Comment protéger les données de votre entreprise

Pour protéger vos données, commencez par protéger ce qui verrouille l’accès à vos données, à savoir : vos mots de passe. Tant que vos mots de passe ne sont pas compromis, vos données peuvent difficilement l’être. Tout commence donc par des mots de passe forts.

Utilisez des mots de passe forts

Qu’est-ce qu’un mot de passe fort ? C’est un mot de passe assez long (8 caractères au moins) et difficile à deviner. Si vous vous posez la question, la réponse est non : 123456 et @dmin ne sont pas des mots de passe forts. Aucune chance. Par opposition, yM8DVTvcDbpBxycA!yrV est un mot de passe fort. Ce mot de passe est long (20 caractères), il vous protégera bien mieux qu’un mot de passe faible. Même chose pour mutable-glue-TEMPO-ascetic, qui à le mérite d’être facile à saisir au clavier.

Prenez le problème à l’envers. Mettez-vous à la place des pirates. Que font les pirates ? Vous croyez qu’ils s’acharnent à déchiffrer les mots de passe des entreprises qu’ils prennent pour cible ? Vous n’y êtes pas. Les pirates ne « devinent » pas les mots de passe. Ils ne débarquent pas non plus en hélicoptère sur le toit de votre entreprise pour forcer l’accès à vos ordinateurs à coups d’explosifs.

Pour s’infiltrer dans les systèmes informatiques, les pirates cherchent simplement à compromettre le maillon le plus faible de la sécurité des entreprises — généralement, un vieux serveur que tout le monde a fini par oublier et dont le mot de passe est particulièrement faible. Il suffit d’un seul élément ouvert à tous les vents pour que même le plus sécurisé des systèmes finisse par tomber.

Et devinez quel est le premier mot de passe que les pirates utilisent quand ils tentent de s’introduire dans un système ? 123456. Précisément. Le plus courant des mots de passe faibles. C’est la raison pour laquelle vous avez tout intérêt à utiliser des mots de passe forts. Ne reprenez pas les mêmes mots de passe que toutes les entreprises qui se sont faites pirater avant la vôtre.

Ne réutilisez pas plusieurs fois le même mot de passe

Au lieu d’utiliser les mêmes mots de passe que tout le monde, employez plutôt des mots de passe uniques. Qu’est-ce qu’un mot de passe unique ? C’est un mot de passe que vous ne réutilisez pas à chaque fois que vous créez un nouveau compte en ligne. Non, utiliser le même mot de passe pour vous connecter au site de l’URSSAF et à celui de votre banque n’est pas une bonne idée. Oubliez.

Pourquoi n’est-ce pas une bonne idée ? Parce que les pirates savent que les entreprises qui ne font pas très attention à leurs données tendent à utiliser le même mot de passe à plusieurs endroits, sur plusieurs sites. Une fois que les pirates ont trouvé un mot de passe qui leur permet d’accéder à un service, ils se servent du mot de passe en question pour tenter de forcer l’accès à d’autres services, façon domino.

De la même manière que vous utilisez plusieurs clés pour déverrouiller les différentes serrures qui se trouvent dans vos bureaux, utilisez plusieurs mots de passe pour vos différents comptes en ligne. C’est aussi simple que ça. Plus facile à dire qu’à faire, n’est-ce pas ? Si vous devez inventer un nouveau mot de passe à chaque fois que vous créez un nouveau compte en ligne, vous allez vite tourner en boucle.

Et pour cause : personne ne peut inventer, et encore moins mémoriser, des dizaines de mots de passe longs et aléatoires. La bonne nouvelle, c’est que vous n’avez pas besoin de mémoriser tous vos mots de passe. Il vous suffit d’utiliser un gestionnaire de mots de passe, c’est-à-dire un outil sécurisé qui va le faire à votre place.

Utilisez un gestionnaire de mots de passe

Un gestionnaire de mots de passe fonctionne comme un coffre-fort, sauf qu’au lieu d’y stocker des lingots ou des journaux intimes, vous y stockez des mots de passe. Quand vous avez besoin de copier l’un de vos mots de passe, il vous suffit de déverrouiller votre gestionnaire de mots de passe — exactement comme vous ouvririez votre coffre-fort si vous aviez besoin d’un lingot ou deux.

