Bonnes pratiques de sécurité informatique pour les TPE / PME

securite

Que ce soit du fait de la mauvaise qualité des mots de passe, de sauvegardes mal ou pas effectuées, de mauvaises habitudes, durant ces dernières années nous avons parfois constaté des dégâts irrémédiables chez des prospects qui nous joignent catastrophés...

Profitons donc de cette période plus relax pour prendre de bonnes résolutions.

Afin que des mésaventures telles que le hacking de votre site,  la perte des données de votre ordinateur (compta, documents clients, devis, etc.), la perte de tous vos mails ne soient une épée de Damoclès suspendue au-dessus de votre sécurité informatique, voici quelques conseils et outils pratiques que vous pouvez mettre en œuvre.

Mot de passe : les bonnes pratiques

ET si une personne mal intentionnée prenait la main sur le module d'administration de votre site, sur votre compte Facebook, sur l'accès FTP de votre site, ou mieux, sur votre boite mail (ce qui lui permettrait d'avoir accès à tous vos mots de passe avec la fonction "mot de passe oublié") ? Combien de temps et d'argent risquez-vous de perdre même si par chance vous finissez par régler le problème partiellement ?

Mot de passe : règles de base

  • Un mot de passe par service utilisé.
  • 8 à 12 caractères sans suite logique (alternez Majuscules, minuscules, chiffres, signe de ponctuation)
  • Évitez de donner votre mot de passe à quiconque, au pire envoyez le login par mail et le mot de passe par SMS, puis changez le mot de passe après utilisation par autrui.
  • Plus de détails et conseils pour vos mots de passe (j'insiste sur cette lecture).

La plupart des gens sous-estiment l'importance d'un mot de passe. Pourtant ce simple fait permet d'aller jusqu'au vol d'identité complet.

Le mot de passe en mode totalement parano

Pour les plus paranos, et donc pour vos mots de passe complexes les plus sensibles que vous auriez peur d'oublier, la solution optimale consiste à installer TrueCrypt (avant version 7.2) sur une clé USB (tuto).
Mettez un mot de passe de la mort à votre clé (donc plus qu'un seul à retenir). Stockez un simple fichier texte contenant tous vos login et mots de passe sur cette clé. Ne perdez pas votre unique mot de passe, car même la NSA ne sera sans doute pas en mesure de vous aider. Oui c'est un peu contraignant, mais c'est sans doute une des solutions les plus efficaces.

Sauvegarde : les bonnes pratiques

Mon logiciel a perdu tous mes mails ! Mon disque a crashé et j'ai perdu toutes mes données professionnelles ! On m'a cambriolé et volé mon ordi, j'ai perdu 10 ans de photos de mes enfants depuis la naissance ( rien ne vous empêche d'appliquer ces méthodes à titre perso). C'est ballot non ?

Et pourtant, depuis combien de temps vous dit-on de faire des sauvegardes ?

Quel support pour sauvegarder ?

Ceux qui ne s'inquiètent pas de la NSA choisiront le Cloud. L'avantage est de permettre un accès ou que vous soyez (avec un bon mot de passe). L'inconvénient est que vos données sont stockées Dieu sait où, avec des risques d'attaques des serveurs concernés (et puis à la longue ça coute).

Les paranos choisiront un simple disque externe. De nos jours pour 60€ on trouve un bon disque de 1 Tera octet connectable en USB 3. Sans doute de quoi sauvegarder l'essentiel et même bien plus pour pas cher.

Pour limiter les risques (en cas de perte de votre disque) Cryptez-le aussi avec TrueCrypt. À titre d'exemple, au bureau, je fais tous les soirs en 2 minutes une copie incrémentielle de toutes les données et mails de mon ordinateur du bureau. C'est rapide et m'a déjà sauvé lors d'un crash du disque de mon ordi (en prime, ceci me permet d'avoir toutes mes données accessibles à la maison).

Comment sauvegarder ?

Vous vous doutez bien que je ne m'amuse pas à faire le tri des fichiers qui ont été modifiés, ajoutés ou supprimés dans la journée. Il en existe d'autres, mais pour ma part j'utilise le logiciel Syncback. Après une première fois un peu longue où l'on sauvegarde tous les dossiers que l'on a précédemment définis, il suffit d'un petit clic pour sauvegarder en 1 minute tout ce qui a changé dans la journée, mails inclus. Un petit tuto ici. Il vous est même possible de sauvegarder sur un serveur par FTP si vous le souhaitez.

