Les 10 meilleures astuces

Securing Your Web World
Les 10 meilleures astuces
p o u r p rot é g e r votre petite entreprise
La protection de votre entreprise contre les
menaces Web les plus récentes est devenue une
tâche incroyablement complexe. Les conséquences
des attaques externes, des failles de sécurité internes
et de l'utilisation d'Internet à des fins malhonnêtes
ont fait de la sécurité une priorité pour les petites
entreprises. Que devez-vous savoir à propos de la
sécurité et quels sont les éléments clés à aborder ?
Trend Micro met tout cela en lumière.
Trend Micro Securing your Web World
1
FERMEZ VOTRE PORTE AUX PROGRAMMES MALVEILLANTS
De la même manière que vous ne laisseriez pas la porte ouverte la nuit, vous n'inviteriez pas de cybercriminels à pénétrer
dans votre entreprise. Mais, en ne protégeant pas vos ordinateurs, en ne possédant par exemple ni pare-feu adéquat ni logiciel
antivirus, c'est exactement ce que vous faites.
Une alerte concernant l'augmentation des attaques dans les petites entreprises a été émise par la NACHA, l'association de
paiements électroniques américains. ComputerWorld écrit : « L'alerte de la NACHA précise que les cybercriminels visent
apparemment les petites entreprises à cause du manque d'efficacité relatif de leurs procédures d'authentification, de leurs
contrôles des transactions et des fonctions de génération de rapports « alerte rouge ». Dans certains cas, indique l'alerte, les
pirates piègent les employés des petites entreprises en leur faisant visiter des sites de phishing présentant la même apparence
que celui de l'institution financière de l'entreprise sur lequel ils se connectent à l'aide de leurs identifiants ».
Un programme malveillant est un logiciel malicieux conçu pour infiltrer ou endommager un ordinateur ou un réseau sans que
vous le sachiez ou sans votre consentement.
• A
ppliquez le pare-feu. Un bon routeur Internet contient un pare-feu intégré (alors n'oubliez pas de l'activer), mais avec la complexité
des programmes malveillants d'aujourd'hui, cela ne suffit pas.
• P
rotégez les ordinateurs. Le meilleur logiciel de sécurité va bien au-delà d'une protection standard et est hébergé sur l'ordinateur sans
pour autant en altérer les performances, ni celles d'un ordinateur portable ou du réseau. La meilleure protection protège à la fois contre
le vol d'identité, les sites Web à risque et les attaques de pirates, et ce, dans une solution unique.
• V
isualisez pour protéger. Choisissez une solution qui vous aide à garder un œil sur les utilisateurs mobiles et tous vos ordinateurs et
serveurs à l'aide d'une console unique.
• F
aites confiance aux utilisateurs mobiles. Une bonne sécurité contient une détection de l'emplacement. Cette fonction modifie
automatiquement les paramètres de sécurité sur les ordinateurs portables pour obtenir le meilleur niveau de protection lorsque les
employés se déplacent à l'intérieur ou en dehors de l'entreprise.
• T
riez les e-mails. L'antispam réduit le nombre d'e-mails indésirables, bloque les menaces et limite les distractions pour les employés.
Réduisez le traitement des spams en les bloquant avant qu'ils n'atteignent votre entreprise.
2
PUBLIEZ VOTRE STRATÉGIE
Vous pensez que votre entreprise est trop petite pour intéresser les pirates ? Vous feriez bien d'y réfléchir à deux fois. La taille
n'a aucune importance lorsqu'il s'agit de crime et de fraude en ligne et les petites entreprises sont des proies faciles à cause de
leurs ressources informatiques étendues. Il est donc important que votre entreprise prenne la sécurité au sérieux : apprenez et
réapprenez à vos employés à respecter vos exigences de sécurité. Rédigez-les. Communiquez-les. Faites-les appliquer.
Votre stratégie doit inclure les éléments suivants sans y être limitée :
• A
utorisez ou n'autorisez pas. Quelles sont les applications qui peuvent être chargées sur les ordinateurs de l'entreprise et celles qui ne
doivent pas l'être ?
• Exigez des mots de passe forts. Voir l'astuce n°4 sur les mots de passe.