En lieu et place d’une serrure, l’accès à votre gestionnaire de mots de passe est gardé par un mot de passe « maître », un code que vous êtes la seule personne à connaître, et qui vous permet d’accéder à tous vos mots de passe. Avec un gestionnaire, plus besoin de vous souvenir de vos nombreux mots de passe. Mémorisez simplement votre mot de passe maître et laissez votre trousseau stocker de manière chiffrée et sécurisée tous vos autres mots de passe.

Comment marchent les gestionnaires de mots de passe

Concrètement, vous pouvez installer un gestionnaire de mots de passe sur votre téléphone et votre ordinateur, ainsi que sur ceux de vos collaborateurs. Est-ce bien raisonnable de confier vos mots de passe à un gestionnaire tiers ? Oui, car s’il est bien fait, votre gestionnaire ne stockera pas vos mots de passe « en clair », mais dans une version chiffrée, que seule votre mot de passe maître permet de déchiffrer. Comme vous êtes la seule personne à connaître votre mot de passe maître, les risques que votre trousseau soit compromis sont limités.

Pourquoi votre équipe devrait utiliser le même gestionnaire

Un gestionnaire de mots de passe ne vous sera utile que si vous et vos collaborateurs l’utilisez systématiquement. Pourquoi gagneriez-vous à déployer le même outil dans toute votre entreprise, au lieu de laisser chacune de vos équipes se débrouiller comme elle l’entend ? Parce qu’un trousseau commun à toutes vos équipes permet à vos collaborateurs de se connecter à des comptes partagés, sans devoir échanger des mots de passe par e-mail ou sur des Post-it.

Avec un bon gestionnaire de mots de passe, tous les membres de votre équipe financière peuvent par exemple avoir accès au mot de passe de votre compte URSSAF, sans que ce dernier traîne sur un coin de bureau. De votre côté, vous pouvez décider si telle équipe peut avoir accès à tel ou tel mot de passe, de manière à partager certains identifiants avec certaines équipes uniquement.

Quel gestionnaire de mots de passe choisir pour votre entreprise ? Peu importe, du moment que vous l’utilisez. Voici une liste non exhaustive de gestionnaires de mots de passe (tous disponibles en version française).

• 1Password. Nous utilisons 1Password chez Memo Bank et nous en sommes contents. Avec 1password.eu (pour Europe), nos données sont hébergées en Europe et tous nos collaborateurs ont accès à 1Password gratuitement à titre privé (pour eux et leurs proches).
• Dashlane. Nous avons eu de bons échos sur Dashlane, un gestionnaire de mots de passe qui a le mérite d’avoir été conçu par deux Français.
• Bitwarden. Un peu moins onéreux que 1Password et Dashlane, Bitwarden est aussi très courant dans les entreprises. Contrairement à 1Password et à Dashlane, le code source de Bitwarden est ouvert (open source), ce qui vous permet de jeter un œil aux coulisses du projet.

Remplissez votre trousseau de mots de passe progressivement

Une fois que vous aurez choisi un gestionnaire de mots de passe, vous et vos collaborateurs devrez passer en revue tous les services en ligne que vous utilisez.

Au terme de votre revue, vous devrez :

1. Enregistrer vos comptes dans votre gestionnaire de mots de passe. Hélas, votre trousseau ne va pas se remplir tout seul. Charge à vous d’ajouter vos comptes en ligne (identifiant et mots de passe) un par un dans votre gestionnaire.
2. Remplacer tous vos mots de passe faibles par des mots de passe forts. Votre trousseau pourra vous proposer des mots de passe aléatoires, uniques, et forts. Vous n’aurez rien à inventer.
3. Créer des mots de passe propres à chacun de vos services. Si vous utilisez deux fois le même mot de passe pour vous connecter à deux services différents, votre trousseau vous le signalera et vous aidera à créer des mots de passe uniques pour chacun de vos services.

