Comment, lorsque vous digitalisez, sécuriser au mieux le système IT de votre agence ?
Aujourd’hui, la digitalisation est devenue indispensable aux courtiers en assurances. Qui dit digitalisation, dit aussi sécurisation de votre système IT. Quelles sont les principales menaces en ligne dont vous devez vous méfier, et comment vous en protéger ? Suivez pour cela les nombreux conseils pratiques de l’expert en cybersécurité Steven Van Loo.
Cybersécurité : les PME et les entreprises individuelles doivent-elles s’en préoccuper ? « Certainement », confirme Steven Van Loo, expert en sécurité chez WizQIT.
« Ce point est important, quelle que soit la taille de votre entreprise. La plupart des cyber-attaques se déroulent en effet de manière totalement automatisée contre les services Internet que tout le monde utilise. Les programmes malveillants scannent en permanence des services en ligne populaires, comme ceux qui vous permettent d’envoyer des e-mails ou de partager et d’envoyer des fichiers. Ils essaient ainsi d’entrer dans des comptes, pour ensuite commettre les abus les plus divers. »
Que recherchent les hackers (pirates informatiques) ?
« Souvent des données, car elles valent de l’argent. De nombreuses entreprises sous-estiment la valeur des données qu’elles possèdent. En tant que courtier, vous avez par exemple comme cliente une entreprise qui travaille à une technologie innovante, pour laquelle elle devrait déposer un brevet. Un hacker peut exploiter ce genre d’information en bourse.
Les informations qui circulent sur les réseaux sociaux sont aussi très précieuses pour les hackers En essayant d’accéder au compte d’une personne, ils récoltent des informations à son sujet et à propos de son cercle d’amis pour ensuite, facilement effectuer une attaque de phishing.
Pour cela, les hackers approchent souvent la victime par e-mail, en se faisant passer pour un ami ou un organisme bancaire. Ils tentent ainsi de soutirer des données personnelles, sensibles et précieuses. Ils renvoient leur victime vers un site Internet ressemblant comme deux gouttes d’eau à celui de sa banque, et demandent d’y introduire les données bancaires personnelles. Ou ‘l’ami’ tente de convaincre le destinataire du mail d’ouvrir une pièce jointe comportant un virus. »
Le phishing nous amène au deuxième élément que de nombreux hackers recherchent.
« En effet, l’argent. Souvent, ils essaient de convaincre quelqu’un, par e-mail, d’effectuer un virement. Leur e-mail ressemble par exemple à celui d’un client,qui demande de directement souscrire un placement. « Je suis en vacances, mais vous avez mon accord. » Le destinataire procède au virement et l’argent se volatilise.
Les hackers utilisent fréquemment une autre méthode en découvrant d’abord auprès de quelles entreprises leur victime se fournit, puis en reproduisant les factures de ces fournisseurs avec un autre numéro de compte. Ils mentionnent une description vague du service fourni, mais un montant acceptable – du moins dans un premier temps -, voire la même périodicité de paiement, de sorte que la fraude n’est pas immédiatement décelable, sauf si l’on est très attentif au nouveau numéro de compte.
Comment ne pas tomber dans le piège de ces e-mails et factures ? Appelez d’abord votre fournisseur ou votre client pour vérifier les informations. La situation peut en effet aller de mal en pis : la première fois, vous payerez peut-être un montant normal, mais l’année suivante, il sera peut-être beaucoup plus élevé. Le contrat, souscrit suite au premier paiement, sera difficile à annuler. »
Existe-t-il aussi des logiciels qui vous prennent en otage pour obtenir une rançon ?
« Oui, les ransomwares. Il n’est pas rare de recevoir des e-mails de soi-disant clients avec un document joint. Et cette annexe est souvent ouverte immédiatement. Si vous ne le faites pas tout de suite, tant mieux. Mais beaucoup font trop facilement confiance aux e-mails.
Les ransomwares envoient également automatiquement des e-mails avec des pièces jointes provenant à première vue d’un expéditeur fiable. Une fois que vous avez ouvert la pièce jointe, le logiciel crypte votre ordinateur et vous n’y avez plus accès. Si vous n’avez pas de bonnes sauvegardes, vous ne pourrez débloquer votre ordinateur qu’en payant une rançon. »
Comment me protéger, en tant que courtier, contre tous ces abus ?