• Mettez en œuvre les conséquences. Qu'advient-t-il si la stratégie n'est pas respectée ? Soyez prêt à passer de la parole aux actes.
• U
tilisez-le. N'en abusez pas. À quelle utilisation un ordinateur appartenant à l'entreprise est-il destiné ? Cela inclut l'utilisation
d'Internet.
• S
ensibilisez les employés à la bonne utilisation de la messagerie électronique. Intégrez les communications internes et externes
ainsi que ce qui devrait et ne devrait pas être ouvert ou transféré.
• C
hiffrez ou ne chiffrez pas. Décidez si une solution de chiffrement des courriers électronique pour protéger vos informations sensibles
est nécessaire et à quel moment.
• N
ommez un référent. Quelle est la personne que les employés peuvent contacter s'ils ont des questions concernant la stratégie ou la
sécurité informatique en général ?
3
ATTAQUEZ-VOUS AUX MÉDIAS SOCIAUX AVANT QUE LA SITUATION NE VOUS ÉCHAPPE
Les médias sociaux ne vont pas disparaître de sitôt, alors fournissez les bonnes pratiques et les lignes directrices à vos employés.
Voici quelques solutions pour réduire les risques inhérents aux réseaux sociaux :
• R
egardez qui s'exprime. Décidez qui peut s'exprimer au nom de l'entreprise et n'autorisez que ces employés à écrire à propos
d'événements internes et externes.
• D
éfinissez ce qui est confidentiel. Dans votre stratégie de sécurité, couvrez les sites de médias sociaux tels que Facebook, Twitter,
LinkedIn, et davantage encore dans votre accord de non-divulgation d'informations commerciales confidentielles.
Trend Micro Securing your Web World
• É
laborez des directives et mettez en place un forum pour les développer. Des directives définissant quelles informations concernant
l'entreprise peuvent être publiées par l'intermédiaire de blogs et autres médias sociaux devraient être fixées. Ces directives doivent aller
au-delà la sécurité :
- Les blogueurs devraient s'identifier en tant qu'employé/salarié de l'entreprise. Sinon, vous subirez un retour de flamme.
- Définissez la tonalité du blog.
- Protégez les informations et la confidentialité de vos clients. Rappelez aux clients de ne pas partager leurs informations personnelles
dans une publication et à qui s'adresser s'ils ont des questions concernant des informations confidentielles.
- Décidez à quel moment les informations d'assistance peuvent être diffusées à l'aide des médias sociaux.
- Faites-vous parrainer par un directeur/propriétaire pour pouvoir adapter rapidement les directives en fonction des besoins de
l'entreprise.
- Utilisez des ressources telles que BlogWell (www.blogwell.com) pour développer vos directives et en savoir plus sur les médias
sociaux.
• Soyez social, mais intelligent avant tout.
- Vous ne devriez publier que les informations dont la large propagation ne vous pose aucun problème, en fonction des objectifs que
vous vous êtes fixés.
- Attendez-vous toujours au pire afin d'obtenir les meilleurs résultats possibles. Encouragez les employés à limiter le nombre
d'informations personnelles qu'ils partagent en ligne pour leur sécurité ainsi que celle de l'entreprise.
- Ajoutez à votre liste de contacts uniquement les personnes auxquelles vous faites confiance.
- Évitez de cliquer sur des liens inattendus provenant de personnes inconnues.
- Ne faites jamais entièrement confiance à une personne que vous ne connaissez pas bien.
4
PROTÉGEZ AVEC DES MOTS DE PASSE
Que cela vous plaise ou non, les mots de passe sont la clé de la plupart des réseaux de petites entreprises. Ils sont donc
importants pour protéger l'accès à vos réseaux. Pas besoin d'être un as des statistiques pour savoir que plus vous ajoutez de
caractères, plus votre mot de passe est renforcé.
• C
ommencez en étant bien protégé. Demandez des mots de passe efficaces d'une longueur d'au moins 8 caractères et contenant des
chiffres, pour pouvoir bloquer les attaques simples qui devinent les mots de passe.
• Il est temps de changer. Fixez des délais pour les anciens mots de passe et programmez des changements de mot de passe fréquents.
