Comment prévenir les risques informatiques dans une PME ?

Obtenir un devis assurance des cyber risques

Fichiers clients, déclarations administratives, logiciels de comptabilité... Dans le cadre de votre activité, vous maniez certainement un grand nombre de données informatiques.

Dans un contexte où le risque numérique s'accroit et où les normes de sécurité sont de plus en plus nombreuses, notamment la réglementation RGPD, les organisations doivent être extrêmement vigilantes quant à la gestion des risques informatiques.

Avez-vous pensé à déployer des moyens adaptés pour renforcer la sécurité de votre Système d’Information, à protéger vos données informatiques, ainsi que votre matériel, contre les virus, pannes et autres actes de malveillance (déni de service, usurpation d'identité...) ?

Quels sont les principaux risques qui menacent votre système informatique ?

Prévenir risques informatiques entreprise

Savez-vous précisément à quels risques informatiques sont exposés votre matériel et vos données informatiques ? Il est important de les répertorier pour pouvoir prendre les mesures préventives adéquates.

Liste d'exemples de risques informatiques :

sinistre électrique (coupures, surtension)
vol physique (notamment en ce qui concerne les PC portables et autres interfaces "nomades")
virus, programmes malveillants (cheval de troie...), intrusion informatique, piratage
espionnage industriel
erreur de manipulation humaine
panne matérielle

La perte ou la destruction de vos matériels et données informatiques peut avoir des conséquences importantes et mettre en péril la pérennité de votre entreprise : arrêt de l’activité, pertes financières, préjudice en termes d’image...

Comment se protéger des attaques ou virus ?

Installer un système de sécurité informatique sur chaque poste de travail

Pour lutter efficacement contre les virus et tous types de menaces, équipez chaque poste d’un système de sécurité complet incluant notamment :

Un antivirus régulièrement mis à jour.
Un anti-mouchard, pour détecter et éliminer divers types de logiciels publicitaires, malveillants ou espions.
Un logiciel pare-feu, pour protéger les données de vos réseaux connectés à internet.

Pour cela, n’hésitez pas à recourir aux services d’un professionnel. Par ailleurs le système d’exploitation et l’ensemble des logiciels installés doivent être mis à jour. Évitez l’utilisation de logiciels piratés : ils peuvent contenir des virus et il ne sera pas possible de les actualiser.

Interdisez les applications non répertoriées.

Sécuriser l'accès aux données de l'entreprise

Une fois l’antivirus installé, vous devez verrouiller le contrôle d'accès au réseau interne et à vos données pour faire barrage aux pirates informatiques.

Verrouillez tous les postes (y compris et surtout les ordinateurs portables) ainsi que l’accès à certains services (messagerie par exemple) à l’aide d’un mot de passe long et complexe. Un mot de passe doit contenir au moins 8 caractères, avec chiffres, lettres, majuscules, minuscules.
Limiter les droits d'administrateurs aux seuls responsables et définir des profils d'habilitation dans les systèmes en séparant les tâches et les domaines de responsabilité.
Sécurisez votre réseau WiFi à l’aide d’une clé de cryptage WPA / WPA 2, plus sûr que la norme WEP. Demandez l’aide d’un spécialiste si besoin.
Si un accès distant au réseau est disponible, assurez-vous selon les cas que les fichiers puissent uniquement être consultés mais pas modifiés, ni supprimés.

Sensibiliser les utilisateurs

Informez et sensibilisez les utilisateurs à l'importance des enjeux liés à la sécurité informatique.

Organisez régulièrement une séance de sensibilisation pour diffuser les bonnes pratiques : choix et actualisation du mot de passe, mise à jour régulière des logiciels, sauvegardes régulières, protection des données lors des déplacements...
Indiquez les dangers et les conséquences éventuelles d’une attaque (demande de rançon, vol de données sensibles, coût de récupération des systèmes…), de l'espionnage, d'une perte ou d'une interception de données.
Rédigez une charte informatique qui rappelle les règles de sécurité auxquelles les utilisateurs doivent se conformer et communiquez-la largement.

Comment éviter les incidents dus aux pannes électriques ou matérielles ?

Protégez votre matériel contre les aléas électriques en équipant vos locaux d’un parafoudre modulaire et en sécurisant chaque poste à l’aide d’un onduleur.

Ce boîtier protège votre équipement contre les surtensions et intègre une batterie permettant une autonomie électrique de plusieurs minutes. Vous disposez ainsi du temps nécessaire pour enregistrer votre travail et arrêter correctement vos ordinateurs.

Veillez à l'usure du matériel, notamment du disque dur : au bout de 3 ans, le risque de panne augmente sensiblement.

Comment sauvegarder efficacement vos données ?

Quelle que soit la solution de sécurité mise en place, il est indispensable de sauvegarder régulièrement vos données informatiques pour pouvoir les récupérer en cas de perte, vol, panne, piratage ou de destruction de vos appareils numériques.

Ordinateurs, serveurs, tablettes, téléphones mobiles (smartphone), disques durs, clés USB... Répertoriez les appareils et supports à sauvegarder.

Pour un maximum de sécurité, privilégiez les solutions en ligne aux solutions matérielles (DVD ou disque dur externe).

L’avantage : vos données sont sauvegardées sur des serveurs distants, généralement des datacenters redondants et géographiquement distincts.

La récupération sécurisée de vos données se fait ensuite à travers un simple navigateur web.

Les fournisseurs d'accès internet (FAI) et entreprises spécialisées proposent des services en ligne sur le "Cloud" qui permettent également la sauvegarde de données.

Gestion des risques informatiques : les différentes étapes

La gestion des risques en informatique est un processus qui consiste à identifier, évaluer les risques et mettre en œuvre une stratégie pour atténuer ces menaces.

Identification des actifs

Établir une liste des actifs, c'est-à-dire du matériel, des logiciels, des informations et données précieuses pour l'entreprise (exemple : base de données clients, serveur, informations bancaires de clients...).

Identification et analyse des risques

Menace/vulnérabilité/impact

Identifier les risques potentiels permet ensuite d'en faire l'analyse. Cette étape consiste à déterminer la fréquence, la probabilité d'occurrence d'un risque ainsi que ses conséquences potentielles (financières, juridiques, perte d'exploitation, et conséquences liées aux projets, à l'activité, à l'image de l'entreprise, à la confidentialité...)

Évaluation du risque

Évaluer le risque revient à définir le niveau de risque acceptable et les éléments à traiter en priorité.

Définition et mise en œuvre de solutions

Après avoir défini le niveau de priorité et l'importance des risques, définir pour chaque risque une solution qui vise à minimiser ou à maitriser ce risque. Il faudra ensuite assurer la surveillance de l'efficacité des contrôles en matière de gestion des risques.

Le recours à un prestataire externe (société d'infogérance) pour gérer tout ou partie du système d'information permet de pallier l'absence de compétences ou l'insuffisance de moyens en interne, à condition bien sûr que le prestataire s'engage sur la politique de sécurité.

Assurance des cyber risques :
découvrez nos conseils pratiques

Voir tous nos conseils

Cette offre peut également vous intéresser

Assurance des cyber risques

Les cyberattaques font courir des risques de dommages et de responsabilité civile potentiellement importants à toutes les entreprises. Découvrez l'assurance cyber risques d’Allianz pour les entreprises.