« La faille est entre la chaise et le clavier »
Questions à Sébastien Beltrando, responsable d’ISIS com
Depuis dix ans, Sébastien Beltrando est à la tête d’ISIS Com, une société spécialisée dans la cybersécurité. Il nous livre son regard d’expert.
Selon vous, protéger son système informatique revient à protéger son entreprise ? Effectivement, le chef d’entreprise doit faire face à des nouveaux risques. Il est face à son capital numérique (données bureautiques, mails,...). Protéger ses données est d’ailleurs obligatoire depuis la mise en oeuvre du RGPD. Très peu de TPE ou PME investissent dans ce secteur de la protection des réseaux informatiques. Pourtant, les conséquences peuvent être importantes en cas de piratage. Cela n’arrive pas qu’aux autres.
Votre premier conseil : connaître son réseau informatique ? Il faut savoir quoi protéger (les clients, la bureautique, les serveurs) et comment. Il faut se poser la question : comment suis-je équipé, avec quel matériel (box grand public ou firewall). Après, on appelle un prestataire informatique. Et là encore, le responsable de la société est «LE» responsable de l’informatique. Il est nécessaire de définir de manière contractuelle les droits et obligations du prestataire, d’inclure une clause de confidentialité, s’assurer du suivi des données et du devenir des disques durs. Il faut aussi discuter avec lui de son propre niveau de sécurité. Il lui sera demandé un compte rendu d’intervention.
Faut-il être suspicieux visà-vis de son prestataire ? Disons que la confiance n’exclut pas le contrôle. La relation peut se dégrader. Mieux vaut se prémunir en amont plutôt que de laisser toutes les clefs à quelqu’un pour qu’il rentre dans la maison. Il est arrivé que des chefs d’entreprise, après une fin de relation tendue, n’aient plus d’accès à leur système informatique, à leurs données. Cela devient alors problématique.
Pour une entreprise, quelles sont les plus grandes failles d’un réseau informatique ? Souvent la faille est entre la chaise et le clavier… Tout ce qui se connecte dans l’entreprise est porteur de vulnérabilité. Comme, par exemple, les tablettes numériques de commerciaux. Prenez aussi le choix des mots de passe. Utiliser le même pour plusieurs accès est un risque. Il faut éviter les mots de passe à chiffres et privilégier ceux à chiffres/caractères et les changer environ quatre fois par an. % des piratages proviennent du « Byod», c’est-à-dire de la faculté de se connecter sur son lieu de travail avec son matériel personnel (téléphone, tablette…). Cela représente une faille de sécurité supplémentaire.
Des rançons sont parfois demandées par les hackers… Ces attaques informatiques – les rançongiciels – peuvent déferler. Sur l’écran, l’entreprise victime voit apparaître un message qui demande un redémarrage. Le pirate s’immisce alors dans le système. Un virus infecte les données de l’entreprise mais également de particuliers. Une tête de mort rouge s’affiche et le hacker va demander une somme d’argent en échange d’un retour en l’état. Lui seul possède en effet le « remède » à ce virus qui s’est propagé.