Cinq conseils aux entreprises pour ne                  plus se faire pirater

Une tribune de Thibaut Behaghel, Spécialiste Produits International, LastPass (LogMeIn).

Des pirates se seraient fait passer pour des employés de Microsoft afin de dérober les mots de  passe  de députés britanniques. La réussite de cette attaque serait le  résultat  de  l'erreur  humaine. Cet  incident  a montré que même de hauts fonctionnaires pouvaient être vulnérables,  et  que  l'homme  était  souvent  le maillon faible en matière de cybersécurité.

Les employés font généralement preuve d'une  méconnaissance  en  ce  qui  concerne  les  questions  de sécurité en ligne et ne se rendent pas compte qu'ils mettent leur entreprise en danger. Pourtant, bien  que les organisations doivent absolument veiller à ce qu'ils ne courent aucun risque, un  certain  équilibre  doit également  être  trouvé. En  effet, si   la   sécurité   devient   une   contrainte   vis-à-vis   de   leurs   tâches quotidiennes, ils seront moins enclins  à  observer   les   meilleures   pratiques   en   la   matière. Pire,   ils pourraient tenter de  contourner  les  stratégies  de  sécurité  en  place, ce  qui  engendrerait  des  risques encore plus importants.

Voici donc 5 conseils pour permettre aux entreprises de faire de  leurs  employés  leur  première  ligne  de défense.

 

1. Définir des exigences basiques en matière de mots de passe

 

Lorsqu'il s'agit de créer des mots de passe, on  a  généralement  tendance  à  se  contenter  du  minimum requis, et le lieu de travail ne fait pas exception sur ce plan. Il est donc important de définir des  exigences relatives au nombre minimal de caractères, ou  encore  de  complexité. L'utilisation  de   mots  de  passe  

 " simples " (dates de naissance, noms  d'animaux   de   compagnie   et   autres   séquences   de   chiffres récurrentes, comme 123456) doit également être vivement déconseillée. Enfin, les équipes  informatiques doivent exiger que tout nouveau mot de passe  soit  différent  des  anciens, et  qu'ils  soient  mis  à  jour  à intervalles réguliers.

2. Activer l'authentification à deux facteurs sur l'ensemble des comptes

 

Outre des mots de passe forts, les entreprises  devraient   également   activer   l'authentification   à   deux facteurs (2FA) de façon globale. Leurs utilisateurs seront alors obligés de saisir un élément d'identification supplémentaire, comme une empreinte digitale ou un mot  de  passe  à  usage   unique, afin   de   pouvoir accéder à leurs comptes. Avec cette couche de protection, même si un pirate parvenait à dérober un  mot de passe, il ne pourrait pas se connecter au compte. En outre, cette approche protège les identifiants des outils de découverte de mots de passe, et permet de limiter les dégâts  en  cas  de  tentative  de  phishing réussie. De plus en plus d'organisations sont séduites par les  avantages  de  l'authentification  2FA  et  la mettent en œuvre de façon étendue dans le cadre de politiques de sécurité plus globales.

3. Gérer les accès des utilisateurs

 

Que vous ayez 5 ou  500   employés,  seules   les   personnes   appropriées   doivent   avoir   accès   aux informations  adéquates. Les  données  sensibles  devraient   également  être  partagées  avec  le  moins d'individus possible, et un protocole devrait être mis en place pour tout employé souhaitant  accéder à  un compte dont il n'a pas les identifiants. Les  entreprises  devraient  également  concevoir  un  système  afin d'assurer un suivi des mots de passe des différents comptes et de lister quels employés ont accès à quels comptes. Cette approche permet non seulement de s'assurer de la  bonne  gestion  des  mots  de  passe, mais aussi de savoir lesquels mettre à jour en cas de départ d'un salarié.

4. Émettre des directives relatives à l'utilisation d'appareils personnels

 

Le travail à distance étant de plus en plus utilisé par les employés, ces derniers utilisent  de  plus  en  plus leurs appareils personnels au  travail. En  effet, les  sphères  professionnelles  et  personnelles  sont  plus mêlées que jamais, et ils veulent par conséquent pouvoir utiliser  leurs  services  librement. Bien  que  les bénéfices soient nombreux à la fois pour  les  employés   et   pour   l'entreprise, cette   pratique   présente également un risque. Par exemple, s'ils cherchent à accéder à des  données  d'entreprise  via  un  réseau sans fil public, ils exposeront sans le savoir leurs comptes professionnels. Les organisations doivent donc sensibiliser leurs employés aux risques liés  à  l'utilisation  de  leurs  appareils  personnels  dans  le  cadre professionnel.

5. Créer une stratégie formelle

 

Enfin, les entreprises devraient développer une stratégie de sécurité  formelle  englobant  l'ensemble  des conseils ci-dessus, ainsi que toute autre  information  de  sécurité  dont  les  employés  devraient  être  au courant. La base de cette stratégie de cybersécurité consisterait à reconnaître que les hommes  sont  tout aussi importants que les technologies. Qu'ils soient nouveaux ou  existants, les  employés  devraient  être formés régulièrement afin d'être sensibilisés aux risques potentiels, et d'apprendre comment  contribuer  à minimiser l'exposition de leur entreprise aux menaces  potentielles. Enfin, la  stratégie  mise  en  place  ne doit absolument pas être perçue comme une corvée. Pour  cela, la " gamification " peut  servir  à  stimuler l'engagement des employés et rendre la formation amusante et ouverte à chacun.

 

 

 

 

gallery/securité