guide de sécurité - panda security...et ne la laissez pas sur des sites web publics. les escrocs...

Guide de sécurité | 1

petites entreprises et indépendants

Guide de sécurité


1. Introduction

2. Où est le danger et comment pouvons-nous nous protéger ?

Ingénierie sociale

E-mail

Télétravail

Cloud

Appareils mobiles

3. Les types de menaces les plus dangereux

4. Ce qu’il faut faire et ne pas faire en matière de cybersécurité dans votre entreprise

5. Nous permettrez-vous de vous protéger ?


/91 % des petites entreprises et des indépendants subissent quotidiennement des attaques informatiques

Nous pourrions vous donner un tas de raisons pour lesquelles ce guide a été écrit, mais une seule devrait suffire : 91 % des petites entreprises et des indépendants subissent des attaques informatiques quotidiennes.

Oui, chaque jour, presque 100 % des petites entreprises et des travailleurs indépendants subissent une forme de cyberattaque de nature à nuire à la sécurité de leurs activités, de leurs données et de leurs revenus.

Pensez-vous toujours qu’il ne soit pas nécessaire de protéger votre activité sur Internet ?

Examinez la situation et vous allez certainement changer d’avis…

Protection des petites entreprises


/ Presque chaque jour

des petites entreprises et des indépendants subissent une forme de cyberattaque

100%

Où est le danger et comment

pouvons-nous nous protéger ?

1


Téléphone

Ingénierie sociale

Ils prétendent faire partie d’une organisation connue (la banque, le fournisseur de messagerie, etc.) et, après diverses questions et quelques avertissements, ayant gagné la confiance de leur victime, ils lui demandent des codes d’accès.

Les cybercriminels peuvent essayer de s’en prendre à votre activité professionnelle de deux manières :

La méthode d’escroquerie la plus courante est le phishing*. La victime donne ses informations car elle pense avoir à faire à un site Web de confiance

Une autre forme d’attaque consiste à envoyer des fichiers joints dans des e-mails d’interlocuteurs connus. Le logiciel malveillant exploite le carnet d’adresses de la victime, en envoyant à chaque contact un e-mail avec un fichier joint infecté.

*(see the description of threats in section 3)

Formez les employés Le meilleur moyen d’éviter tout problème consiste à former les employés afin qu’ils soient conscients des tactiques d’ingénierie sociale. Voir Ce qu’il faut faire et ne pas faire > Voir les dix règles

Soyez paranoïaque Il est recommandé de« cultiver une saine paranoïa », car il est courant que les cybercriminels abandonnent s’ils pensent que leur victime ne les croit pas.

Questionnez au maximum Demandez toujours à votre interlocuteur pourquoi il a besoin des informations qu’il réclame. La plupart des attaques d’ingénierie sociale échouent lorsqu’on pose des questions.

Vérifiez les sources Si vous êtes soupçonneux au sujet d’une demande qui n’est habituellement pas faite par e-mail, vous devriez la vérifier par téléphone. Lorsque nous sommes face à une personne que nous ne connaissons pas, nous devons lui demander de s’identifier d’une façon ou d’une autre. Dites « Non » Lorsqu’un cybercriminel utilise l’ingénierie sociale, il procède habituellement en s’écartant des normes de l’entreprise ou en faisant en sorte que la victime s’en écarte. Respecter les règles de l’entreprise est votre meilleure défense.

Comment nous

protéger ?

Internet


Email

Un grand nombre de cyber-attaques démarrent par des e-mails contenant déjà une information concrète sur l’entreprise.

Tout comme pour l’ingénierie sociale, la première action consiste à former les employés à la sécurité informatique afin d’éviter tout comportement à risque lors de l’utilisation de la messagerie électronique professionnelle.

Supprimez les anciens e-mails. Si vous disposez de milliers d’e-mails que vous considérez comme importants, le mieux est de les enregistrer sur un disque dur externe, dans une base de données ou sur le cloud. Vous pourrez ainsi les supprimer de votre compte de messagerie.

Cryptez vos e-mails. Pour que l’entreprise puisse contrôler les informations confidentielles et que celles-ci ne passent pas par des comptes personnels, la meilleure méthode consiste à crypter les emails.

Lorsque vous devez créer un mot de passe, assurez-vous qu’il soit complexe et que personne ne puisse le deviner, tout en sachant que vous devrez pouvoir vous le rappeler facilement car vous l’utiliserez souvent.

Faites attention aux e-mails qui tentent de vous tromper en vous incitant à créer un nouveau mot de passe pour avoir une meilleure sécurité. Si vous avez besoin de changer votre mot de passe, allez sur le site Web du fournisseur de messagerie et faites-le à cet endroit, pas en utilisant le lien fourni dans l’email.

Soyez prudent en vous connectant à partir d’ordinateurs publics. Assurezvous de fermer les sessions avant de quitter l’ordinateur car vous pourriez laisser une trace facile à exploiter par des cybercriminels. Il est préférable d’utiliser uniquement la messagerie professionnelle lorsque vous travaillez sur un ordinateur de confiance.