Bien évidement, on ne laisse pas son disque de sauvegarde et son disque principal ensemble quand on rentre à la maison ou quand on part en vacances...

Le bon sens : une règle absolue

Dans la plupart des cas que j'ai pu rencontrer, la grosse faille de sécurité était entre la chaise et le clavier. Mot de passe crackable en 20 secondes,  clic sur n'importe quel lien dans un mail et téléchargement de trojans (tout ça pour voir une blague douteuse), les exemples ne manquent pas.

Dernièrement, la mode était aux mails de factures. On retrouve aussi fréquemment ce type de campagnes de spam avec des propositions de remboursement d'impôts ou d'allocations de la CAF. Dites-vous bien que l'imagination des spameurs est sans limites, ils reproduiront facilement un site de banque ou la page de login de n'importe quelle entreprise (Orange, Free, Amazon, Paypal, etc.) pour vous faire saisir vos login et mot de passe. Soyez donc toujours suspicieux, et rendez-vous plutôt sur le site concerné en tapant l'URL ou même en passant par Google plutôt que de cliquer n'importe où !

Quelques conseils supplémentaires

  • Ne vous connectez pas à vos accès sensibles à partir d'ordinateurs d'hôtels à l'étranger, la plupart contiennent plus de chevaux de Troie, keylogers et virus que de logiciels légitimes.
  • Avec votre téléphone, utilisez plutôt votre 4G qu'un Wifi ouvert quand vous devez renseigner un mot de passe sur un site.
  • Arrêtez les économies de bout de chandelle, payez-vous une vraie suite de sécurité Antivirus plutôt que votre machin gratuit. Chez Kaspersky par exemple, c'est 70€ par an pour trois ordinateurs, ça vous permettra même de sécuriser le portable de votre ado qui se connecte par votre Wifi sur des sites dont il ne vous parle pas...
  • Petit, grand, tout le monde peut être touché, seules les sommes en jeu sont différentes. Ne vous croyez jamais à l'abri, ne relâchez jamais votre attention. Quand vous avez un très léger doute, vous avez généralement raison !
  • Ne faites pas l'autruche, vous avez l'impression d'avoir fait une bêtise, prévenez. Certains de vos collègues ou votre agence sauront peut-être limiter les dégâts.
  • Et enfin, dites-vous que tout ne passe pas par internet non plus. Vous avez dix fois plus de chance de vous faire piquer votre n° de carte bleue en mettant celle-ci dans les mains d'un restaurateur ou de votre boulangère qu'en payant en ligne (et tant que vous y êtes, cachez avec une gommette le code à trois chiffres au dos de votre carte, même si cela n'empêche pas les commandes frauduleuses sur Amazon...).

Pour conclure

Je peux vous assurer qui si les conseils que je vous prodigue ici risquent de vous manger un peu de votre temps à la mise en œuvre, et 1 à 2 minutes par jour ensuite, ce n'est rien à côté des heures, jours, voir mois que vous risquez de perdre en ne les adoptant pas.

Je ne parle même pas des impacts financiers potentiels, des risques en terme d'image pour votre entreprise, ou simplement de pertes irrattrapables, car personne d'autre que vous n'a conservé la vidéo des premiers pas de votre petit dernier ou car les données personnelles de vos clients intéressent du monde !

Bonnes pratiques de sécurité informatique pour les TPE / PME
3.75 (75%) 8 votes

Partager sur Facebook
Partager sur Twitter Plein
Partager sur linkedin
Partager sur Google+

6 réflexions au sujet de « Bonnes pratiques de sécurité informatique pour les TPE / PME »

  1. sylv20c

    Pour les mots de passe une solution client/serveur simple et pas cher crypt-o
    Pour les sauvegardes totales pensez aussi au clonage avec acronis trueimage

