Comment protéger votre entreprise sur internet

1- Les mots de passes

Vos mots de passe sont-ils tous conservés dans un fichier Excel? Pire, sont-ils tous identiques?

Il est essentiel d’avoir des mots de passe différents pour tous les comptes de votre entreprise et de les conserver dans un fichier crypté. Je ne peux pas souligner à quel point cela est important! Il existe de nombreux outils à très peu de frais pour simplifier grandement ce processus. Pour en savoir plus à ce sujet je vous invite à lire ce billet de blogue spécifiquement à ce sujet.

2- Identifiez les services critiques

Un service critique est un élément en ligne de votre entreprise qui est essentiel à son bon fonctionnement ou qui permet d’obtenir l’accès à d’autres services.

Par exemple, votre compte courriel est essentiel au fonctionnement de votre entreprise. De plus, grâce à celui-ci je peux avoir accès à votre compte chez Bureau en gros en réinitialisant le mot de passe de ce dernier avec votre courriel.

Identifiez ces services critiques et assurez-vous de trois choses : ils possèdent un mot de passe unique, ce mot de passe est changé à tout les six mois et si ce service offre un service de double validation, il est activé.

3- Validation en deux étapes

Le principe de la double validation est simple. Pour vous connecter, vous devez fournir quelque chose que vous savez et quelque chose que vous avez. Par exemple, vous savez votre mot de passe et vous avez votre téléphone. On vous enverra donc un code de 6 chiffres sur votre téléphone afin de valider que vous l’ayez en votre possession.

Cette méthode complique énormément la tâche de potentiel hacker qui voudrait avoir accès à votre compte. La plupart des sites offrent ce genre de service. Cet article de blogue vous offre un guide sommaire pour l’activer sur de grands sites.

Il est à noter que l’activation par code SMS n’est pas infaillible pour un hacker expérimenté. Il est préférable d’utiliser une application de génération de code comme Google Authenticator ou bien une clé USB sécurisé comme YubiKey

4- Encryptions

Il est toujours possible pour vous ou vos employés de perdre ou de se faire voler un ordinateur ou une clé USB. Cela est cependant problématique si cet ordinateur ou cette clé USB contient de l’information sensible. Pour limiter les dégâts, il est très important de crypter les informations sensibles sur un disque dur ou une clé. Mon outil de prédilection est VeraCrypt. Avec cet outil, je peux créer une chambre forte sur une clé USB ou sur mon ordinateur où je peux conserver les documents sensibles, ces données sont donc uniquement accessibles avec un mot de passe.

Quelles données mérite ce genre de sécurité? Informations des clients, projet de R&D, dossier d’employés, informations comptables, plans de développement. Bref tout ce qui a de la valeur pour vos concurrents ou un fraudeur. Si vous désirez vous protéger des yeux indiscrets d’un État, on tombe dans une autre catégorie…

Si vous croyiez que le voleur de votre ordinateur ne peut pas accéder aux données, car il n’a pas votre mot de passe Windows ou Mac OS, détrompez-vous! Il ne suffit que de 5 minutes à un hacker pour contourner cette sécurité.

5- Messagerie sécurisé

Le téléphone, les SMS, Facebook Messenger et les courriels c’est bien… Mais tellement vulnérable aux oreilles indiscrètes.

Ces applications transmettre les informations « en clair ». C’est-à-dire qu’une personne ou une organisation mal intentionnée peut facilement intercepter la communication, la lire, puis la laisser terminer son chemin vers le véritable destinataire. Ce genre de technologie n’est pas réservé qu’à la CIA et autre agence de renseignement. Il est reconnu que le crime organisé et des hackers agissant comme espion industriel utilisent ce genre de technique.

Pour la messagerie instantanée, les SMS et les appels vocaux sécurisés, l’application de choix est sans aucun doute Signal. Elle est même utilisée par Edward Snowden.

Pour les courriels, créé vous une adresse chez Proton Mail. Leurs serveurs sont en Suisse (les spécialistes des secrets) et cryptent le courriel. Cette adresse vous permettra de transmettre des informations trop sensibles pour votre courriel d’entreprise (mot de passe, documents confidentiels, plans de la Death Star)

6- Formez les employés

L’aspect humain reste le plus vulnérable. Apprenez à vos employés à mettre en doute les courriels qu’ils reçoivent, les invitations sur les médias sociaux ou les fichiers qu’on les invite à télécharger. N’hésitez pas à obliger vos employés à utiliser des mots de passe complexes.

Mettez en place des procédures afin d’obtenir des autorisations en face à face avant de faire d’important virement bancaire (Comment un escroc a volé 5,5 millions à La Coop fédérée)