensemble de règles prédéfinies qu’il faut comprendre, maitriser et administrer. Ne laissez pas ce sujet dans les mains du hasard…

Conseil n°7 – Sécuriser votre messagerie

La messagerie est un autre vecteur important du risque d’infection d’un poste de travail (ouverture de pièces jointes vérolées ou clic sur un lien vers un site malveillant).

  • Pour les TPE : difficulté de mise en œuvre : facile à moyenne

La redirection de messages professionnels vers une messagerie personnelle est à éviter, car elle peut représenter une fuite irrémédiable d’informations. De plus, il est recommandé de vous doter d’un anti-spam et d’une solution anti-phishing pour augmenter les capacités de détection des tentatives d’hameçonnage.

  • Pour les PME : difficulté de mise en œuvre : moyenne à expert

Que vous hébergiez ou fassiez héberger votre système de messagerie, vous devez vous assurer de disposer d’un système d’analyse antivirus en amont des boîtes des utilisateurs pour prévenir de la réception de fichiers infectés. Vous devez également activer le chiffrement TLS des échanges entre serveurs de messages, ainsi qu’entre les postes utilisateurs et les serveurs hébergeant les boîtes de messagerie.

Comment le Groupe Asten peut vous aider ?

Par le biais de notre offre AstenMail, nous vous permettons d’acquérir une messagerie collaborative et professionnelle, liée à l’identité de mon entreprise (à votre nom de domaine). Notre infogérance vous offre un outil simple à utiliser, facile à paramétrer et qui va s’adapter à la taille de votre équipe.

Nous vous accompagnons lors de la migration puis pilotons les mises à jour, la sauvegarde et le paramétrage. L’offre AstenSecure vous permet de bénéficier d’un filtrage antispam puissant et fiable, qui sécurisera tous vos échanges mails.

Conseil n°8 – Séparer les usages informatiques

Difficulté de mise en œuvre : facile à moyenne

L’interconnexion des outils informatiques avec internet peut présenter de nombreux risques (ex : exfiltration de données, intrusion dans le SI, usurpation d’identité, détournement de finalité du SI…).

Pour réduire votre exposition à ces menaces et améliorer la cybersécurité de votre TPE/PME, vous pouvez, dans un premier temps, créer des comptes utilisateurs dédiés à chaque employé et ne disposant pas de privilège d’administration et seuls les comptes utilisateurs doivent être utilisés pour la navigation sur internet. Les comptes et leurs privilèges doivent être tenus à jour (ex : lorsqu’une personne quitte l’entreprise, il convient de révoquer ses accès) pour éviter qu’un tiers puisse en faire usage.

Il faut également limiter les autorisations fourniers à chaque application pour chacune de leurs utilisations et télécharger les applications uniquement depuis les magasins officiels d’applications.

Comment le Groupe Asten peut vous aider ?

Pour limiter le risque humain, nous proposons des sensibilisations cyber de toutes vos équipes, indépendamment de leur niveau, afin qu’elles soient actrices de la sécurité, afin de leur inculquer les bonnes pratiques, et de les aider à identifier les risques. Ces sensibilisations comportent un module dédié sur la séparation des usages, la limite entre le pro et le perso et les bonnes pratiques.

Conseil n°9 – Maîtriser le risque numérique en situation de nomadisme

Difficulté de mise en œuvre : facile à expert

Le télétravail représente des enjeux de sécurité à prendre en compte, quelle que soit la taille de votre entreprise (ex : espionnage de vos informations sensibles, piégeage de vos équipements, vol de vos équipements, informations personnelles ou connexions…).

Pour limiter les risques et améliorer la cybersécurité de votre TPE/PME, il est important de sensibiliser vos équipes aux bons réflexes, comme :

  • La sauvegarde régulière de leurs données pour être en mesure de les restaurer en cas de perte ou de vol des équipements
  • Ne pas pré-enregistrer les mots de passe sur leurs équipements
  • Chiffrement de leurs données les plus sensibles ou de l’ensemble de leur disque dur
  • Ne pas laisser leurs équipements sans surveillance
  • En cas d’absence, verrouiller leur session
  • Ne pas connecter leurs équipements professionnels à des équipements qui ne sont pas de confiance

Comment le Groupe Asten peut vous aider ?

La plupart des attaques exploitent des failles humaines. Et si vous gommiez cette vulnérabilité en sensibilisant vos équipes ? Nous déployons des sensibilisations cyber de toutes vos équipes, indépendamment de leur niveau, et proposons notamment un module dédié sur la séparation des usages et les bonnes pratiques dans le cadre du télétravail ou du travail nomade (wifi public, transports, étranger…).