Est-ce que ces trois étapes demandent beaucoup de travail ? Tout dépend du nombre de services en ligne que vous utilisez, mais oui, ces étapes peuvent prendre un peu du temps. Ne cherchez pas nécessairement à importer tous vos identifiants dans votre nouveau gestionnaire de mots de passe d’un coup. Procédez par étapes, petit à petit. Laissez-vous un peu de temps, l’essentiel étant de réduire progressivement le nombre de mots de passe qui traînent dans la nature ou dans des fichiers Excel.

Activez la double authentification dès que vous le pouvez

Quand vous aurez configuré votre gestionnaire de mots de passe, vous pourrez aller encore plus loin dans la protection de vos données, en activant l’authentification à deux facteurs sur les services qui le permettent. Qu’est-ce que l’authentification à deux facteurs, ou 2FA ? C’est une sécurité supplémentaire, qui fait appel à un deuxième appareil pour vérifier votre identité, en plus de votre identifiant (généralement votre e-mail) et de votre mot de passe.

Avec l’authentification à deux facteurs, vos comptes en ligne restent sécurisés, même si le mot de passe que vous utilisez pour y accéder venait à être compromis. Par exemple, une fois que vous aurez activé l’authentification à deux facteurs sur votre compte Google, votre mot de passe vous sera toujours demandé pour vous connecter, mais il vous faudra aussi saisir un code que Google vous enverra sur votre téléphone — pour confirmer que vous êtes bien la personne qui vient de saisir votre mot de passe. De cette manière, un pirate qui connaîtrait votre mot de passe Google, mais qui n’aurait pas accès à votre mobile, ne pourrait pas se connecter à votre compte.

Vous savez qui utilise l’authentification à deux facteurs depuis très longtemps ? Les banques. Quand vous retirez de l’argent au distributeur, vous insérez votre carte dans la machine (1), et vous saisissez votre code de sécurité à quatre chiffres (2). Sans votre code, votre carte seule ne vous permet pas de retirer des billets. Réciproquement, sans votre carte, votre code seul ne vous permet pas non plus de faire un retrait. Vous avez besoin de vos deux facteurs d’authentification (votre carte et votre code) pour aller au bout de votre retrait. En ligne, c’est la même chose, sauf que c’est votre mot de passe qui joue le rôle de carte, et votre mobile qui tient lieu de générateur de codes PIN.

Où activer l’authentification à deux facteurs en premier ? Dans votre boîte de réception, sans hésitation. Si votre client mail (Outlook par exemple) vous permet d’activer l’authentification à deux facteurs, faites-le. Activez-la. Votre boîte de réception constitue l’épine dorsale de votre vie numérique, si elle venait à être compromise, tous vos comptes pourraient tomber. Protégez donc vos e-mails en priorité.

Gardez un œil sur les fuites massives de données

Quoi que vous fassiez, il est probable que l’un des services que vous utilisez finisse par se faire dérober une partie de ses données. Vous n’y pouvez rien. C’est ainsi. Le mieux que vous puissiez faire dans ce genre de cas consiste à créer un mot de passe unique pour chacun de vos comptes, ce qui réduit votre exposition au cas où l’un de vos mots de passe venait à « fuiter ». Si le cas se produit, si votre mot de passe se retrouve entre de mauvaises mains, le simple fait de changer rapidement de mot de passe (sur le service compromis) permet de limiter les dégâts.

Comme votre vitesse de réaction peut faire la différence en cas de fuite de données, nous vous conseillons de souscrire à des alertes sur le sujet. Saisissez simplement votre adresse e-mail principale sur le site haveibeenpwned.com et vous recevrez une notification dès que votre adresse e-mail apparaîtra dans une fuite de données (si c’est le cas). De cette manière, vous pourrez changer votre mot de passe rapidement. Si vous optez pour le gestionnaire de mots de passe 1Password, vous aurez accès à un service similaire, sans devoir passer par haveibeenpwned.com — le service en question s’appelle 1Password WatchTower.

