L’importance de l’hygiène informatique en entreprise

L’hygiène informatique s’inscrit directement dans les opérations de sensibilisation à la cybersécurité que peut mener une entreprise auprès de ses collaborateurs pour conserver son système informatique en « bonne santé ». Dans cet article, nous vous présentons donc cette notion et vous listons les principales bonnes pratiques à suivre pour adopter une bonne hygiène numérique.

Qu’est-ce que l’hygiène informatique ?

Ce concept, développé par l’ANSII en 2013, a pour but de diffuser une culture de la cybersécurité à tous les niveaux d’une entreprise afin de protéger son système informatique face aux cyberattaques. L’intérêt étant d’ancrer de bonnes pratiques informatiques dans la routine de travail quotidienne de chacun des collaborateurs pour qu’elles deviennent des réflexes.

Pourquoi l’hygiène informatique est capitale pour une entreprise ?

L’actualité nous le prouve, les cyberattaques n’épargnent personne, pas même le FBI. La cybersécurité doit donc être considérée comme une composante majeure de la stratégie d’une entreprise.

En effet, si une structure souhaite protéger son matériel et ses données il est nécessaire qu’elle mettre en place des outils (antivirus, pare-feu, anti-spam, etc…) pour y parvenir. Mais elle doit également former les acteurs de la société aux enjeux de cybersécurité (gestion des sauvegardes, des mots de passe, sensibilisation aux cyber-risques, etc…) à l’aide par exemple de procédures et/ou de sessions de formation. Car en comblant les potentielles failles de sécurité et en limitant les comportements à risque vous maximisez ainsi la pérennité et la compétitivité de votre entreprise.

9 bonnes pratiques à adopter pour une bonne hygiène informatique

1. Cartographiez votre système informatique

Si vous souhaitez protéger efficacement vos appareils, vous devez tout d’abord les identifier. C’est pourquoi, il vous faudra réaliser un inventaire de votre système informatique. Cela vous permettra de n’oublier aucun équipement et vous serez en mesure de réagir beaucoup plus rapidement en cas d’incident.

Dans cet inventaire, il sera nécessaire de lister vos ressources matérielles (pc, serveurs, tablettes, smartphones, routeurs, etc…). Ainsi que l’ensemble des logiciels déployés sur les postes utilisateurs. Et surtout ne pas oublier de schématiser votre architecture réseau.

Bien évidemment, pour être utile cet inventaire devra être mis à jour régulièrement et stocké ailleurs que sur le réseau.

2. Protégez vos appareils

Afin de vous protéger des menaces externes et sécuriser de manière homogène l’ensemble de votre parc informatique, il est nécessaire de :

• mettre en place un antivirus sur chaque poste utilisateur
• désactiver/désinstaller les applications et services inutilisés, pour ne pas laisser de failles potentiellement exploitables par des hackers
• limiter l’usage des supports amovibles (disque dur, clé USB, etc…) afin de minimiser les risques d’infections du système par des virus
• configurer le plus finement possible les clients de messagerie pour qu’ils bloquent un maximum de courriers malveillants/indésirables
• utiliser un antispam
• chiffrer vos données, afin de préserver leur confidentialité en cas de perte ou de vol de matériel
• désactiver les ports inutilisés de vos périphériques (imprimantes, PC, etc…), ces derniers pouvant constituer une porte d’entrée vers votre réseau d’entreprise

3. Sécurisez votre réseau

Même si vous appliquez à la lettre les recommandations listées ci-dessus, votre parc n’est pas à l’abri d’attaques pour autant. Votre réseau informatique a besoin d’être protégé lui aussi. Pour ce faire vous devez :

• déployer un pare-feu de type UTM afin de filtrer les contenus web douteux et bloquer les tentatives d’intrusion
• protéger vos réseaux wifi grâce à un chiffrement WPA 2 ou 3
• cloisonner les différents réseaux, par exemple en séparant le réseau wifi « invité » du réseau interne
• utiliser des protocoles sécurisés (SSH, TLS, etc…) afin de protéger les échanges d’informations entre vos différents périphériques
• contrôler le trafic sur votre réseau
• inciter les utilisateurs à ne pas connecter d’appareils personnels au réseau de l’entreprise, pour éviter les risques d’infection par virus ou les failles de sécurité

4. Contrôlez les accès utilisateurs

Vous devez être en mesure d’identifier les utilisateurs ayant un accès à votre système informatique. Cela vous permettra de repérer plus facilement les comportements à risque et les comptes compromis en cas d’incident.

Pour y parvenir, il est préférable d’attribuer à vos collaborateurs des comptes nominatifs (exemple : pierremartin). Les comptes génériques par services (exemple : compta, admin, etc…) sont donc à réserver à un nombre réduit de personnes.

Il faut également définir une politique stricte de gestion des droits d’accès. Car vous devez impérativement contrôler qui a accès à l’information. Ceci dans le but d’éviter des fuites ou des duplications de données à des endroits soumis à un contrôle moins strict ou inapproprié.

