Les menaces de cybersécurité sont si omniprésentes qu’on a tendance à les sous-estimer. D’une part, un pirate qui se respecte pourrait être intéressé par l’intrusion sur le site de Sony pour y publier des courriels privés qui offensent les stars, mais pas par l’infiltration des serveurs de notre petite entreprise, d’autre part, quiconque tombe dans le panneau d’une arnaque nigériane mérite d’être volé après tout. Le problème, c’est que la défense contre les pirates informatiques ne concerne pas seulement les banques et les agences gouvernementales, mais aussi les services privés auxquels nous fournissons tous nos données, et surtout les petites entreprises qui, du simple fait de leur nombre, représentent un gâteau tentant pour les pirates informatiques qui n’essaient pas d’en prendre une part. Voici un petit guide d’urgence pour ceux d’entre vous qui, comme, ont paniqué en découvrant l’attaque d’un point d’eau.
A. Notifications. Des notifications partout.
Si vous n’avez aucune idée de ce qu’est un abreuvoir, ne vous inquiétez pas : vous êtes en bonne compagnie. Cette métaphore a dû être inventée par quelqu’un qui passe beaucoup de temps à regarder la chaîne Discovery. Le point d’eau, techniquement, est l’abreuvoir auquel de nombreux animaux s’abreuvent régulièrement, ou dans notre métaphore, un site qu’un certain groupe d’utilisateurs visite régulièrement. Le pirate attaque le site non pas pour lui nuire directement, mais pour nuire aux utilisateurs qui s’y abreuvent, par exemple en obtenant des informations et des identifiants d’accès pour effectuer des transactions financières illicites. Cela semble trivial, mais le moyen le plus simple et le plus sûr d’éviter qu’un accès frauduleux à votre compte privé ou professionnel ou à votre carte de crédit n’entraîne une série de débits puis, de fait, un vol à votre encontre, est d’utiliser tous les systèmes de notification que les banques mettent à votre disposition. Les courriels et surtout les SMS qui vous parviennent à chaque fois que vous effectuez une transaction sur le compte peuvent être agaçants, si vous êtes de grands utilisateurs de la banque en ligne, mais ils vous permettront aussi de savoir en temps réel si vous venez d’acheter accidentellement une voiture à Singapour alors que vous jouiez à Minecraft sur le canapé de votre maison. Les achats frauduleux signalés en temps utile peuvent être bloqués et vos comptes de nouveau sécurisés en quelques heures.
B. Tôt ou tard, les pirates informatiques découvriront le nom de votre chien.
Choisir des mots de passe significatifs, des dates importantes et des noms de proches est rassurant, et il est compréhensible que de nombreuses personnes agissent ainsi sur leurs comptes privés, mais lorsqu’il s’agit d’accéder aux systèmes de l’entreprise, les critères doivent être différents. Pour protéger vos systèmes informatiques, il faut éliminer les failles les plus évidentes de vos mesures de sécurité, et il n’y a pas de maillon plus faible que l’élément humain. Une bonne méthode de protection consiste à gérer tous les mots de passe de l’entreprise au moyen de systèmes tels que PassPack ou LastPass, en prenant éventuellement la bonne habitude de les changer souvent.
C. Évitez le Wi-Fi public.
Travailler à distance, avoir des collaborateurs dispersés dans le monde entier qui gèrent leur propre productivité de manière autonome, peut-être depuis un bureau à domicile ou un café, c’est formidable, dans certaines conditions. Vous devez toujours faire la distinction entre le type de matériel et d’informations que vous conservez dans le cloud, sur des serveurs tiers ou des comptes de plateformes sociales, et le type de données que vous conservez sur les serveurs de l’entreprise. Ceux qui accèdent à des systèmes contenant des données sensibles ne doivent jamais le faire à partir de connexions sur lesquelles ils n’ont aucun contrôle, car l’un des moyens les plus faciles pour un pirate d’obtenir des informations sur les identifiants de connexion d’un utilisateur est d’utiliser des réseaux Wi-Fi non sécurisés.
D. Investissez dans la sécurité.
La fraude informatique est en constante évolution et personne ne croit vraiment que l’on puisse encore tomber dans le piège du prince nigérian pris de l’envie de transférer dix millions de dollars sur le compte d’un inconnu italien. L’une des formes d’attaque pirate qui se répand le plus rapidement, par exemple, est le ransomware, qui consiste à introduire dans le système attaqué un virus qui bloque effectivement l’accès au contenu de l’ordinateur et exige une rançon monétaire pour le déverrouiller. Avoir fait une sauvegarde la veille est certainement utile, mais avoir investi dans un système de sécurité professionnel l’est encore plus : en fonction de votre activité et des données que vous manipulez, il peut être utile non seulement d’installer et de mettre à jour systématiquement des pare-feu et des antivirus, mais aussi de faire appel à des professionnels de la sécurité. Parmi les choses qu’un professionnel de la sécurité peut faire pour vous, croyez-le ou non, figure une fausse attaque afin de tester la résilience de vos défenses contre un éventuel pirate. C’est un peu comme payer un agent de sécurité pour essayer de crocheter la serrure de votre maison.
E. Exigez la sécurité de vos partenaires.
Ce titre est destiné à un autre type de liste, mais les conseils s’appliquent également à l’informatique. Avant de confier vos données à quiconque, qu’il s’agisse d’une banque ou d’un service de paiement en ligne, renseignez-vous sur ses normes de sécurité, faites des recherches en ligne et lisez toute la documentation disponible, éventuellement avec le soutien du professionnel compétent que vous avez engagé après avoir lu le paragraphe 4.
F. Comment savoir s’il est trop tard.
D’accord, il n’est pas forcément trop tard, mais vous saurez au moins si votre adresse électronique a fait l’objet d’un accès illégal ou d’un vol d’informations comme, par exemple, celui qui a eu lieu chez Patreon, où les données de plus de deux millions d’utilisateurs sont tombées entre les mains de pirates qui auraient eu l’intention d’utiliser leurs cartes de crédit.
