En 2013, l’Agence nationale de la sécurité des systèmes d’information (Anssi) a édité un Guide d’hygiène informatique qui s’adresse aux entités publiques ou privées dotées d’une direction des systèmes d’information (DSI) ou de professionnels dont la mission est de veiller à leur sécurité. Une deuxième version vient de paraître, née du constat que si les mesures qui y sont édictées avaient été appliquées par les entités concernées, la majeure partie des attaques informatiques ayant requis une intervention de l’agence auraient pu être évitées…

Cette nouvelle version, en ligne, est dotée d’outils pratiques (gratuits) comme : « Réalisez votre autodiagnostic de cybersécurité ». L’interpellation : « Votre mot de passe est-il plus solide qu’une vulgaire clé-minute pour un cambrioleur ? » met au défi l’internaute de saisir les caractères qui composent son mot de passe dans une case. Un clic suffit ensuite pour connaître son degré de sécurité.

Chaque utilisateur est un maillon de la chaîne des systèmes d’information. Dès qu’il intègre l’entreprise, il doit être mis au courant des enjeux de sécurité, des règles à respecter et des bons comportements à adopter en matière de sécurité des systèmes d’information.

Les actions de sensibilisation peuvent prendre la forme de mails, d’affichage, de réunions, d’espace intranet dédié. Doivent être abordées : les informations considérées comme sensibles, les réglementations et obligations légales, des consignes telles que la non-divulgation de mots de passe à un tiers ou la non-connexion d’équipements personnels au réseau de l’entité.

Sensibiliser, c’est bien. Inciter, c’est mieux. Comment motiver les équipes à davantage s’intéresser à la cybersécurité ? L’étude menée par Captain Cyber révèle une donnée surprenante à l’heure de la quête de sens et de la reconnaissance en entreprise : 36 % des salariés interrogés jugent que la perspective d’une prime ou d’une promotion pourrait les pousser à s’intéresser davantage aux sujets cyber !

L’hameçonnage (phishing, en anglais) est une technique frauduleuse destinée à leurrer l’internaute. Le but de la pratique est de voler des informations personnelles ou professionnelles (comptes, mots de passe, données bancaires…) pour en faire un usage frauduleux. Il peut s’agir d’un faux message, SMS ou appel téléphonique de banque, d’opérateur de téléphonie, d’administrations, etc.

Pour échapper au phishing, rien ne vaut la pratique. Certaines entreprises réalisent des campagnes de tests pour évaluer les réflexes de leurs salariés. La méthode est simple : un collaborateur du service informatique envoie un message électronique faussement dangereux que ses collègues sont censés déjouer. Une fois sur deux, le collaborateur tombe dans le panneau et clique sur le mail. Conséquence : pas de sanction mais une nouvelle formation en cybersécurité.

Pour corser l’expérience, le faux message frauduleux peut être envoyé en fin de journée, avant les congés ou le vendredi après-midi lorsque l’attention des salariés est moins forte.

Pour ceux qui ne possèdent pas de DSI, des entreprises se sont spécialisées dans la protection de messagerie professionnelle. Elles proposent de fausses attaques de phishing. Les résultats délivrés ensuite permettent d’adapter les formations à mettre en place.

Les terminaux nomades (ordinateurs portables, tablettes, ordiphones) sont, par nature, exposés à la perte et au vol. Ils peuvent contenir localement des informations sensibles et constituer un point d’entrée vers de plus amples ressources du système d’information. Conserver les équipements à portée de vue est une mesure de bon sens. Se montrer discret l’est moins, en revanche. Il est recommandé que ces appareils soient aussi banalisés que possible : exit, donc, l’autocollant aux couleurs de l’entreprise…

Pour éviter toute indiscrétion lors de déplacements, notamment dans les transports ou les lieux d’attente, un filtre de confidentialité peut être positionné sur chaque écran. Simple et peu coûteux, il s’agit un rectangle de plastique qui protège les données affichées. Les personnes situées sur le côté ne voient qu’un écran noir.

Enfin, en déplacement, il convient également d’être prudent à l’oral. Nous nous sommes tous déjà retrouvés dans un TGV ou un avion à côté d’une personne qui parlait trop fort et livrait, sans le vouloir, des indiscrétions sur son entreprise…

A lire aussi : "Protection des données : La course aux talents cybersécurité accélère"