• P
rotégez-les. Faites comprendre aux employés qu'écrire les mots de passe, les enregistrer sur les téléphones mobiles ou utiliser un
code facile à deviner menace la sécurité de l'entreprise.
• T
rouvez la bonne formule. Pour obtenir les mots de passe les plus efficaces, n'utilisez pas de mots. Utilisez plutôt des lettres, des
chiffres et des caractères spéciaux de façon aléatoire. Faites un schéma sur votre clavier : aZe4(6Ui est un mot de passe bien plus fort
que golrish#3.
5
SOYEZ ATTENTIF À LA SÉCURITÉ INTERNET
Internet est un outil de travail fantastique pour les entreprises. Mais il peut également augmenter l'exposition aux programmes
malveillants si votre solution de sécurité n'effectue pas de scan proactif des contenus pour surveiller ces programmes et vous
alerter au sujet des problèmes potentiels. Choisissez des solutions de sécurité qui peuvent vous aider à combattre les menaces les
plus récentes mais avec moins de distractions pour vos employés :
• B
loquez les liens malveillants. Ne vous contentez pas de faire confiance aux employés en matière de sécurité ou définissez où et à
quel moment ils peuvent avoir accès au réseau ou à Internet. Automatisez les mises à jour et rendez la sécurité transparente pour vos
employés.
• F
aites du Web un outil productif. En plus de directives relatives à l'utilisation acceptable du Web, choisissez des solutions qui
empêchent toute utilisation inappropriée. Le filtrage d'URL peut limiter l'accès aux sites non productifs de manière permanente ou
pendant les heures de travail et la protection contre les liens présentant un risque vous permettra de garder votre entreprise, vos
employés et vos données sous votre contrôle et non sous celui des voleurs d'identité ou de données.
6
DEMANDEZ DE L'AIDE À VOS EMPLOYÉS
De nombreuses affaires de perte de données de grande ampleur ont fait les gros titres dernièrement, mais saviez-vous que 80 %
de toutes les pertes sont causées par des erreurs humaines, soit en envoyant des informations confidentielles ou sensibles aux
mauvaises personnes, soit de manière non sécurisée ?
• S
oyez en conformité ou disparaissez. Certes, vous ne disparaîtrez peut-être pas, mais les conséquences des pertes de données et
fuites accidentelles sont dues de plus en plus à l'augmentation des réglementations. Alors, sensibilisez vos employés aux exigences
réglementaires et aux bonnes pratiques de protection des informations. Expliquez les risques induits par le non respect des règles.
Faites-leur savoir que réduire les risques en étant vigilants est une tâche qui leur incombe.
• E
xpliquez à vos employés pourquoi ils sont importants. Si le personnel ne laisse pas les scans s'effectuer ou envoie des contenus
inappropriés, l'entreprise peut être exposée à des programmes malveillants, être poursuivie et sa réputation peut en être affectée.
• D
éfinissez les limites de la confidentialité. Faites savoir aux employés quelles sont les informations confidentielles et les problèmes
potentiels pouvant se poser si ce type de documents ou de fichiers est divulgué.
Trend Micro Securing your Web World
7
FAITES EN SORTE QUE VOTRE REVENDEUR/CONSULTANT TRAVAILLE POUR VOUS
Avoir une bonne relation avec votre revendeur/consultant informatique signifie que vous aurez toujours un conseiller avisé vers
qui vous tourner lorsque vous serez confronté à des problèmes informatiques.
• D
emandez plus. Plutôt que de simplement vous proposer les meilleurs prix ou promotions, le revendeur ou consultant avec lequel
vous travaillez devrait être capable de vous donner des conseils objectifs concernant votre infrastructure informatique. Il peut et
devrait vous aider à choisir la bonne solution pour votre entreprise qui évoluera en même temps que vos besoins et à protéger votre
investissement informatique. Si ce n'est pas le cas, changez de revendeur.
• E
xternalisez la gestion. Votre revendeur ou consultant devrait même vous proposer de gérer à distance votre solution de sécurité
pour vous, ce qui vous permettrait d'avoir moins de contraintes et une meilleure protection pour votre entreprise. Faites savoir que la
sécurité est une tâche importante pour tous les employés.
