Une nouvelle année est derrière nous et beaucoup se font des résolutions pour les habitudes qu’ils souhaitent adopter dans les mois à venir. Dans cet esprit, voici les meilleures résolutions de cybersécurité que chaque entreprise devrait prendre.
1 : J’arrête d’être négligent avec les mots de passe
Nous sommes tous d’accord pour dire que les mots de passe peuvent être irritants, surtout lorsque nous devons nous souvenir d’une kyrielle de combinaisons comprenant des suites complexes de chiffres, de lettres minuscules ou majuscules, et de caractères spéciaux. Même en 2023, les mots de passe les plus courants étaient, étonnamment, « admin », « 123456 », « 12345678 », « 1234 » et « password ».
Comme l’a dit Karin Garrido, une dirigeante chez AT&T : « Les mots de passe faibles et prévisibles sont comme un verrou fragile sur un coffre-fort rempli de cadeaux ». Comment éviter les pièges des mots de passe banals ? Trouvez des mots de passe longs et robustes pour chaque compte et mettez-les à jour régulièrement. Évitez également de les noter physiquement ou de vous envoyer un e-mail avec eux – cela pourrait compromettre leur sécurité.
2 : Je mettrai toujours en place l’authentification à plusieurs facteurs
Cela peut être ennuyeux : il faut entrer ses identifiants, puis attendre un e-mail, un appel ou un SMS avec un code unique pour pouvoir accéder à un compte. Mais quelques secondes supplémentaires nécessaires pour la vérification en deux étapes valent mieux que de potentiellement voir ses informations personnelles exposées.
“Compromettre plus d’un facteur d’authentification présente un défi significatif pour les attaquants, car connaître un mot de passe ne suffira pas pour accéder à un système”, écrivent les chercheurs de Microsoft. Il est donc essentiel d’intégrer l’authentification à plusieurs facteurs (MFA) de manière à minimiser les frictions pour les utilisateurs.
Quelques méthodes en évolution :
- Spearphishing et whaling : Ces formes de phishing sont plus sophistiquées, ciblées et personnalisées. Les e-mails de spearphishing sont envoyés aux membres d’un service financier en se faisant passer pour le directeur financier, par exemple. Dans ce cas, un pirate informatique se connecte au compte d’un utilisateur et envoie un message pour obtenir le code généré par la MFA.
- Phishing par codes QR : Dans cette nouvelle méthode de phishing, les acteurs malveillants imitent des codes QR apparemment inoffensifs et conduisent leurs victimes vers des sites falsifiés qui dérobent leur information ou installent des logiciels malveillants. Par exemple, des pirates peuvent se faire passer pour des agents du support client et guider les utilisateurs pour qu’ils fournissent leurs identifiants.
3 : Je serai vigilant sur les liens et QR codes non sécurisés
Ne fournissez jamais d’informations sensibles suite à des appels, messages ou e-mails non sollicités; ne scannez pas aveuglément les codes QR; surveillez les liens comportant des fautes d’orthographe. Pour évaluer si un message est légitime, contactez directement l’expéditeur.
Pensez deux fois avant de cliquer sur un lien et trois fois avant de saisir des informations. Dans le même temps, évitez d'”encombrer votre maison numérique” : supprimez régulièrement les anciens téléchargements et courriels contenant des données personnelles.
4 : En tant qu’administrateur, j’appliquerai le principe du moindre privilège
Le concept de “zero trust” (confiance zéro) existe depuis un certain temps, mais il commence enfin à être mis en pratique. Tous les utilisateurs sont vérifiés lors de la connexion et n’ont accès qu’aux systèmes et données dont ils ont réellement besoin, avec des contrôles supplémentaires à certains stades.
5 : Je ferai des sauvegardes régulières de mes données et mettrai à jour mes applications et systèmes
Comme on dit souvent, les données sont la “couronne royale” d’une entreprise. Il est donc essentiel d’avoir une stratégie de sauvegarde qui duplique et stocke les données en toute sécurité. Faire le point sur la posture de sécurité de votre organisation permet d’identifier les vulnérabilités et les faiblesses critiques. Même si vous ne voulez pas imaginer qu’une violation de données puisse arriver à votre entreprise, les chances sont élevées que cela se produise un jour.
En appliquant ces résolutions pour 2023, vous contribuerez à renforcer la sécurité numérique de votre organisation et à protéger vos précieuses données.