Ne donnez votre adresse à personne et ne la laissez pas sur des sites Web publics. Les escrocs sont toujours prêts à exploiter toutes les occasions qui s’offrent à eux.

Comment nous

protéger ?

Dans le même ordre d’idée, n’ouvrez pas les e-mails en provenance de sources inconnues ou suspectes.

Faites en sorte de n’utiliser la messagerie professionnelle que comme outil de travail. Ne l’utilisez jamais pour des besoins personnels


Télétravail

Le télétravail offre sans aucun doute plus de souplesse pour travailler et il augmente la productivité des collaborateurs.

Mais qu’en est-il de sa sécurité ? Lorsque les employés travaillent depuis leur domicile, les entreprises ne disposent pas de la même protection et cela peut conduire à des pertes d’informations. Travailler depuis son domicile augmente les risques, car les logiciels disponibles dans l’environnement de l’entreprise offrent habituellement de meilleures garanties de sécurité.

Les risques sont divers et les pertes de données peuvent prendre différentes formes : une action malencontreuse sur l’ordinateur provoquant la suppression de fichiers dont il n’existe pas de copies de sécurité, le vol d’un mot de passe ou même d’un ordinateur pouvant conduire à ce que des données confidentielles tombent entre les mains d’un cybercriminel.

Mais le télétravail n’est pas obligatoirement dangereux.

Il est essentiel de mettre en place un protocole définissant le comportement requis en matière de sécurité pour travailler à distance.

L’utilisation de bureaux distants est une solution : elle permet d’éviter la perte d’informations car l’employé se connecte directement au serveur de l’entreprise, là où toutes les informations et les copies de sécurité sont automatiquement stockées.

Un autre point important concerne les mots de passe. Le vol du mot de passe d’un employé peut être désastreux, car il fait courir un risque à une grande quantité d’informations. Il est important de ne pas réutiliser les mêmes mots de passe, de les changer régulièrement, et d’utiliser un gestionnaire de mots de passe pour les protéger.

Il est aussi important de crypter les informations confidentielles. Ainsi, perdre un ordinateur portable ou se le faire voler ne conduira pas aussi à la perte des informations. Crypter les fichiers via le système d’exploitation ou crypter tout le contenu du disque dur élimine ce risque

Grâce à la technologie, le télétravail se développe, mais cela ne doit pas se faire au détriment de la sécurité. La technologie appropriée offre les outils permettant de ne pas faire courir de risque aux informations sensibles lorsque les employés travaillent depuis leur domicile.

Comment nous

protéger ?


CloudLa facilité d’utilisation du Cloud nous a conduits à être de plus en plus connectés.

Toutefois, si vous utilisez un stockage virtuel pour enregistrer et partager des informations professionnelles, il est possible que ses mesures de sécurité ne soient pas suffisantes. Voici quelques conseils pour l’utiliser en toute sécurité :

Créez des mots de passe sûrs. Vous savez déjà tout cela… Utilisez lettres, chiffres, majuscules, minuscules, symboles et, si possible, des mots de passe différents pour les différentes comptes.

Concernant le cryptage des fichiers, certains services de stockage virtuel assurent le cryptage des documents.

Le service Dropbox ne le fait pas, mais le service Mega le fait. Aucun n’est toutefois parfait : Le service Mega garde une copie du code pour effectuer le décryptage sur ses serveurs, ce qui n’est pas sûr à 100 %. Une bonne méthode consiste à crypter soi-même les fichiers avant de les stocker sur le cloud.

Dropbox et Google Drive permettent de mettre en place un processus de vérification à deux étapes. Ce système associe le mot de passe que vous utilisez à un autre mot de passe envoyé sur votre appareil mobile (généralement un téléphone mobile, via un SMS ou une application), pour assurer un deuxième niveau de sécurité.

Comment nous

protéger ?


Appareils mobiles

Une entreprise qui ne se protège que dans les limites traditionnelles n’est pas sûre. Il est maintenant essentiel d’avoir une stratégie pour ses appareils mobiles. En plus de garantir la sécurité des appareils, cette stratégie devra intégrer la protection des informations et des applications utilisées sur ces appareils.

Selon un rapport de l’institut Nielsen pour Panda Security portant sur l’état de la protection pour les petites entreprises et les indépendants, 25 % des tablettes d’entreprise ne disposent d’aucun logiciel de sécurité. Ce chiffre monte à 35 % pour les smartphones. Ces chiffres expliquent pourquoi un grand nombre d’attaques ciblent actuellement les appareils mobiles.

Cette stratégie doit toutefois prendre en compte une autre exigence : ne pas entraver la souplesse et le dynamisme que procure l’utilisation d’appareils mobiles.