8
SOYEZ UN EXEMPLE
Si vous ne suivez pas les marches à suivre, personne ne vous suivra. Que vous soyez en position de leader ou pas, le personnel
observe autour de lui pour savoir qui fait quoi. Il suffit d'une personne pour faire la différence.
• Ne soyez pas le fautif. Il suffit d'une personne pour propager un virus malveillant au sein de l'entreprise.
• S
ensibilisez. Si vous avez trouvé un moyen d'obtenir une meilleure protection ou avez entendu parler d'une nouvelle menace se
dessinant à l'horizon, faites-le savoir. Faites découvrir les bonnes pratiques à tous les départements.
9
TENEZ-VOUS À JOUR
Assurez-vous que vos utilisateurs mobiles, vos ordinateurs et vos serveurs profitent des meilleurs renseignements disponibles
sur les menaces. Des mises à jour manuelles ou irrégulières de vos logiciels de sécurité laissent la porte ouverte aux menaces.
C'est un cliché qui est toutefois plein de vérité : votre niveau de protection correspond à la dernière mise à jour.
• S
oulagez les ordinateurs. Si votre solution de sécurité ralentit vos ordinateurs, vous n'êtes pas un cas unique. C'est un motif de
mécontentement courant avec des solutions de sécurité traditionnelles. Recherchez des solutions qui font en sorte que le centre de
données du fournisseur effectue le travail pour vous à l'aide de fonctionnalités hébergées. Gardez vos ordinateurs et vos serveurs pour
les besoins de l'entreprise et non de sa sécurité.
• N
e vous servez pas d'anciens antivirus. Les solutions de sécurité antivirus traditionnelles détectaient les virus en comparant les
fichiers et leurs empreintes digitales ou « signatures » sur chaque ordinateur. Toutefois, les nouvelles menaces se multiplient de
manière exponentielle (à plus de 2 000 % depuis 2004). Envoyer des fichiers de signatures supplémentaires ne ferait que saturer vos
ordinateurs. De nouvelles méthodes de détection effectuent l'équivalent de vérifications en arrière-plan des expéditeurs d'e-mails, des
fichiers et des sites Web pour une protection plus efficace et plus rapide sans ralentir vos ordinateurs.
• A
utomatisez les mises à jour du système d'exploitation. Faites en sorte que vos ordinateurs utilisent les patchs les plus récents le
plus simplement possible. Les failles de votre système d'exploitation sont une porte ouverte aux attaques. Assurez-vous de déployer
ces patchs automatiquement et rapidement.
• D
emandez et vérifiez la conformité des patchs. Donnez à vos utilisateurs des détails concernant les versions du logiciel dont ils ont
besoin et dites-leur comment vérifier quelle version ils utilisent. Fournissez les liens et les étapes à suivre pour procéder à la mise à
jour vers la bonne version. Si les utilisateurs voient que vous prenez la conformité au sérieux, ils feront plus d'effort pour remplir les
exigences.
10
CHOISISSEZ UNE PARTENAIRE DE SÉCURITÉ, PAS UNIQUEMENT UN FOURNISSEUR
Choisissez un fournisseur qui comprend les besoins de sécurité uniques qu'exige l'environnement d'une petite entreprise.
• C
hoisissez un fournisseur de sécurité. Déterminez si la sécurité est l'activité principale de votre fournisseur ou seulement une partie
de son activité.
• V
érifiez leurs antécédents. Les fournisseurs qui ont des années d'expérience concernant la protection contre les menaces multiples et
qui connaissent bien les petites entreprises sont les plus à même de prendre en charge votre protection.
RESSOURCES
• TrendWatch fournit des vidéos, des livres blancs et d'autres supports pédagogiques sur : http://us.trendmicro.com/us/trendwatch/
• w
ww.worryfree.com fournit des vidéos et des informations concernant les produits Trend Micro spécialement conçus pour les petites
entreprises.
Trend Micro Securing your Web World
PASSEZ À L'ÉTAPE SUIVANTE
Utilisez la liste ci-dessous pour voir ce qui est déjà en place dans votre entreprise. Puis, déterminez quelles sont les étapes que vous
voulez effectuer par la suite.