Enfin, il convient de sensibiliser les utilisateurs sur le choix de leurs mots de passe. Ces derniers ne doivent pas être trop simple, ni déjà utilisés sur des comptes personnels. L’idéal étant de les obliger à renouveler régulièrement leur mot de passe selon une certaine périodicité définie en interne.

5. Gérez la mobilité

Protégez vos smartphones et tablettes au même titre qu’un PC portable :

• installez un antivirus sur vos appareils
• téléchargez vos apps uniquement depuis les stores officiels (Google Playstore, Apple Store, etc…)
• gardez vos systèmes et apps à jour
• sécurisez l’écran de verrouillage de vos appareils pour protéger vos données en cas de vol ou perte

Dans le cadre du télétravail ou d’un déplacement il faut également faire attention lorsque vous vous connectez à un réseau wifi public. N’utilisez jamais ce type de réseau pour accéder aux données sensibles de votre société car ils ne sont pas sécurisés. Les informations qui transitent sur ces derniers peuvent donc être interceptées. Utilisez plutôt un VPN pour sécuriser les connexions vers votre entreprise qui sont réalisées depuis l’extérieur.

6. Conservez votre système informatique à jour

Les mises à jour sont fondamentales pour la sécurité de votre système informatique. Notamment parce qu’elles corrigent des failles de sécurité pouvant être exploitées par des pirates. C’est pourquoi il est important de ne pas tarder à mettre à jour vos logiciels, antivirus et systèmes d’exploitation, afin de ne laisser aucune brèche dans le système de protection de votre parc informatique.

7. Prenez soin de votre identité numérique

Voici une bonne pratique d’hygiène informatique qui vous sera utile aussi bien en entreprise que dans votre vie privée.

Soyez vigilant à propos des informations concernant votre entreprise qui sont partagées sur les réseaux sociaux. Que cela soit fait au nom de votre entreprise ou par l’un de vos collaborateurs, via son compte personnel. Car ces informations sont souvent accessibles à un grand nombre d’inscrits de la plateforme.

Hormis le fait que d’un point de vue RGPD cela peut vous causer des soucis juridiques, vous rendez publics de précieux renseignements sur vous/votre structure. Des personnes potentiellement mal intentionnées (espionnage industriel, escroqueries, etc…) pourraient s’en servir pour vous nuire.

Car il faut savoir que de plus en plus de cybercriminels utilisent les réseaux sociaux pour trouver une « faille humaine » leur permettant de mener des attaques contre une entreprise. En témoignent l’explosion des campagnes de spear-phishing sur l’année 2020.

8. Anticipez les risques

En matière de cybersécurité, le risque zéro n’existe pas car les pirates trouvent toujours de nouveaux moyens d’atteindre leur but. En plus des mesures de protection déjà mises en place, il vaut donc mieux assurer vos arrières.

C’est pourquoi nous préconisons à minima de réaliser régulièrement des sauvegardes de vos données d’entreprise. Ainsi que des logiciels et tout autres éléments indispensables à la réalisation de vos tâches quotidiennes. Par exemple, en cas d’attaque par ransomware ces sauvegardes constitueront votre Graal pour remettre sur pied votre activité rapidement.

De manière plus globale il est fortement conseillé d’établir un Plan de Continuité d’Activité (PCA) et/ou de Reprise d’Activité (PRA). Ces documents vous permettront de gérer la crise de manière ordonnée et limiteront l’impact qu’elle peut avoir sur votre production.

9. Sensibilisez vos équipes

Dans un précédent article, portant justement sur la sensibilisation de ses équipes à la cybersécurité, nous évoquions le « facteur de risque humain » exploité la plupart du temps par les hackers. D’où la nécessité de former vos équipes à adopter une bonne hygiène informatique au sein de votre entreprise. Pour ce faire vous pouvez :

• communiquer sur les cyber risques actuels
• rédiger une charte informatique qui permettra de guider vos collaborateurs et à laquelle ils pourront se référer en cas de doutes
• mettre en place une procédure de gestion des mots de passe qui doit être suivie par tous
• apprendre à vos collaborateurs comment repérer les menaces (sites douteux, campagnes de phishing, tentatives d’escroquerie, etc…)

Bien évidemment l’ensemble de ces recommandations doivent être adaptées à la taille de votre entreprise et à votre activité. Car il est évident qu’une TPE n’aura pas les mêmes besoins en terme de protection qu’une entreprise possédant plusieurs sites qui communiquent entre eux. Toutefois, ces bonnes pratiques vous permettront de développer les bons réflexes en matière d’hygiène informatique.

Nous espérons que la notion d’hygiène informatique en entreprise vous est maintenant plus familière. Et si vous souhaitez vérifier que votre système informatique est bien protégé, n’hésitez pas à nous solliciter !

Vous pourriez lire aussi :

• Antivirus & Pare-feu : quelle différence ?
• Comment reconnaître les signes d’une cyberattaque ?
• Télétravail : comment sécuriser son activité ?