NIS2: Êtes vous dans le champ d'application ?
La nouvelle loi belge sur la cybersécurité entre en vigueur. Consultez-la maintenant.
Les technologies de la communication permettent à chacun d’accéder plus facilement à des informations professionnelles ou de se connecter à un système informatique professionnel n'importe où et sur n'importe quel appareil, y compris les appareils personnels. Dans ce contexte, la frontière entre vie professionnelle et vie privée est moins claire, ce qui influence la manière de protéger correctement les données professionnelles. Il est donc important d'adopter les meilleures pratiques sur la manière de séparer l'usage professionnel et l’usage privé.
Les organisations devraient investir dans des appareils spécifiquement et uniquement destinés à des fins professionnelles. Cela permettrait de clairement distinguer l'usage professionnel de l'usage privé. En outre, les organisations pourraient ainsi s'assurer que le responsable informatique contrôle tous les risques de sécurité et que toutes les exigences en matière de sécurité sont respectées (gérer tous les droits d'administration pour limiter ce qu'un utilisateur peut faire sur l'appareil, imposer l'installation des mises à jour de sécurité nécessaires, etc.)
Étant donné le grand nombre de comptes que nous utilisons au quotidien, que ce soit à titre professionnel ou privé, il est primordial d’utiliser pour chacun des mots de passe différents. De la sorte, si un compte est piraté, les cybercriminels ne pourront pas utiliser le même mot de passe pour accéder à tous les autres comptes. En outre, si le mot de passe piraté est aussi associé à un compte professionnel, cela met l’organisation en danger puisque les cyberpirates auront ainsi la porte ouverte pour voler toutes les données de son environnement et la mettre à mal.
Les mots de passe doivent être suffisamment forts et combiner des majuscules, des minuscules, des chiffres et des symboles ainsi que l’authentification multifacteurs (MFA), dès que possible. L'authentification multifacteurs exige qu'un utilisateur utilise au moins deux méthodes différentes (par exemple, un mot de passe et un code PIN, un code PIN et un code reçu par SMS) pour vérifier son identité et lui donner accès à la ressource qu'il désire atteindre.
Vous avez tout intérêt à établir une distinction entre les comptes de communication professionnels et privés. Ainsi, vous limitez le risque d’une fuite accidentelle des données confidentielles de l’organisation à votre famille ou vos amis. De la même manière, des informations personnelles risquent moins d’être diffusées dans votre environnement professionnel. Par ailleurs, les services de communication privés sont moins bien sécurisés que leurs pendants professionnels. Les cybercriminels peuvent donc pirater plus facilement un compte personnel et, si les deux comptes sont associés, ils peuvent plus aisément accéder aux données confidentielles de l’organisation.
Les services de sauvegarde personnels ne sont en général pas aussi bien sécurisés puisque les utilisateurs ont tendance à se fier principalement à ceux qui sont installés par le fournisseur. Les organisations œuvrent davantage à la sécurité de leurs services étant donné la confidentialité de leurs données. La sauvegarde de données professionnelles sur des comptes de sauvegarde personnels peut s’inscrire en porte-à-faux des règles d’usage acceptables de nombreuses organisations étant donné la confidentialité qui les entoure. De plus, si votre compte de sauvegarde personnel est piraté, vous mettez votre organisation en danger en offrant l’accès à ses données.
Seuls les médias amovibles fiables approuvés par le responsable informatique devraient être connectés à des appareils professionnels. De plus, des médias amovibles distincts devraient être utilisés pour les appareils professionnels et personnels. De cette manière si l’un est compromis, l’autre reste intact.
Les organisations ont tout intérêt à mettre à la disposition des invités un réseau spécifique, nécessitant de s’identifier pour se connecter et distinct du réseau interne. Ce réseau spécifique permettra aux invités de se connecter à un réseau Internet et aux collaborateurs d’effectuer des opérations privées sur des appareils privés, lorsque l’organisation l’autorise.
