L’ANSSI a synthétisé un socle de pratiques de cybersécurité ciblant en premier lieu les TPE/PME… mais applicables au-delà.
« En cas de rançongiciel, ne payez jamais la rançon demandée, des solutions de déchiffrement existantes ». En dépit de la position du Gouvernement, l’ANSSI persiste et signe dans son dernier guide. Public ciblé : TPE et PME. Sujet : leur cybersécurité, soulevée en 13 questions.
Que ce soit sur les mots de passe, les pare-feu, le nomadisme ou le cloud, entre autres, TPE et PME ne sont pas préoccupés à la même enseigne. Pour les premières, il n’est par exemple question que de cloisonnement des usages. Pour les secondes, l’ANSSI touche à des notions telles que les VPN et les DMZ.
En matière de séparation des usages informatiques, le socle de recommandations communes aux TPE et aux PME comprend notamment :
– Création de comptes utilisateurs dédiés à chaque employé et ne disposant pas de privilèges d’administration
– Utilisation des comptes admin seulement pour configurer les équipements ou installer des logiciels
– Maintien à jour des comptes et des privilèges (révocation en cas de départ d’un employé, notamment)
– En cas d’usages multiples sur une même machine, création de comptes utilisateurs pour chaque usage
– Sur mobile, limitation des autorisations données à chaque application
Sur ce volet, l’ANSSI donne deux conseils supplémentaires aux PME. D’une part, interdire par défaut les connexions entre les postes des utilisateurs (réglage au niveau du pare-feu local). De l’autre, si les ressources de l’entreprise s’y prêtent, cloisonner les activités numériques en zones réseau.
Un mot de passe pour le BIOS aussi
Concernant la maîtrise du risque numérique en situation de nomadisme, il y a là aussi un socle commun. Parmi les mesures qu’il contient :
– Sauvegarder régulièrement les données
– Mettre systématiquement des filtres d’écran de confidentialité
– Chiffrer les données les plus sensibles ou l’ensemble du disque
– Configurer un verrouillage automatique après moins de 5 minutes
– Ne pas connecter des équipements qui ne sont pas de confiance (sont cités les clés USB, les chargeurs en libre service… et les portails Wi-Fi captifs, on préférera un partage de connexion)
L’ANSSI invite les PME à compléter cette liste en proscrivant l’utilisation d’équipements et d’adresses mail personnels pour des besoins professionnels. Mais aussi en n’exposant pas d’applications ou de données métiers sensibles directement sur internet (“n’autoriser l’accès qu’au travers d’un VPN). Et à protéger l’accès aux BIOS des terminaux avec un mot de passe, tout en activant le démarrage sécurisé.
Correctifs : prière d’installer tout
L’ANSSI a choisi de n’englober que les PME sur certains sujets. L’assurance cyber en fait partie. Idem pour la réaction en cas de cyberattaque. C’est là que figure le commentaire sur le paiement des rançons. Il complète des recommandations parmi lesquelles la tenue d’une main courante régulièrement alimentée tout au long des incidents. Ainsi que la consultation des CMA ou des CCI, en plus de se rendre sur Cybermalveillance.gouv.fr.
En matière de cartographie du SI, l’ANSSI prodigue les mêmes conseils aux TPE qu’aux PME. Même choisi pour les sauvegardes. En insistant sur la nécessité d’avoir des sauvegardes hors ligne, éventuellement souscrites de manière explicite auprès des fournisseurs dans le cas de solutions cloud.
La question de la contractualisation revient aussi à propos des mises à jour des logiciels. « Exigez cette pratique », clame l’ANSSI. Elle invite plus globalement, sans pratiquer de distinction, à installer dès que possible les correctifs pour les systèmes d’exploitation et pour tout logiciel.
Le MFA soutenu jusqu’aux jetons physiques
Loin de la notion d’entropie que la Cnil a adopté pour mesurer la robustesse des mots de passe, l’ANSSI appelle à corréler leur longueur à la criticité des services auxquels ils donnent accès. Deux valeurs à retenir : au moins 9 caractères pour les peu critiques (« dont la compromission ne donnerait accès à aucune information personnelle, financière et
n’impacterait pas le fonctionnement de l’entreprise » ; 15 pour les critiques.
Qu’on soit une TPE ou une PME, on activera, si disponible, l’authentification multifacteur. Et si on est une PME, on songera à l’implémenter par jeton physique. Celles qui disposent de nombreuses solutions logicielles centralisées réfléchiront par ailleurs à activer un service d’authentification unifié de type SSO.
Eu vraisemblablement aux pare-feu, l’ANSSI se contente d’appeler les TPE à activer un « premier niveau de protection » : les pare-feu locaux des systèmes d’exploitation, avec le paramétrage par défaut. Pour les PME, les recommandations s’étendent aux pare-feu physiques destinées à protéger l’interconnexion du SI à internet. Voir, pour les plus matures, à segmenter le réseau interne.
Photo d’illustration © the_lightwriter – Adobe Stock