  2. Arnaud

    Bonjour Sylvain,
    Je ne suis pas un adepte de la NSA mais il faut bien reconnaître que le cloud représente une des manières pour réaliser une véritable sauvegarde. Ce que j'entends par véritable sauvegarde, c'est un stockage de données qui ne se trouve pas dans le même lieu que le disque principal. En cas de sinistre, avec une simple synchronisation sur disque dur externe, tu perds toutes tes données. Ou alors il faut bien prendre soin de toujours prendre son disque externe avec soi partout où on va. Une vraie sauvegarde ne peut être que dans un autre endroit physique.
    Après, je te l'accorde le choix d'une offre cloud peut être cornélien : NSA ou Projet de loi numérique, prix, garanties, disponibilités, etc.
    Quant aux mots de passe, il y certains logiciels qui valent le coup bien qu'ils ne soient pas non infaillibles et que certains d'entre eux posent aussi la question de l'utulisation des données personnelles (Lastpass, Keepass ou Dashlane, qui ma préférence)

  3. 3ul3r

    Bonjour,
    Vos conseils de création de mot de passe vont OBLIGATOIREMENT générer soit des oublis soit des écritures sur post-it pour éviter les oublis. Vous conseillez des mots de passe avec une structure très compliquée à retenir et qui n'ont réellement aucun sens logique ni pour un humain ni pour ordinateur. Or il est tout à fait possible de créer des mots de passe tout aussi difficile à casser pour ordinateur, mais qui soient plus simple à retenir pour un humain.
    Le nerf de la guerre, c'est la longueur du mot de passe. Au lieu de se contenter de 8-12 caractères et de s'obliger à mixer des lettres MAJ/min, chiffres et caractères spéciaux ... et de ne pas arriver à retenir le mot de passe, il est tout autant efficace de créer un mot de passe de 20-25 caractères uniquement en minuscules, sans chiffre ni caractères spéciaux.

    Par exemple, vous choisissez 4 mots communs aléatoirement que vous coller l'un derrière l'autre et vous ajoutez le nom du service.
    Pour GMAIL : importantcamionchampschatGmail
    Pour Facebook : importantcamionchampschatFacebook
    C'est beaucoup plus simple à retenir pour un humain, mais plus compliqué à casser avec une attaque brut-force et/ou dictionnaire. J'ai ajouté une majuscule au nom du service pour complexifier davantage, mais ce n'est même pas vraiment nécessaire

    Je ne me souviens plus de la source originale, mais un internaute américain avait fait une petite planche de BD pour expliquer ce principe. Voici un lien vers le PNG : http://imgs.xkcd.com/comics/password_strength.png

  4. Sylvain Auteur de l’article

    @ Arnaud
    Pour ma part, j'ai été déçu de Dashlane, impossible de le faire fonctionner correctement sous Firefox, et vu que je fui Chrome... D'après les réactions à mes demandes d'aide sur Twitter, je ne suis pas le seul.
    A côté de ça, un de nos dev en est ravi avec Chrome.

    @ 3ul3r
    Je ne comprends pas.
    Mes conseils sur la création de mot de passe (en cliquant sur le lien dans l'article) permettent d'avoir une parfaite logique tout en ayant des mots de passe très compliqués. Chacun les adaptera à sa sauce en fonction de ses envies ou facilité de mémorisation.
    Ta méthode me semble un peu plus simple à casser par un humain, mais elle a je l'avoue le mérite de permettre d'avoir des mots de passe complexes et c'est déjà une très bonne chose.

  5. Christophe Maggi

    Hello,
    Je compléterais ces bonnes pratiques de sécurité informatique en ajoutant :
    Ne laissez trainer aucun mot de passe dans vos e-mails.
    N'envoyez pas de mot de passe de vos clients par e-mail (ils vont les laisser trainer dans leur boite).
    Lors de sauvegarde (quelque soit la technique utilisée), assurez vous de savoir restaurer les données.
    Lors d'un chiffrement (quelque soit la technique utilisée), assurez vous de savoir déchiffrer les données.
    Ne laissez pas vos backups personnels à la maison, si elle brule vous perdez tout, idem pour le bureau (pour les plus aisés et les entreprises, il existe des coffres dans les banques).
    Changez régulièrement vos mots de passe.
    Ne laissez pas trainer des documents papier avec vos mots de passe écrit dessus.

  6. TSR

    Salut

    pour les utilisateurs de WP, très important : mettez à jour vos plugins !

    je pense qu'un très grands nombre de hacks WP ne viennent pas du core wordpress, qui est plutôt sécurisé, mais bien des plugins et des thèmes !

    Donc vérifiez-les et surtout mettez les à jour dès que possible !

Partagez sur :

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *