Guide de bonnes pratiques de l’informatique | Blog officiel de Kaspersky

Un guide de bonnes pratiques de l’informatique peut contribuer à réduire les erreurs commises, mais ce n’est pas si facile d’en écrire un à partir de rien. Ainsi, nous avons élaboré une structure générale : un guide basique auquel vous pouvez ajouter les caractéristiques, les règles et les normes spécifiques à votre entreprise. Selon nous, il s’agit d’un standard qui comprend le nécessaire et qui n’a besoin que d’un peu de personnalisation. Une fois que vous l’avez modifié selon vos besoins, ne le laissez pas prendre la poussière : faites-le lire à tous vos nouveaux employés et parlez-en également aux employés déjà présents.

Accès aux systèmes et aux services de l’entreprise

1. Utilisez des mots de passe robustes d’une longueur de 12 caractères minimum qui ne contiennent aucun mot du dictionnaire mais des caractères spéciaux ainsi que des numéros pour tous vos comptes. Les cybercriminels peuvent facilement mener des attaques par force-brute si les mots de passe sont trop simples.
2. Créez un mot de passe unique pour chaque compte que vous possédez. Si vous utilisez plusieurs fois le même mot de passe et qu’un de vos comptes est compromis, cela pourrait compromettre les autres aussi.
3. Surtout, ne révélez vos mots de passe à personne. Ne les écrivez nulle part, ne les sauvegardez pas dans un fichier et ne les communiquez pas à vos collègues. Un visiteur quelconque de l’entreprise ou bien un collègue qui a été renvoyé pourrait se servir de votre mot de passe pour nuire à l’entreprise. Les dégâts peuvent être considérables.
4. Activez l’authentification à deux facteurs pour tous les services qui en disposent. Cela empêchera le cybercriminel d’accéder au service même si le mot de passe a fuité.

Données personnelles

5. Détruisez les documents destinés à la poubelle au lieu de simplement les jeter. Les informations personnellement identifiables (PII) non détruites peuvent attirer l’attention des organismes de réglementation et engendrer de lourdes amendes.
6. Utilisez des canaux sécurisés pour transférer les fichiers contenant des informations personnelles (par exemple, partagez vos fichiers Google Doc uniquement avec les collègues concernés et non via l’option  » tous les utilisateurs disposant du lien « ). Par exemple, Google indexe des documents accessibles à tout le monde sur Internet, ce qui veut dire qu’ils peuvent apparaître dans des résultats de recherche.
7. Partagez les informations personnelles des clients avec vos collègues uniquement lorsque c’est strictement nécessaire. En plus de causer des problèmes avec les organismes de réglementation, le partage de données confidentielles augmente le risque de fuites de données.

Les cybermenaces les plus courantes

8. Vérifiez minutieusement les liens reçus par e-mail avant de cliquer dessus et souvenez-vous qu’un nom d’expéditeur même convaincant n’est pas toujours légitime. Les techniques et les ruses employées par les cybercriminels pour que les victimes potentielles cliquent sur le lien d’hameçonnage sont nombreuses. Ils peuvent par exemple personnaliser le message à votre entreprise et même utiliser le compte préalablement piraté d’un de vos collègues.
9. Pour les gestionnaires de budget : ne transférez jamais une somme d’argent sur des comptes inconnus uniquement parce que vous avez reçu un e-mail ou un message privé. Contactez plutôt la personne qui a supposément autorisé ce transfert pour vérifier.
10. Laissez les clés USB que vous trouvez à leur place et ne connectez aucun support inconnu à votre ordinateur. Les attaques via les clés USB infectées n’arrivent pas que dans les films. Les cybercriminels peuvent et ont déjà placé des dispositifs malveillants dans les bureaux et autres endroits publics.
11. Avant d’ouvrir un fichier, assurez-vous qu’il ne s’agit pas d’un fichier exécutable (les cybercriminels adorent piéger les victimes avec les fichiers malveillants en leur faisant croire qu’il s’agit de documents office). N’ouvrez pas et n’exécutez pas les fichiers de source inconnue.

Contacts en cas d’urgence

12. Indiquez quelle personne les employés doivent contacter (nom et numéro de téléphone) en cas d’e-mail suspect, de comportement étrange de l’ordinateur, de demande de rançon ou de tout autre incident. Cette personne peut être un agent de sécurité, un administrateur système ou même le propriétaire de l’entreprise.

Voici les bases que tous les employés d’une entreprise doivent connaître. Cependant, pour une meilleure sensibilisation sur les cybermenaces modernes, nous vous recommandons de mettre en place une formation spécialisée.