28 Oct Guide cybersécurité de l’ANSSI
Comment limiter les risques cyber ? C’est l’objet du nouveau guide publié par l’ANSSI et visant surtout les TPE PME. Une liste de règles à mettre en pratique, structurées autour de 13 questions clés :
- Connaissez-vous bien votre parc informatique et vos actifs métier ?
- Effectuez-vous des sauvegardes régulières ?
- Appliquez-vous régulièrement les mises à jour ?
- Utilisez-vous un antivirus ?
- Avez-vous implémenté une politique d’usage de mots de passe robustes ?
- Avez-vous activé un pare-feu ? En connaissez-vous les règles de filtrage ?
- Comment sécurisez-vous votre messagerie ?
- Comment séparez-vous vos usages informatiques ?
- Comment maîtrisez-vous le risque numérique lors des missions et des déplacements professionnels ?
- Comment vous informez-vous ? Comment sensibilisez-vous vos collaborateurs ?
- Avez-vous fait évaluer la couverture de votre police d’assurance au risque cyber ?
- Savez-vous comment réagir en cas de cyberattaque ?
- Envisagez-vous d’utiliser des solutions cloud ?
Une première remarque s’impose à la lecture de cette liste. Pratiquement aucune de ces règles ne peut tenir bon sans une implication forte de chaque utilisateur et donc du management. C’est d’ailleurs pour cela que la question 10 aborde directement la sensibilisation des collaborateurs. Notre diagnostic LEDIAG ne descend pas sur un tel niveau de détail concernant les risques cyber mais rappelons qu’il est le premier à proposer une analyse de l’ensemble de l’atmosphère managériale de l’organisation en abordant à la fois les problématiques management et digital.
Des risques mal connus
Même une personne déjà bien sensible à ces différents risques redécouvre certains éléments en parcourant ce guide. La question 9 revient par exemple sur les risques en déplacement. Facile de se souvenir que les réseaux wifi des hôtels, centres de conférences ou cybercafés ne sont pas toujours bien protégés. Mais est-on aussi conscient des risques pris en rechargeant son smartphone sur une prise USB en libre service ? Bien d’autres choses que de l’énergie peuvent transiter par votre cable de recharge ! Pour le moment, pas de signal d’alarme sur les bornes de recharge des Tesla et autres marques de véhicules électriques. Mais un petit gredin va bien penser un jour à faire passer dans ce gros câble un logiciel permettant de capter tout ce qui se dit dans votre habitacle ou pire rendre inutilisable votre volant ou vos freins dans certaines circonstances ?
Le guide alerte sur les clés USB, bien connues des espions qui s’amusent parfois à en laisser traîner sur les parkings fréquentés par les dirigeants d’ entreprise en espérant que, par curiosité, une personne peu prudente tente d’en regarder le contenu sur son ordinateur. Il ne parle pas des cartes mémoires. Je me souviens pourtant d’un mariage dont les lendemains furent difficiles pas seulement pour les foies des convives. Un des photographes amateurs avait pris de jolies photos et a tenu à les partager avec plusieurs invités de la cérémonie en leur passant la carte mémoire de son appareil photo numérique. Las, un des ordinateurs été infecté et les suivants le furent tout autant. Donc même pour une carte mémoire, laissez votre antivirus prendre le temps d’en analyser le contenu.
Un trou dans la raquette ?
Les équipes de Guillaume POUPARD connaissent manifestement bien leurs métiers et merci pour ce guide très précis sur lequel tous les dirigeants devraient s’appuyer. Il me semble toutefois qu’un point est sous estimé par rapport à ce que je constate chaque jour dans les petites ou grandes structures dans lesquelles je suis amené à intervenir. Je veux parler de l’extension du fameux BYOD (Bring Your Own Device) aux applications offrant des modes freemium si simples à mettre en place. Il y a quelques années le changement était de voir les collaborateurs arriver au bureau avec dans leur poche personnelle plus de puissance de calcul que celle de leur poste de travail professionnel. Mais il existe maintenant une foison de possibilités pour « amener » dans l’entreprise des applications externes si facile d’accès !
Certes la première question aborde ce point « inventoriez les logiciels utilisés ». Mais la formulation semble se concentrer sur les logiciels dont l’installation a été décidée par les dirigeants. Quid des Trello, Slack, Monday, Canva… et autres que chaque collaborateur (ou stagiaire….) peut décider d’utiliser de sa propre initiative, en quelques instants, sans avoir besoin de demander un bon de commande au service achat ? Ce fameux ShadowIt semble inévitable si l’on veut offrir un minimum de liberté aux collaborateurs et ne pas brider l’innovation. Mais il risque aussi d’exposer des informations sensibles de l’organisation. Un nouveau défi à affronter pour les dirigeants : trouver un juste équilibre entre interdiction totale et raisonnable ouverture.
Vous pouvez retrouver le guide de l’ANSSI en téléchargement et tester l’atmosphère managériale de votre organisation en suivant cet autre lien : votre auto diagnostic.
Guide cybersécurité de l’ANSSI - Agria Grand Est
Posté à 10:29h, 18 novembre[…] En savoir plus […]