NotPetya. Ce mot vous semble-t-il familier ? Pour des centaines de milliers de personnes il l’est depuis le mois de juin 2017 lorsque ce ransomware a frappé le monde entier. Une cyberattaque qui a engendré un chaos évalué à plusieurs milliards de dollars pour l’ensemble des pays. Et si, avant de penser aux cyber attaques, vous preniez en compte les cyber-risques ?
Définir une vraie stratégie mot de passe
Non, votre date de naissance en guise de mot de passe n’est pas synonyme de cybersécurité. Et c’est d’autant plus vrai lorsque vous vous aventurez à utiliser ce même mot de passe à l’infini. S’il est plus simple et plus pratique d’utiliser le même mot de passe pour l’ensemble de ses comptes, professionnels comme personnels, on ne cessera de vous répéter que vous vous exposez aux cyberattaques. Il est impératif de définir des mots de passe professionnels uniques, sans relation avec votre sphère privée. Enfin, est il nécessaire de préciser qu’ils doivent rester secrets ? Alors évitez de le hurler dans l’open space quand votre collègue vous demande d’utiliser votre ordinateur…
Ne pas tomber dans le piège de la simplicité
Tant dans l’usage personnel que professionnel, il est nécessaire d’être vigilant sur tout ce qui semble faciliter l’utilisation. Malgré la fiabilité des trousseaux d’accès des navigateurs, la meilleure protection reste encore d’éviter les connexions automatiques.
« Nous pouvons avoir tendance à nous appuyer sur les machines pour retenir nos identifiants et mots de passe. C’est une erreur ! D’abord parce qu’on ne fait plus travailler notre mémoire, ensuite parce que cette confiance mal placée abaisse notre vigilance », explique Mathieu Gemo, co-fondateur de BlueFiles, société spécialisée dans le transfert sécurisé de données.
Penser à la double authentification
Une authentification, c’est bien, deux, c’est encore mieux ! Aujourd’hui encore, trop peu de salariés sont sensibilisés à l’utilisation de la double authentification. C’est pourtant une garantie de sécurité supplémentaire, qui devient rapidement indispensable sur des services gratuits (messagerie, agenda, clouds publics comme privés) et des connexions sur plusieurs terminaux. En particulier lorsque les salariés sont amenés à faire du télétravail.
Brouiller les pistes en utilisant des navigateurs différents
Aujourd’hui, la plupart des sites placent des traceurs (ou cookies) sur les desktops et autres terminaux mobiles. Ces données collectées, récurrentes dans l’usage personnel (e-shopping, consultation des actualités, réseaux sociaux, etc), ne doivent pas interférer avec les accès professionnels et leurs outils web. Même si les navigateurs tendent à cloisonner, notamment via la navigation privée, ils ne sont pas exempts de possibles failles à exploiter. La meilleure solution reste d’utiliser deux navigateurs distincts pour les recherches professionnelles et personnelles.
« Le cloisonnement est naturellement plus fort, même si l’utilisateur reste sensible au tracking lié au partage de connexion internet », confirme Mathieu Gemo, co-fondateur de BlueFiles,
Ne pas céder à l’urgence du clic
En 2016, le phishing était l’attaque numéro 1 en France (attaque visant à « obtenir du destinataire d’un courriel d’apparence légitime qu’il transmette ses coordonnées bancaires ou ses identifiants de connexion à des services financiers, afin de lui dérober de l’argent », selon la définition de l’agence Nationale de la Sécurité des Systèmes d’Information). Idéalement, une entreprise utilisera une messagerie chiffrée pour protéger ses échanges de mails internes, comme externes. Mais cela n’empêche pas, les salariés d’intégrer quelques bons réflexes, comme la vérification de l’adresse de l’émetteur et surtout son nom de domaine. Si le destinataire se sent obligé de cliquer ou ressent l’urgence d’ouvrir une pièce-jointe, c’est probablement une tentative de phishing. Dans le doute, il est préférable de ne pas l’ouvrir.