« En suivant quelques principes de base, vous éviterez beaucoup d’ennuis. Pour commencer : ne partagez jamais d’identifiants et de mots de passe avec vos collaborateurs, et ce,pour n’importe quel service Internet. Chacun doit créer son propre compte.
Si vous partagez quand même des données de connexion, par exemple en les envoyant par e-mail, celles-ci arriveront inévitablement à un endroit où elles ne sont pas à leur place. En outre, on opte souvent pour un mot de passe facile à retenir, ce qui permet aux hackers de le découvrir rapidement.
Si les choses tournent mal, les conséquences peuvent être considérables. Imaginez que tout le monde ait accès au même service de stockage cloud avec les mêmes identifiants faciles, sur lesquels figurent toutes les données de facturation des clients. Si un hacker découvre le mot de passe, il peut émettre de fausses factures au nom de l’entreprise.
Et en ce qui concerne les faux e-mails et factures, ne vous fiez pas à de tels messages. Vérifiez par exemple d’abord l’expéditeur de l’e-mail. Son adresse e-mail est souvent incorrecte. Il en va de même pour l’adresse Internet du site vers lequel un e-mail peut vous rediriger. »
Les services Internet que j’utilise ont-ils une importance ?
« Tout à fait. Par exemple, si vous envoyez ou stockez des documents sensibles dans le cloud, via un service en ligne, vous devez avoir la certitude que personne d’autre ne peut y accéder. Ne partez toutefois jamais du principe que les services Internet le garantissent entièrement, aussi populaires soient-ils.
Lors de son envoi vers le destinataire, votre e-mail passe par différents fournisseurs de messagerie. Chacun d’entre eux conserve une copie. En outre, ils engagent des entreprises qui sauvegardent les e-mails. Je ne dis pas que toutes ces entreprises conservent les e-mails de manière non sécurisée, mais c’est possible. Vous devez donc en avoir la certitude. Les services de stockage dans le cloud cryptent peut-être les fichiers uniquement lors du chargement et du téléchargement.
Il se peut également que les services Internet ne protègent que les éléments pour lesquels ils sont légalement tenus de le faire. De plus, la législation est parfois sujette à interprétation. Le RGPD, la législation européenne sur la protection de la vie privée, impose aux entreprises de conserver des données à caractère personnel de manière suffisamment sécurisée. Mais qu’est-ce qui est adéquat ? Jusqu’où les entreprises doivent-elles alors se protéger ? »
Comment puis-je avoir la certitude que mes e-mails et fichiers dans le cloud sont suffisamment sécurisés ?
« Idéalement, évitez d’envoyer des pièces jointes sensibles par e-mail. Et si vous souhaitez tout de même le faire, utilisez un service payant qui sécurise entièrement les e-mails, y compris les pièces jointes et les copies conservées. Il en va de même pour l’enregistrement de fichiers dans le cloud. Choisissez un service pour lequel vous payez et qui crypte vos documents alors qu’ils sont enregistrés. Pour savoir si le service est sécurisé, consultez les conditions générales d’utilisation.
De plus, vous devez pouvoir vous connecter via une authentification à deux facteurs. Vous vous connectez non seulement avec un mot de passe et un nom d’utilisateur, mais aussi avec un deuxième facteur : par exemple avec un code que vous recevez sur votre smartphone. »
Comment protéger mon informatique locale contre les menaces ?
« Vous devez protéger efficacement vos ordinateurs et vos serveurs avec un logiciel de sécurité, sur chaque appareil séparément. Avant, ces progiciels protégeaient uniquement des virus informatiques. Aujourd’hui, ils protègent contre bien d’autres menaces. Y compris les ransomwares, par exemple. Il ne s’agit cependant pas d’agir ensuite avec imprudence. Les développeurs de logiciels sont en permanence au coude à coude avec les producteurs de virus informatiques et de fichiers malveillants.
