Sécurité informatique : 3 bonnes pratiques bon marché pour parer 80% des attaques

,

En matière de sécurité informatique, comme ailleurs, le mieux est l’ennemi du bien. Autrement dit, une solution complexe et coûteuse vous apportera un niveau de sécurité extrême. Alors que quelques bonnes pratiques simples protégeront votre informatique de la majorité des attaques. Et sans vous ruiner. Voici 3 outils que toute bonne PME se doit d’acquérir.

Dans l’univers des petites entreprises, le pragmatisme prime. Parfois à l’excès, ce qui peut conduire au simplisme. Sous prétexte qu’elles n’ont pas des secrets d’Etat à cacher, et que « jusqu’ici, tout va bien », elles se contentent de protections relativement sommaires. Jusqu’au jour où elles se retrouvent attaquées. Et qu’elles prennent conscience de la valeur de leurs données – et de leur informatique en général. Car les temps ont changé, et les attaques à grande échelle n’épargnent désormais plus personne.

Phishing, Social Engineering, Crypto Locking et Ransomware : autant de termes barbares que les PME découvrent, souvent dans la douleur. Si certaines de ces attaques peuvent s’avérer sophistiquées, la grande majorité utilise des méthodes très basiques, en ciblant le maillon le plus faible de la chaîne : l’utilisateur. Au-delà des efforts d’éducation, qui restent cruciaux et qui doivent s’inscrire dans le temps, donner aux collaborateurs quelques outils simples protégera votre entreprise comme jamais. Simples, mais pas simplistes. Voyons cela.

MFA, la fusée à deux étages (ou plus) des mots de passe

MFA signifie Multi-Factor Authentication. Ou en bon Français, authentification à facteur multiples. Vous êtes bien avancé… Il s’agit concrètement de ne plus baser l’authentification à un service – typiquement la messagerie d’entreprise – sur un unique mot de passe, mais sur une série de moyens, en cascade. Par exemple, après avoir rentré votre mot de passe, vous serez amené à confirmer votre authentification. Cette confirmation pourra passer par un SMS, ou une application qui générera un code à usage unique sur votre smartphone.

Dans la plupart des cas, cette authentification sera donc double. Ce qui vous prémunit déjà des attaques les plus courantes. Parmi elles, le phishing. Vous avez probablement déjà reçu des emails vous invitant à confirmer votre adresse email et votre mot de passe, de la part de sites institutionnels (la Poste, ou une banque). Il s’agit en général de sites contrefaits, dans le seul but de vous mettre en confiance et de vous voler votre mot de passe de messagerie. La double authentification empêchera donc les pirates d’accéder à votre messagerie. Pour autant, votre mot de passe est compromis, et vous devrez le changer. Surtout si vous l’utilisez de manière répétée, un peu partout.

Le gestionnaire de mot de passe, parade ultime

Avec en moyenne 40 mots de passe à retenir, la vie de l’utilisateur informatique est parfois complexe. Là encore, en excès en entraîne un autre : cette avalanche de mots de passe aboutit à des méthodes qui annihilent tout l’intérêt de ces codes. Qui finissent donc fatalement dans des fichiers, des Post-It ou des listes imprimées, à la vue du premier visiteur venu. Et même si l’authentification MFA vous protège, toutes les applications ne sont pas compatibles. Vos mots de passe exposés vous font donc courir de grands risques.

Office 365 protège désormais nativement sa messagerie Exchange avec MFA, notamment avec une application pour smartphone très efficace.

Comment alors vivre en sécurité dans un monde numérique tout en simplifiant la gestion des codes de protection ? Avec un gestionnaire de mot de passe, vous ne craignez plus d’en avoir un différent par application, et qui soit long et complexe. Une application les gère pour vous. Stockés et cryptés dans le Cloud, vos mots de passe sont accessibles via une simple application en ligne ou sur votre smartphone. Mieux, les codes peuvent être copiés-collés sans même apparaître à l’écran, ou être transmis automatiquement dans les formulaires de connexion. L’accès à l’application est protégé quant à lui… par du MFA, ou un accès biométrique. La boucle est bouclée.

Le backup, cette pierre angulaire de votre protection

Imaginons maintenant que, malgré toutes ces protections (ou, en leur absence), un pirate accède à vos fichiers. Pour être honnête, leur contenu ne l’intéresse probablement pas beaucoup. Pas autant que vous en tout cas. Et c’est là tout l’intérêt de l’indélicat hacker : il va crypter vos données à l’aide d’un ransomware, un logiciel malveillant, et vous demander une rançon. Dans la plupart des cas, payer ne vous servira à rien, et vos données ne seront pas décryptées. Si tel devait être le cas toutefois, ne vous imaginez pas en veine : il y a fort à parier que l’attaque se reproduira si vous ne prenez pas d’autre mesure de protection.

Dans tous les cas, comptez plutôt ne vous en remettre qu’à vous-mêmes. En la matière, une stratégie de backup adaptée sera votre meilleure alliée. Une stratégie Cloud d’ailleurs. Pourquoi ? Si vos sauvegardes sont bien conçues, mais qu’elles tournent sur un disque externe branché à votre serveur, comptez sur le pirate et son ransomware pour ne pas les oubliez au moment du cryptage. Vos jolis backups ne vous serviront à rien. Alors que si vos données sont externalisées dans le Cloud, elles seront épargnées par la diffusion du virus dans votre réseau. Avec une rétention efficace (7 jours minimum), vous aurez la possibilité de récupérer une bonne partie des fichiers en état de marche, même si la catastrophe se produit pendant un week-end prolongé.

En informatique, les bonnes pratiques ne coûtent pas cher

Reste à savoir combien vous coûtera ce trio d’outils indispensables. Commençons par le MFA. Réservé il y a peu aux grandes entreprises, en contrepartie d’investissements colossaux, le MFA est maintenant à la portée de tous. En tout cas pour les applications qui le supportent nativement. Le meilleur exemple ? Office 365 protège désormais nativement sa messagerie Exchange avec MFA, notamment avec une application pour smartphone très efficace. Idem pour Dropbox Business ou Windows pour ne citer qu’eux. Pas de surcoût donc.

Pour un gestionnaire de mot de passe, comptez quelques francs par mois et par utilisateur. Probablement donc moins que le coût mensuel du café à la pause pour chaque utilisateur. Et pour un backup Cloud externalisé digne de ce nom, comptez quelques dizaines de francs par mois pour quelques centaines de gigaoctets. Un coût qui sera variable en fonction du volume de vos données. Mais finalement, pas grand-chose à l’échelle de votre entreprise.

Se constituer un kit de survie d’entreprise basé sur ces 3 bonnes pratiques informatique est donc à la portée de n’importe quelle PME. Peu intrusifs, ces outils se greffent sur l’existant, et agissent comme une couche de sécurité supplémentaire sans rien remettre en cause. Leur coût abordable devrait achever de vous convaincre. Ne reste plus qu’à franchir le pas. Sans trop tarder toutefois, les hackers de tout poil, eux, ne vous attendrons pas.

Emmanuel Dardaine

emmanuel dardaine expert cloud

Mots de passe : 4 raisons pour mettre en place un gestionnaire efficace

, ,

40 : c’est le nombre moyen de mots de passe que nous devons mémoriser. Tous les retenir n’est pas aisé. Surtout lorsqu’ils sont peu utilisés. Pour aider notre mémoire, les moyens ne manquent pas, mais ils ne sont pas tous sécurisés. Heureusement, le gestionnaire de mot de passe peut vous sauver.

Mots de passe simplistes ou réutilisés en masse, Post-It sous le clavier, ou encore fichier Excel non crypté : ce sont bien souvent les premiers recours à notre mémoire défaillante. On ne va pas se mentir : nous y avons tous eu recours. Mais à quel risque ? Car, ne l’oublions pas, l’objectif premier du mot de passe est de sécuriser les accès à nos services.

Imaginez qu’un individu mal intentionné découvre le mot de passe que vous utilisez partout, ou mette la main sur votre listing de codes, et vous vous retrouvez dans une situation (très) inconfortable. Et vous faite courir à toute votre entreprise des risques énormes. Il existe pourtant une alternative sérieuse, le gestionnaire de mot de passe, qui vous simplifie la vie tout en garantissant un niveau de sécurité maximal. Petit tour d’horizon sur cet outil incontournable.

Mais qu’est-ce qu’un gestionnaire de mots de passe ?

Il s’agit d’un service – souvent en ligne – qui permet à un utilisateur de gérer et stocker ses mots de passe dans une base de données centralisée et sécurisée. L’accès au gestionnaire s’effectue via un mot de passe unique. Ou mieux, par votre empreinte digitale si votre smartphone le supporte.

Grâce au gestionnaire de mots de passe, l’utilisateur s’affranchit donc de devoir se souvenir de l’intégralité de ses codes, et peut ainsi sans contrainte adopter une stratégie de mot de passe plus complexe – et donc plus robuste. Et définir un mot de passe différent pour chaque application ou service.

Il faut en effet garder à l’esprit que la diversification des mots de passe est un facteur clé de la sécurisation des données. 83% des employés utilisent le même mot de passe pour plusieurs usages et/ou applications. L’interception d’un seul mot de passe peut alors rendre vulnérable tout un ensemble de comptes et de documents.

Le gestionnaire se charge de synchroniser ensuite votre base de mots de passe sur le Cloud en utilisant un cryptage fort de bout en bout. Vous retrouvez l’ensemble de vos codes sur n’importe quel appareil. Pour accéder à vos services n’importe où, et en toute sécurité.

Intégration au navigateur et générateur de mots de passe

Mais au-delà du stockage, du cryptage et de la synchronisation de votre base de codes personnels, les gestionnaires de mot de passe vous facilitent aussi la vie en accélérant l’accès aux informations.

La plupart d’entre eux offrent des extensions qui s’intègrent directement dans votre navigateur préféré. Ainsi, lors de la création d’un nouvel identifiant sur un site web, il sera enregistré directement dans votre base. Lors de visites ultérieures, il vous proposera automatiquement de remplir à votre place les champs de connexion. Fini donc les copier-coller.

83% des employés utilisent le même mot de passe pour plusieurs usages et/ou applications. L’interception d’un seul mot de passe peut alors rendre vulnérable tout un ensemble de comptes et de documents.

Fini aussi le casse-tête pour générer des mots de passe répondant aux conditions de complexité de plus en plus exigeantes et variées des sites Web ou des services en ligne. Un générateur intégré au gestionnaire sera toujours plus inventif que vous. Et si le code est incompréhensible ? Ca n’est plus un souci, vous n’aurez de toute façon pas à le retenir.

Une arme redoutable contre le phishing

En faisant appel à l’extension de gestionnaire de mots de passe dans votre navigateur, vous vous protégez également des risques de phishing sans vous en rendre compte. Le phishing, vous savez, ce sont ces emails que vous recevez de la Poste ou d’UBS, et qui vous invitent à saisir votre mot de passe.

La technique est simple : pour récupérer vos identifiants, les hackers dupliquent des pages de site internet – par exemple, l’interface de connexion à votre site de e-banking – tout en utilisant une URL de connexion quasi identique à la vraie (typiquement, un caractère ajouté au milieu du lien de connexion).

Même en étant vigilant, il est très simple de se faire piéger. Contrairement au commun des mortels, le gestionnaire de mots de passe sera en mesure d’identifier à coup sûr la fausse URL et n’indiquera donc pas vos informations de connexion. Et vous serez naturellement mis sur vos gardes.

Vos mots de passe dans votre poche

Atout supplémentaire, les gestionnaires de mots de passe – majoritairement basés sur le Cloud – offrent une grande souplesse. Que ce soit sur votre ordinateur – professionnel ou personnel – ou votre smartphone, vos mots de passe sont accessibles dès que vous êtes connectés à Internet.Gestionnaire de mots de passe LastPass

Et pour les utilisateurs qui en veulent encore plus, l’ajout d’une authentification renforcée permet d’en remettre une couche. Certains choisirons l’authentification multi-facteurs, qui couple le mot de passe d’accès au gestionnaire avec une vérification supplémentaire, via un SMS ou une application tierce. D’autres opteront pour l’authentification biométrique, en mettant à profit les capacités de leur smartphone.

Lutter contre les regards indiscrets

Le mieux est parfois l’ennemi du bien. Même avec une protection digne de Fort Knox, un simple regard malveillant pourrait percer le secret de vos mots de passe. Par-dessus votre épaule dans le train ou l’avion par exemple, au moment de vous en servir.

Mais le gestionnaire de mots de passe ne les affiche jamais par défaut. Il peut vous proposer de les copier alors même qu’ils n’apparaissent pas en clair. Ou même de les insérer directement dans les formulaires de connexion, avec l’extension de navigateur mentionnée plus haut. Tout en vous laissant la possibilité de les consulter en clair, à votre demande et d’un simple clic, à l’abri des regards.

Vous l’aurez compris, le gestionnaire de mot de passe n’a que des qualités : il les crypte et les stocke pour vous, en optimise la complexité, et vous rend leur usage enfin simple et sécurisé. De quoi en finir définitivement avec les listes en clair et les mémos en papier. Et quand on sait qu’une solution professionnelle de ce type revient à quelques CHF 50.- par utilisateur et par an, il n’y a plus lieu d’hésiter.