Le manque de méfiance ou de formation de l’utilisateur
Malheureusement, la première faille à laquelle les PME sont confrontées est le manque de sensibilisation des utilisateurs aux cyberattaques, particulièrement le phishing.
Basé sur la confiance, le phishing informatique est un mail hameçonnage (ou un sms) qui est envoyé par un pirate.
Sauf que… le mail semble provenir d’une entité officielle. Cela peut être votre banque, un fournisseur, un client, votre fournisseur internet ou votre assurance. Et là, on vous demande vos coordonnées bancaires ou simplement de cliquer sur un lien ou de télécharger un document.
Sachez-le une bonne fois pour toutes : aucun organisme n’est autorisé à vous demander vos coordonnées bancaires par mail.
En cas de problème, il vous contactera autrement : rendez-vous physique, courrier…
À cet usage, Apo’g met à votre disposition quelques règles simples qui doivent être partagées avec l’ensemble de vos collaborateurs.
Services d’authentification réseau basés dans le cloud | WatchGuard
Des logiciels de sécurité non mis à jour
Bien que la majorité des entreprises soient équipées de solutions de sécurités, peu prennent le temps de faire les mises à jour nécessaires.
Or, les cybercriminels inventent chaque jour de nouveaux moyens pour pirater les systèmes de sécurité des entreprises.
La majorité de ces inventions entre dans la catégorie des ransomware.
Le but d’une attaque ransomware ? Prendre en otage les données sensibles d’une entreprise et rendre leur accès impossible, tant que leur propriétaire ne verse pas une rançon. C’est pour ça qu’ils sont aussi appelés rançongiciels.
On ne le dira jamais assez : mettez votre logiciel de sécurité à jour, ou programmez-le pour qu’il se mette à jour automatiquement.
Idéalement, faites-vous accompagner par un prestataire informatique, Apo’g met à votre disposition une équipe d’experts en cybersécurité, certifié et expérimenté.
Faire le choix d’un seul serveur
On dit qu’il ne faut jamais mettre tous ses œufs dans le même panier. Cette maxime s’applique aussi à votre activité sur le web.
Si tout votre business est installé sur un seul serveur, vous risquez d’être victime d’un DDos, l’attaque en déni de service, comme ce fut le cas des grands noms du web en 2016 (Paypal, Twitter, Ebay…).
Vengeance de la concurrence ? Demande de rançon ? Les motifs de ces attaques sont variés.
Pour vous prémunir contre ce type de hack, équipez-vous de plusieurs serveurs qui offrent le même service. En cas d’attaque, le fonctionnement sera ralenti, mais pas stoppé. L’idéal est également de s’équiper d’un serveur tampon qui nettoie le trafic au fur et à mesure.
L’absence de DNSSEC
L’absence de DNSSEC, c’est la porte ouverte aux acquisitions de noms de domaine frauduleuses ; or la grande majorité des PME pense que protéger son nom de domaine, c’est acheter toutes les extensions qui vont avec.
Le concept est simple : un de vos clients tape votre nom de domaine dans sa barre de recherche. Le serveur le renvoie automatiquement vers votre site internet.
Maintenant, imaginez qu’un petit malin pirate le système et qu’il demande au serveur de renvoyer votre client vers un site internet, en tout point identique au vôtre, mais qui n’est pas le vôtre. Lui, il n’y verra que du feu. Il passe commande, entre ses données personnelles et bancaires… et le tour est joué. Le pirate n’a plus qu’à se servir.
Non seulement vous perdez une vente, mais les coordonnées bancaires de votre client sont piratées, et votre image de marque en prend un coup.
Un DNSSEC, il n’y a que ça de vrai !
L’absence d’anti-malware avancé
L’anti-malware est un logiciel qui permet de neutraliser un malware lancé sur votre système par des hackers malveillants.
Leur intérêt premier est de vous protéger contre les Advanced Persistent Threats. Or, si vous êtes infectés par un APT, ou menace persistante avancée, les risques sont importants : vol des données financières, espionnage industriel…
La plupart de ces malwares sont indétectables sans un bon antimalware et peuvent rester jusqu’à plusieurs années sans que vous vous en rendiez compte.
Vous l’aurez compris, les failles et les risques dans les PME sont nombreux et peuvent avoir des conséquences désastreuses sur une activité professionnelle. Pour se prémunir contre ces risques, il est important d’installer un système de sécurité performant et mis à jour régulièrement.