Dans le même temps, il est important que vous conserviez de manière cryptée les données sensibles qui se trouvent localement sur votre ordinateur. Si quelqu’un a accès à votre appareil, il doit d’abord introduire votre mot de passe pour lire les fichiers. Sinon, il lui suffit de brancher une clé USB sur votre ordinateur et de copier tous les documents.
N’oubliez pas non plus de sécuriser votre smartphone et votre tablette si vous y consultez ou envoyez des données sensibles. De nos jours, ces appareils sont aussi souvent visés, mais peu s’en rendent compte. »
Dois-je également sécuriser mon réseau local d’entreprise ?
« Cela dépend. Si vous utilisez uniquement des services en ligne, la sécurité locale du réseau est recommandée, mais n’est pas cruciale. Cependant, si vous disposez de fichiers sensibles et d’applications contenant des données confidentielles sur vos ordinateurs ou serveurs locaux, vous devez sécuriser votre réseau d’entreprise.
Comment faire ? Pour commencer, veillez à ce que vos clients ou visiteurs se connectent à un réseau sans fil distinct, indépendamment du réseau d’entreprise interne sans fil. Ainsi, ils n’ont pas accès à vos données et vous courez déjà moins de risques d’incidents de sécurité.
Le réseau sans fil pour les clients et les visiteurs est souvent sécurisé à l’aide d’une clé WPA : un mot de passe fixe, identique pour tous les utilisateurs. Si vous optez pour cette sécurité, vous devez changer ce mot de passe à intervalles de quelques mois. Sinon, tous ceux qui ont déjà reçu cette clé conserveront l’accès à votre réseau.
Veillez à ce que vos collaborateurs se connectent au réseau sans fil interne à l’aide d’un identifiant et d’un mot de passe. Ainsi, l’accès est sécurisé séparément pour tous et il n’existe pas de clé générale, qui puisse circuler rapidement et arriver entre les mains de tiers. Le seuil de partage d’un identifiant et d’un mot de passe personnels est souvent un peu plus élevé.
Imposez également à vos collaborateurs de modifier régulièrement leur mot de passe. De cette manière, le mot de passe précédent ne permettra plus d’accéder aux données, au cas où un hacker l’aurait quand même obtenu. Si tout le monde se connecte avec son propre identifiant et son propre mot de passe, vous pourrez également découvrir avec quel identifiant un hacker est entré. Cela ne fonctionne pas si vous sécurisez l’accès au réseau uniquement à l’aide d’une clé WPA. »
Et qu’en est-il du réseau domestique, maintenant que le télétravail est si répandu ?
« En tant que gestionnaire d’un réseau d’entreprise, vous savez parfaitement quels appareils y sont connectés. Mais vous ne voyez pas quels appareils ont accès au réseau privé de vos travailleurs, comme des tablettes, smartphones et ordinateurs sans aucun logiciel de sécurité. Il s’agit là de sources d’infection potentielles supplémentaires.
Il est important que votre travailleur puisse travailler en toute sécurité sur le réseau de l’entreprise depuis son ordinateur professionnel. Le dernier logiciel de protection doit donc être actif sur son appareil afin d’éviter qu’il ne soit contaminé par d’autres sources d’infection potentielles sur son réseau domestique. Veillez en outre à ce que vos collaborateurs puissent se connecter au réseau de l’entreprise en toute sécurité, sans risque d’infection supplémentaire. Il vaut mieux utiliser un deuxième facteur ou token, comme lorsque vous vous connectez à votre application bancaire en ligne. De cette manière, un hacker ne pourra pas établir de connexion à distance par la suite s’il a pu retrouver l’identifiant et le mot de passe. »
Dois-je faire appel à un spécialiste pour la cybersécurité ?
« Vous pouvez régler de nombreuses choses vous-même, par exemple en ce qui concerne le choix des services Internet. Souvent, vous faites preuve de bon sens et de méfiance. Mais pour protéger efficacement votre matériel et vos logiciels, mieux vaut compter sur un expert. Si nécessaire, uniquement pour obtenir des conseils, afin de choisir les bonnes solutions dès le départ. En soi, ils ne doivent pas nécessairement coûter cher. Vous pouvez ainsi réaliser beaucoup de choses avec un budget limité. Restez également attentif à la sécurité : la sécurisation est un processus sans fin. »