Grâce à ces sept conseils de Koen Tamsyn (Inetum) en matière de cybersécurité, les entreprises peuvent se protéger de manière optimale contre les individus malveillants.
Suite aux récentes cyberattaques contre des sites web gouvernementaux belges et des supermarchés, les préoccupations concernant la sécurité numérique resurgissent. Non seulement les services gouvernementaux, mais aussi les entreprises sont vulnérables aux pirates informatiques. « Et pourtant, je constate que de nombreuses organisations continuent de commettre des erreurs courantes », déclare Koen Tamsyn, responsable de l’unité commerciale Cybersécurité chez Inetum en Belgique.
Selon Tamsyn, les entreprises peuvent déjà se prémunir bien mieux contre les cybermenaces grâce à quelques mesures simples mais réfléchies. « Il ne s’agit souvent pas de technologies coûteuses, mais de sensibilisation numérique », explique-t-il. Ci-dessous, il partage sept recommandations concrètes pour chaque entreprise.
1. Utilisez des phrases longues comme mot de passe
Un mot de passe robuste est nécessaire, mais il doit surtout rester utilisable. « Les gens pensent souvent qu’un mot de passe comme Xr%z12@! est plus sûr, mais ils l’oublient immédiatement. Ensuite, ils l’écrivent sur un post-it », explique Tamsyn. Sa solution ? Utilisez de longues phrases de passe faciles à mémoriser, comme Je-vais-volontiers-au-marché-le-dimanche !
Plus le mot de passe est long, plus il est difficile à pirater. « Vous combinez facilité et sécurité, et c’est exactement ce que vous voulez avoir. » Koen note également que l’authentification multifactorielle (MFA) n’est pas encore complètement intégrée et constitue encore un obstacle pour de nombreuses entreprises. C’est regrettable, car avec une phrase de passe pas trop complexe, c’est ce qu’il y a de plus sûr à faire.
2. Gérez vos mots de passe de manière professionnelle
De nombreuses entreprises stockent encore les mots de passe dans des fichiers Excel, voire sur papier. Cela doit être amélioré. « Un gestionnaire de mots de passe est en réalité indispensable », déclare Tamsyn. « Vous stockez tous les mots de passe de manière cryptée et n’avez besoin de mémoriser qu’un seul mot de passe principal. »
Pour les entreprises ayant des exigences de conformité élevées (comme dans les soins de santé ou la défense), Tamsyn recommande un gestionnaire de mots de passe local. Celui-ci est moins dépendant des plateformes cloud externes. « Mais pour ceux qui travaillent beaucoup en mode hybride, une solution basée sur le cloud peut être plus pratique. C’est une question de profil de risque. »
3. Activez l’authentification multifactorielle
L’authentification multifactorielle (MFA) ajoute une deuxième couche de sécurité aux connexions. Même si un mot de passe est divulgué, le compte reste protégé. Pourtant, la MFA n’est pas encore standard partout.
« De nombreuses organisations trouvent cela fastidieux pour les utilisateurs », remarque Tamsyn. « Mais avec des explications claires et un bon support, cet obstacle est rapidement surmonté. La MFA est aujourd’hui une exigence de base. »
4. Évitez le Wi-Fi public ou utilisez un VPN
Les réseaux Wi-Fi publics sont facilement exploitables par des personnes malveillantes. « Un attaquant peut créer un faux réseau portant le nom d’un hôtel ou d’un café. Vous ne remarquez pas la différence, mais vous naviguez via sa connexion », avertit Tamsyn.
La solution ? « Utilisez votre point d’accès mobile. Ou, si ce n’est pas possible, assurez-vous de vous connecter via un VPN. Celui-ci chiffre votre flux de données afin qu’un attaquant ne puisse rien en faire. »
Le type d’activités compte également : « Cherchez tranquillement un restaurant via le Wi-Fi public, mais ne faites pas de transactions bancaires en ligne ou de connexions. Limitez-vous au strict nécessaire. »
5. Appliquez la règle 3-2-1 pour les sauvegardes
Une bonne stratégie de sauvegarde est indispensable. Tamsyn évoque la règle 3-2-1 classique : trois copies de vos données, sur deux supports différents, dont une sur un site externe.
« Vous avez votre fichier original, une sauvegarde sur un NAS par exemple, et puis une autre dans le cloud ou sur un emplacement physique différent », explique-t-il. « Et surtout : testez vos sauvegardes. De nombreuses entreprises pensent être bien préparées, jusqu’à ce qu’il s’avère que leur seule sauvegarde est inutilisable. »
6. Mettez à jour les logiciels et les systèmes de manière proactive
Selon Tamsyn, toutes les attaques par ransomware réussies qu’Inetum a observées ces dernières années peuvent être attribuées à des vulnérabilités connues. « Les pirates recherchent activement des systèmes non corrigés. Si vous retardez les mises à jour critiques, vous ouvrez vous-même la porte. »
Pour les grandes entreprises qui dépendent de logiciels sur mesure, l’application de correctifs peut être complexe. « Mais concentrez-vous alors sur les vulnérabilités critiques. Ce sont celles-là que vous devez vraiment traiter en premier. »
7. Connaissez vos données et limitez l’accès
« C’est peut-être le plus grand angle mort dans de nombreuses organisations », constate Tamsyn. « Elles ne savent pas où se trouvent leurs données, qui y a accès et comment elles sont partagées. »
Avec l’avènement d’outils d’intelligence artificielle tels que Microsoft Copilot, cela devient particulièrement dangereux. « Si vos droits ne sont pas correctement configurés, un tel outil peut, en un seul clic, extraire des informations sensibles — par exemple, les données salariales de tous les employés. Copilot vérifie certes les droits, mais si ceux-ci sont mal attribués, des erreurs peuvent néanmoins survenir. »
Monsieur Tamsyn recommande d’évaluer régulièrement les droits d’accès et de les restreindre si nécessaire. « Il ne s’agit pas d’une simple astuce informatique, mais bien d’une gestion des risques. »
Mieux vaut prévenir que guérir
Même avec toutes les précautions, des incidents peuvent survenir. Monsieur Tamsyn plaide donc également en faveur d’un plan de réponse aux incidents clairement défini. « Qui fait quoi en cas de fuite de données ? Comment communiquons-nous si le courrier électronique ne fonctionne pas ? Un tel plan permet d’éviter la panique. »
En outre, il recommande l’utilisation d’outils XDR (Extended Detection and Response) modernes. « Ces outils combinent les données des pare-feu, des terminaux et des systèmes cloud dans un tableau de bord unique et construisent automatiquement des chronologies des attaques. Vous pouvez immédiatement identifier où l’erreur s’est produite et ce que vous devez signaler. »