En adoptant un gestionnaire de mots de passe, vous vous prémunissez contre la grande majorité des attaques informatiques. Mais les mots de passe faibles ne sont pas la seule porte d’entrée que les pirates exploitent pour s’introduire dans les systèmes d’une entreprise. L’autre porte d’entrée qu’ils affectionnent particulièrement est votre boîte de réception. S’ils ne peuvent pas accéder à vos mots de passe directement, les pirates peuvent vous envoyer des e-mails, dans le but de vous soutirer des informations confidentielles… comme vos mots de passe. Faites donc très attention aux e-mails que vous recevez.

En quoi consiste l’hameçonnage (phishing)

Comment les pirates s’y prennent-ils pour vous soutirer des informations sensibles par e-mail ? Ils vous envoient un e-mail qui semble provenir d’une institution digne de confiance (comme votre banque). Bien souvent, l’e-mail en question contient un lien qui redirige vers un site (vraisemblable lui aussi) sur lequel vous devez saisir des données personnelles, comme votre numéro de carte ou votre mot de passe.

Le piège ici, c’est que ni l’e-mail que vous recevez, ni le site sur lequel vous devez entrer des informations, ne sont vrais. Tout est faux, frauduleux. L’e-mail et le site ont été conçus par les pirates, dans le but de tromper votre vigilance. Vous pensez transmettre des données à un tiers de confiance et voilà que vous servez en fait des informations confidentielles aux pirates venus vous faire les poches. On appelle ça de l’hameçonnage, ou phishing en anglais (dérivé de fish qui signifie poisson).

Apprenez à débusquer les tentatives d’hameçonnage

Est-ce à dire que n’importe qui peut se faire passer pour n’importe quoi en ligne ? Pas exactement, mais les pirates parviennent à atteindre un niveau de vraisemblance suffisant pour tromper les internautes les moins regardants. De votre côté, vous pouvez apprendre à reconnaître les signes qui trahissent le caractère frauduleux d’un e-mail d’hameçonnage, ces petits détails qui devraient vous mettre en garde. Google propose un exercice en ligne gratuit (en français), qui permet de se confronter à des tentatives d’hameçonnage.

Voici les signes qui permettent de distinguer un e-mail d’hameçonnage :

• l’e-mail contient quelques coquilles ou des fautes mineures ;
• les polices contenues dans l’e-mail ont une drôle de tête ;
• le design de l’e-mail imite celui d’une institution connue ;
• le ton de l’e-mail se veut pressant et vous invite à agir vite ;
• l’adresse d’expédition ne vous inspire pas confiance ;
• votre interlocuteur vous promet quelque chose d’extravagant ;
• l’e-mail vous demande de vous connecter sur un site étrange ;
• l’e-mail vous invite à télécharger une pièce-jointe exotique.

Faites-vous aider par un bon anti-spam

La plupart des e-mails d’hameçonnage sont envoyés en masse, ce qui permet souvent aux pourvoyeurs d’adresses e-mail de les identifier et de les mettre en quarantaine. C’est la raison pour laquelle vous avez un dossier SPAM (ou Indésirables) dans votre boîte de réception. Si votre client mail dispose d’un filtre anti-SPAM, activez-le. L’e-mail d’hameçonnage le plus facile à déjouer est encore celui qui ne vous parvient jamais.

Une fois vos mots de passe à l’abri et votre boîte de réception protégée contre les e-mails d’hameçonnage, nous vous conseillons de sécuriser vos appareils.

Comment sécuriser vos appareils

Quatre gestes simples permettent de protéger les données qui se trouvent sur votre ordinateur et votre mobile.