ASTUCE
COCHEZ LES ÉTAPES ENTIÈREMENT EFFECTUÉES
1. Fermez votre porte aux programmes malveillants o Installez et utilisez une sécurité avec une protection contre les menaces multiples (virus,
menaces Web, programmes espions, logiciels robots, etc.)
o Choisissez une solution qui permet de visualiser et de gérer les ordinateurs et les serveurs
locaux et à distance
o Soyez au courant de ce qui est protégé en choisissant une solution avec une console unique
pour les utilisateurs à distance, les ordinateurs internes, les serveurs de fichiers et de
messagerie
o Faites confiance aux utilisateurs mobiles en choisissant des solutions de détection
d'emplacement
o Triez les e-mails à l'aide d'un antispam
2. Publiez votre stratégie o
o
o
o
o
o
o
ettez votre stratégie sur papier (C'est très important !)
M
Éduquez vos employés et traitez la stratégie de sécurité informatique comme un contrat
Mettez en œuvre les conséquences en cas de non respect des stratégies
Définissez ce que l'employé peut et ne peut pas faire avec les ordinateurs de l'entreprise
Sensibilisez les employés au sujet des bonnes pratiques pour éviter le phishing et les spams
Chiffrez les e-mails si vous avez besoin d'en protéger le contenu
Désignez un référent ou un contact principal pour la sécurité informatique
3. Attaquez-vous aux médias sociaux
o
o
o
o
éfinissez qui peut créer des blogs publics concernant l'entreprise
D
Définissez ce qui est confidentiel ou non
Édictez des directives et mettez en place un forum pour les développer
Soyez social, mais intelligent avant tout concernant les informations que vous ou les
employés publiez
4. Commencez avec les mots de passe
o
o
o
o
emandez des mots de passe forts
D
Limitez dans le temps les mots de passe des utilisateurs
Gardez vos mots de passe à l'abri, ni sur un post-it ni sur un iPhone
Mélangez lettres et chiffres pour stopper les voleurs
5. Soyez attentif à la sécurité internet
o L
e lieu d'utilisation est important. Faites donc en sorte de protéger les employés à distance
avec des solutions de détection d'emplacement
o Automatisez la protection pour bloquer les liens vers des sites Web à risque et non
productifs
6. Obtenez de l'aide de la part de vos employés
o
o
o
o
7. Faites travailler le revendeur/consultant
o D
emandez plus qu'un simple contact pour passer des commandes. Trouvez un partenaire
capable d'être un conseiller avisé
o Externalisez la gestion de la sécurité vers votre revendeur/consultant et économisez ainsi
un temps et une énergie précieux pour votre entreprise
8. Montrez l'exemple
9. Tenez-vous à jour 10. Choisissez un partenaire de sécurité
ssurez la conformité aux réglementations et aux bonnes pratiques de sécurité
A
Expliquez pourquoi les employés sont importants pour la sécurité
Implémentez des stratégies de sécurité
Insistez sur ce qui est confidentiel, une fois de plus
o U
n seul individu peut faire la différence, alors surveillez tous vos actes concernant la
stratégie
o Trouvez une ressource fiable pour les informations de sécurité et consultez-la une fois par
semaine
o S
oulagez votre ordinateur en choisissant une solution qui fournit un traitement via un
centre de données hébergé
o N'utilisez pas d'anciens antivirus ; servez-vous de plusieurs processus de détection
o Automatisez les mises à jour du système d'exploitation
o Demandez et vérifiez la conformité des patchs
o C
hoisissez un fournisseur centré sur la sécurité
o Vérifiez le passé du fournisseur en choisissant une entreprise connue ayant une certaine
expertise en matière de petites entreprises
Pour plus d’informations, contactez votre chargé de clientèle technique Trend Micro ou rendez-vous sur : www.worryfree.com.
©2010 Trend Micro, Incorporated. Tous droits réservés. Trend Micro, le logo t-ball Trend Micro, InterScan, Smart Protection Network et Worry-Free sont des marques commerciales ou des
marques déposées de Trend Micro, Incorporated. Tous les autres noms de produit ou de société peuvent être des marques commerciales ou déposées de leurs propriétaires respectifs.
[OS03_Top10SB_091007FR]