Une des premières actions à effectuer consiste à installer un logiciel de sécurité sur les appareils mobiles. Nous avons vu récemment que le système d’exploitation (particulièrement Android) est devenu une cible de choix pour les cybercriminels.

L’identification de l’utilisateur doit être plus robuste qu’un simple mot de passe traditionnel. Un nombre croissant d’appareils mobiles permettent d’utiliser les empreintes digitales pour s’identifier et les entreprises devraient former leur personnel à l’utilisation de ces outils ainsi qu’aux actions à effectuer s’ils perdent l’appareil ou se le font voler.

Soyez prudent avec les logiciels tiers : de nombreux professionnels installent des applications de sources suspectes qui, bien que paraissant valables, sont en fait des imitations de pages créées par des cybercriminels. Cela fait courir un risque de sécurité à l’entreprise.

Comme toujours, les appareils mobiles doivent être configurés pour éviter les réseaux sans fil qui ne sont pas sûrs et il faut recommander aux utilisateurs de désactiver l’option Bluetooth pour éviter toute mauvaise surprise.

Comment nous

protéger ?


Les types de logiciels

malveillants les plus dangereux

3


Ce type d’escroquerie vous trompe avec des promotions de vacances et des tirages au sort, et demande de l’argent pour accéder au prix supposé

Il infecte les ordinateurs connectés au réseau et

bloque même l’accès aux communications.

Il recueille, enregistre et envoie au cybercriminel toutes les

saisies effectuées au clavier.

Il crée une fausse URL pour obtenir vos informations et dérober votre identité, afin de pouvoir retirer de l’argent de vos comptes en banque.

Elle ouvre une porte dérobée et prend le contrôle du système affecté.

Elle perce vos défenses de sécurité pour les contrôler et les surveiller, puis pouvoir extraire régulièrement des informations.

* Menace persistante avancée (Advanced Persistent Threat)

Phishing

Ver

Backdoor

Scam

ATP*

Keylogger


malveillants les plus dangereux I


Il installe différentes applications pour permettre à des pirates de contrôler votre ordinateur et vos fichiers, et de dérober des informations confidentielles.

Elle profite d’une faille de sécurité des protocoles de

communication pour pénétrer dans vos ordinateurs.

Une fois installé dans votre ordinateur, ce programme

permet d’en prendre le contrôle à distance.

Il recueille des noms, des comptes d’accès, des codes et tout autre type d’informations sur l’entreprise.

Il bloque le PC, en prend le contrôle, crypte vos fichiers et demande une rançon pour vous les restituer.

Exploitation de failles

Logiciel espion

Cheval de Troie

Logiciel de rançon

BOT


malveillants les plus dangereux II


Ce qu’il faut faire et ne pas faire en matière de

cybersécurité dans votre entreprise

4


Soyez prudent avec les liens que vous recevez dans vos e-mails professionnels. Ne les ouvrez pas sans vérification.

Utilisez une solution de sécurité qui vous assure une tranquillité totale.

Évitez d’installer des contenus tiers non vérifiés dans votre entreprise

Faites attention aux réseaux Wi-Fi publics lorsque vous utilisez un appareil d’entreprise.

Effectuez des copies de sécurité régulieres des informations importantes.

Créez des mots de passe complexes avec des majuscules/minuscules et des symboles.

Utilisez des bureaux à distance pour le télétravail

Occupez-vous des mobiles et des tablettes, pas simplement des ordinateurs.

Formez vos employés Leur connaissance de la sécurité évitera à votre entreprise de nombreux problèmes.

1

5

2

6

3

7 9

4

8 10

Cryptez vos données les plus importantes.

Ce qu’il faut faire en matière de cybersécurité


/Nous permettrez vous de vous protéger ? Nous vous avons donné des informations et des conseils pour vous aider à protéger votre entreprise contre les cybermenaces. L’étape suivante consiste à vous donner une solution pour vous assurer une absence de risques quand vous êtes connecté.

Notre antivirus pour les petites entreprises et les indépendants Endpoint Protection Plus, ne vous aide pas simplement à éliminer les virus et tous les types de menaces sur vos appareils. Il a aussi été spécifiquement conçu pour que vous n’ayez pas à vous préoccuper de quoi que ce soit. Il s’installe facilement et ne nécessite aucune maintenance.

Simple, n’est-ce pas ?

Endpoint Protection Plus

Gérez la sécurité de tous les ordinateurs de votre réseau et contrôlez la productivité de vos collaborateurs avec le coût de possession le plus bas possible

Endpoint Protection Plus offre une protection centralisée pour tous vos postes de travail Windows, Mac et Linux, y compris les ordinateurs portables, les smartphones et les principaux systèmes de virtualisation.

Pour en savoir plus Donc maintenant que nous n’avez plus d’excuses , pourquoi attendre davantage pour protéger votre activité ?

http://www.pandasecurity.com/usa/enterprise/solutions/cloud-office-protection-advanced/



guide de sécurité - panda security...et ne la laissez pas sur des sites web publics. les escrocs...

Documents