Les réseaux Wi-Fi publics sont pratiques car ils permettent d’accéder à des ressources professionnelles, de faire du shopping en ligne, de naviguer sur des sites Internet ou de gérer nos médias sociaux depuis presque partout. Cependant, comme leur nom l'indique, ils sont publics et tout le monde peut y accéder, y compris les escrocs et les criminels. S’ils sont mal configurés, les réseaux Wi-Fi publics peuvent être utilisés pour surveiller les activités des personnes qui y sont connectées et voler leurs informations en interceptant les données transmises. Les Wi-Fi publics doivent uniquement être utilisés quand c’est strictement nécessaire et qu’aucune autre option n’est envisageable. De plus, l’idéal est d’utiliser un « Virtual Private Network » (VPN) lors de la connexion au Wi-Fi public. Un VPN est une solution qui aide à crypter et à cacher le trafic Internet à toute personne qui essaie d’intercepter les données transmises.
En général, les organisations autorisent leurs collaborateurs à utiliser le réseau de l'entreprise à des fins privées limitées. Peu importe les contrôles de sécurité mis en place par une entreprise, il est toujours possible de télécharger un virus ou d'ouvrir l'accès au réseau d'entreprise par inadvertance. En outre, les organisations sont autorisées à surveiller les accès et les activités Internet lorsque les collaborateurs utilisent le réseau de l'entreprise. Par conséquent, il est conseillé de ne pas traiter les questions privées qui n'ont rien à faire sur le lieu de travail sur ce réseau. Enfin, les organisations peuvent vous tenir pour responsable de tout téléchargement illégal ou de publications au contenu haineux auxquels vous vous livrez à partir du réseau de l'entreprise.
Les médias sociaux ont une portée considérable et il n'est pas toujours possible de contrôler totalement le public qui a accès aux informations et aux messages publiés. Les informations personnelles ou confidentielles ne devraient pas être partagées sur ces plateformes, car elles pourraient être utilisées à des fins malveillantes. En outre, les messages liés au travail doivent être rédigés avec soin car ils pourraient nuire à l'organisation, même s'ils sont publiés par un collaborateur et non par le compte de l'organisation.
En outre, toutes les informations publiées en ligne par d'autres personnes doivent être lues et partagées avec soin. N'importe qui peut poster ce qu'il veut en ligne, il n'existe aucun contrôle pour vérifier la véracité des messages partagés. Les cybercriminels en profitent pour publier des messages (fake news, promotions, etc.) qui peuvent avoir de lourdes conséquences. En les relayant, vous pourriez diffuser des messages nuisibles à votre réseau.
Il est important de télécharger une application uniquement depuis le site du fournisseur officiel pour éviter d'installer un virus à la place. De nombreux cybercriminels proposent des versions gratuites d'une application pour vous convaincre de la télécharger alors qu'en réalité, ils l'utiliseront pour accéder à vos appareils et voler des informations confidentielles. Un bon moyen de vérifier si un site Internet est légitime est de vérifier le nombre de téléchargements et les avis d'autres utilisateurs avant d'installer une nouvelle application.
Il suffit d'une seule vulnérabilité dans un système, une application ou un appareil pour que les cybercriminels s'en emparent pour causer des dommages et accéder à des informations. Il est donc crucial d'installer les mises à jour dès qu'elles sont disponibles. Cela garantit la solidité de votre cyberdéfense et permet de s'assurer que la version du système utilisée est toujours prise en charge par le fournisseur.
Un virus peut infecter un appareil de plusieurs façons : lors de l’ouverture d'une pièce jointe, d’un clic sur un lien, du branchement d'une clé USB ou d’une simple navigation sur un site Internet. Un virus est un logiciel malveillant qui vise à endommager les ressources, à supprimer des fichiers, à ralentir les performances ou à voler des informations confidentielles. Une fois qu'un virus a infecté votre ordinateur, il faudra du temps, des efforts et des moyens financiers pour le supprimer. C’est pourquoi il est vivement conseillé de sécuriser tous vos appareils, personnels et professionnels dès le début, à l’aide d’un logiciel antivirus.
Ces contenus visent à partager et à sensibiliser aux bonnes pratiques en matière de Cybersécurité.
Certains de ces conseils peuvent s’appliquer différemment selon le contexte de votre organisation.
Respectez toujours la politique et les consignes en vigueur dans votre organisation.
En cas de doute, demandez d’abord toujours conseil à votre responsable informatique.