1. Verrouillez votre appareil au moyen d’un mot de passe. Si on vous vole votre ordinateur, ou si vous l’oubliez dans le train, vous n’avez pas envie que n’importe qui puisse accéder à tous vos documents en allumant simplement votre machine. Verrouillez donc l’accès à votre ordinateur avec un mot de passe de session. Ce mot de passe vous sera demandé au démarrage de votre machine et après les périodes de veille de votre ordinateur. Apple (macOS) et Microsoft (Windows) permettent de mettre en place des mots de passe de session facilement. Oui, vous devrez mémoriser ce mot de passe en plus de celui de votre gestionnaire de mots de passe — mots de passe uniques oblige. Faites ensuite la même chose sur votre mobile en y définissant un code — voir comment faire sur iOS (Apple) ou sur Android (Google).
2. Chiffrez le contenu de votre disque. La différence entre un disque chiffré et un disque non chiffré est la même que celle qui sépare une enveloppe d’une carte postale. Le facteur peut lire votre carte postale, mais il ne peut pas lire le contenu de votre enveloppe (à moins de l’ouvrir). Parallèlement, n’importe qui peut lire le contenu d’un disque non chiffré (à condition d’avoir accès au disque), alors que le contenu d’un disque chiffré n’est accessible qu’aux personnes qui possèdent le mot de passe permettant de déchiffrer le contenu du disque. Un disque chiffré est donc plus sécurisé qu’un disque non chiffré. Si vous le pouvez, chiffrez le contenu de vos disques. Voici comment chiffrer le disque d’un Mac ou d’un PC. Pour votre mobile, le simple fait de définir un code de connexion sur votre iPhone active le chiffrement des données qui se trouvent sur votre téléphone — mais pas nécessairement celles qui figurent dans vos sauvegardes iCloud. Sur Android, les systèmes de chiffrement disponibles dépendent de votre appareil.
3. Activez les mises à jour automatiques sur vos appareils. Les mises à jour sont censées apporter de nouvelles fonctionnalités à vos appareils. Elles corrigent aussi les éventuelles failles de sécurité découvertes par Apple, Google, ou Microsoft, depuis leurs dernières mises à jour. Le meilleur moyen de ne pas devenir une cible facile consiste à mettre régulièrement vos appareils à jour. Nous vous conseillons donc d’activer les mises à jour automatiques sur votre iPhone ou votre mobile Android. En ce qui concerne votre ordinateur, vous pouvez activer les mises à jour automatiques sur macOS et sur Windows.
4. Ne touchez pas aux clés USB abandonnées. Si vous trouvez une clé USB par terre, ne la branchez pas sur votre ordinateur, même si c’est juste « pour voir ». La clé peut contenir un programme capable d’infecter votre machine. Ne jouez donc pas avec le feu. Et si vous vous dites que ce conseil relève du bon sens, parlez-en au ministère américain de la Défense, qui s’est fait avoir à cause d’une clé USB malicieusement « abandonnée » par des pirates.

Si vous ne voulez pas que vos données glissent entre de mauvaises mains, protégez vos points d’accès à Internet.

Évitez les réseaux WiFi publics

Les réseaux WiFi publics sont ceux que vous trouvez dans les gares, les bibliothèques, les hôtels, et dans certaines chaînes de restauration rapide. Ces réseaux WiFi ont la particularité d’être faciles d’accès : pas besoin de connaître le mot de passe du réseau pour y accéder. Il suffit généralement de laisser une adresse e-mail pour s’y connecter. C’est commode, certes, mais pas forcément sécurisé. Un pirate bien outillé pourrait intercepter votre connexion et « lire » une partie des informations que vous échangez avec des sites qui n’utilisent pas un protocole de transfert de données chiffré (ceux dont l’adresse commence par http://).

Notre conseil ici est donc simple : évitez de vous connecter à des réseaux publics. Créez plutôt un partage de connexion depuis votre mobile (avec mot de passe). Et si vous n’avez pas d’autre choix que de vous connecter à un réseau public, évitez d’accéder à des sites sensibles par ce biais. Faire un tour sur lequipe.fr depuis un réseau public ne mettra pas votre entreprise en péril, certes, mais abstenez-vous d’enchainer par la consultation de vos comptes en banque.

Verrouillez vos réseaux WiFi internes

Le réseau WiFi qui se trouve dans vos locaux gagne lui aussi à être protégé par un mot de passe fort. Faites appel à votre gestionnaire de mots de passe pour générer un mot de passe long et faites en sorte que vos collaborateurs puissent y avoir accès au travers de votre trousseau — sans que vous ayez besoin de l’imprimer sur une feuille volante.