Conseil n°10 – Sensibiliser toutes les équipes

Difficulté de mise en œuvre : facile à moyenne

Si vous n’avez pas de compétences particulières en informatique, vous pouvez simplement prendre connaissance des recommandations concernant les bonnes pratiques d’alertes sur les menaces en cours et d’information sur les mises à jour logicielles disponibles (notamment en suivant les actualités publiées par le dispositif Cybermalveillance.gouv.fr).

Si vous êtes une PME et vous souhaitez aller plus loin, il est fortement recommandé de mettre en place les bases d’une culture d’hygiène informatique en informant régulièrement votre personnel aux bonnes pratiques de sécurité et aux principales menaces qui peuvent affecter la vie de votre entreprise (ex : diffusion régulière de messages en interne, lors de réunions ou par le biais d’une newsletter).

Comment le Groupe Asten peut vous aider ?

En cybersécurité, il vaut mieux prévenir que guérir et se protéger est plus facile qu’il n’y parait ! Si si. Nous proposons des sensibilisations adaptées à votre entreprise, à sa taille, à vos équipes, votre secteur, vos métiers… contactez-nous !

Conseil n°11 – Évaluer la couverture de la police d’assurance

Cette question concerne principalement les PME.
Difficulté de mise en œuvre : moyenne

Il est important pour vous d’évaluer et de vérifier les risques les plus redoutés pour la pérennité de votre entreprise, afin de prendre une assurance en conséquence pour qu’ils soient couverts. De nombreuses assurances cyber existent, mais elles vous demanderont des garanties et la mise en place de certains correctifs avant de pouvoir y souscrire.

Comment le Groupe Asten peut vous aider ?

Vous souhaitez contracter une assurance cyber pour votre entreprise ? Alors il vous faudra certainement commencer par un état des lieux exhaustif de votre infrastructure, pour mieux la comprendre et la documenter. Cette cartographie permettra de lister ses forces et ses faiblesses et de bénéficier de préconisations, priorisations et chiffrage, le tout détaillé dans le cadre d’une réunion de restitution. On en discute ?

Conseil n°12 – Comment réagir en cas de cyberattaque

Cette question concerne principalement les PME.
Difficulté de mise en œuvre : moyenne à experte

Pour vous préparer à un incident, vous avez tout avantage à identifier préalablement les prestataires spécialisés dans la réponse aux incidents de sécurité. Il est également important de sauvegarder toutes les données de votre entreprise, et tous les logiciels installés sur votre SI (permet un redémarrage plus rapide de votre activité).

En cas d’incident, le premier réflexe que vous devez avoir est de déconnecter votre équipement ou votre SI d’internet. Il ne faut, par contre, pas éteindre ni modifier les ordinateurs et matériels affectés par l’attaque (ils seront utiles aux enquêteurs).

Suite à un incident, il est essentiel de porter plainte et ne pas payer la rançon.

Comment le Groupe Asten peut vous aider ?

Nous pouvons vous accompagner sur ces sujets : audit de votre infrastructure, audit physique et virtuel (lan, wan), état des lieux de votre sécurité, sensibilisation de vos équipes, mise en place d’un plan de continuité d’activité (PCA) et d’un plan de reprise d’activités (PRA), écriture de la charte informatique, sécurisation de votre Active Directory (AD)… Notre accompagnement vous aidera à prioriser les actions à mettre en place rapidement.

Nous intervenons également dans le cadre de remédiation et, aidé de nos experts cyber, de nos administrateurs et ingénieurs réseaux et d’un écosystème solide d’acteurs de la cyber, nous vous aidons à surmonter une attaque et mettre en place la reprise de votre activité.

Conseil n°13 – Utiliser des solutions cloud

Difficulté de mise en œuvre : facile à moyenne

Pour améliorer la cybersécurité de votre TPE/PME, vous pouvez envisager d’adopter des solutions cloud qui apportent un niveau de service et des fonctions de sécurité. Si vous optez pour ces solutions, il est important de sensibiliser vos équipes aux risques et aux bonnes pratiques à adopter en termes de sécurité.

Comment le Groupe Asten peut vous aider ?

Nous possédons deux datacenters à Brest et proposons une large gamme d’offres de services en cloud. Ces services vous permettent de gagner en sécurité, tout en maitrisant les coûts. En fonction de vos envies et capacité, vous pouvez choisir de garder la main ou de nous laisser infogérer votre matériel.

  • Hébergement et infogérance (iass, saas, paas) dans notre datacenter « Triskell »
  • Hébergement sec (offre locative de mise à disposition d’un espace dédié) en tiers de baie ou baie complète, dans notre datacenter « Hermine ».

Ces deux datacenters permettent également une redondance de nos infrastructures, pierre angulaire de la continuité de service…

Cybersécurité de votre TPE/PME

Si vous souhaitez consulter l’intégralité du guide, cliquez-ici.

Si vous voulez discuter de la cybersécurité de notre entreprise, contactez-nous !