Mettez votre boîte internet à jour

Au même titre que votre ordinateur et votre téléphone, votre boîte internet (qui fait souvent office de routeur et de borne WiFi), peut faire l’objet de mises à jour. Installez-les régulièrement si vous le pouvez, quitte à redémarrer votre routeur de temps en temps. Tant que vous y êtes, changez le mot de passe qui vous permet d’accéder à la console d’administration de votre boîte internet — les fournisseurs d’accès se contentent souvent de mettre « admin » en identifiant, ce qui n’est pas très pointu en matière de sécurité.

Si les mots de passe qui vous permettent d’accéder à vos différents comptes en banque sont bien dans votre gestionnaire de mots de passe, et si vous avez bien activé l’authentification à deux facteurs sur le site de votre banque (obligatoire chez Memo Bank), alors vous pouvez souffler. Vous avez fait le plus dur. Bien joué. Mais ne vous arrêtez pas en si bon chemin…

Limitez les risques de fraude au président (CEO fraud)

Qu’est-ce que la fraude au président ? C’est une sorte d’hameçonnage (par e-mail) plus sophistiquée que le phishing, et dont nous avons déjà parlé dans notre newsletter hebdomadaire. Comme son nom l’indique, la fraude au président consiste à soutirer des informations confidentielles à vos collaborateurs en usurpant votre identité de dirigeant.

Une fraude au président bien connue consiste à envoyer un e-mail à votre directeur financier pour lui demander de faire un virement vers un compte frauduleux. Comme l’e-mail que reçoit votre DAF semble provenir de votre adresse, et comme le ton de l’e-mail est généralement alarmiste, certains DAF tombent dans le panneau et envoient (sans le savoir) des virements dans la nature. C’est un piège courant.

Que faire pour lutter contre la fraude au président ? En la matière, mieux vaut prévenir que guérir. Commencez par donner des consignes claires à vos équipes. Indiquez-leur à l’avance ce que vous ne leur demanderez jamais de faire par e-mail. De cette manière, si vos collaborateurs reçoivent un e-mail qui semble venir de vous, et qui leur demande de faire une chose qui ne vous ressemble pas, ils auront de bonnes raisons de se méfier.

Vous pouvez par exemple indiquer à vos équipes que :

• vous ne leur enverrez jamais un e-mail pour leur demander de faire un virement (vous les appellerez si besoin) ;
• vous ne leur demanderez jamais de vous envoyer un numéro de carte bancaire ou un mot de passe par e-mail ;
• vous ne leur demanderez jamais des données personnelles par e-mail, comme une date de naissance ou un numéro de téléphone.

En annonçant la couleur à vos équipes, vous couperez l’herbe sous le pied des pirates qui pourraient tenter de se faire passer pour vous.

Que vous protégiez les données de votre entreprise de votre côté, c’est bien. Mais que votre banque fasse aussi le maximum pour sécuriser vos données bancaires, c’est encore mieux. Chez Memo Bank, voici ce que nous faisons pour veiller sur vos données :

• Nous hébergeons vos données en Europe, sans les partager avec aucune autre banque. Nous sommes un établissement de crédit indépendant, pas la filiale d’une banque traditionnelle.
• Nous chiffrons vos données quand elles transitent entre vos appareils (ordinateur ou mobile) et nos serveurs (nos applications). Même si vos données venaient à être interceptées en chemin, les pirates ne pourraient rien en faire.
• Nous vous aidons à définir un mot de passe fort quand vous créez votre session personnelle sur votre espace Memo Bank — pas de 123456 chez nous.
• Nous vous proposons la double authentification (2FA) par défaut, au travers de notre application mobile, disponible sur iOS et Android).
• Nous permettons à vos collaborateurs de créer leur propre session personnelle sur votre espace de travail Memo Bank (ce qui leur permet de définir un mot de passe qui leur est propre).

Protéger les données de votre entreprise relève plus du jardinage que de l’architecture. Il ne s’agit pas tant d’ériger d’immenses barrières que de veiller à ce que les branches sur lesquelles votre sécurité repose ne pourrissent pas. En adoptant quelques habitudes simples, comme un gestionnaire de mots de passe et un regard critique sur les e-mails que vous recevez, vous réduirez grandement les risques de vous faire dérober de précieuses données. Vous avez tout à y gagner.