Domaine parfois technique et souvent mal compris, la cybersécurité véhicule de nombreuses idées reçues. Des réseaux Wifi publics en passant par les mots de passe et la navigation sur Internet, de nombreuses recommandations circulent, parfois contradictoires et il est difficile de démêler le vrai du faux. Il existe pourtant des solutions de sécurité efficaces et simples à mettre en œuvre pour protéger ses données, y compris à destination des startups et PME, qui n’ont pas forcément d’expert cyber sur lequel s’appuyer.Quelles sont les idées reçues les plus courantes en cybersécurité ? Quels sont les meilleurs conseils à suivre en matière de sécurité informatique ? Quelles solutions de sécurité privilégier ? Voici une compilation des principales idées reçues en cybersécurité.

1. Le Wifi public n’est pas un Wifi sécurisé : vrai

Pourquoi éviter le Wifi public et quels sont les risques ?

Particulièrement pratiques pour les collaborateurs en mobilité, les réseaux Wifi publics que l’on retrouve par exemple dans les gares ou les aéroports présentent néanmoins des risques de sécurité. L’utilisation de réseaux Wifi publics fait peser des risques sur la sécurité des données. Si le point d’accès est mal configuré, il est possible d’intercepter les données des utilisateurs (identifiants et mots de passe, par exemple) et de les utiliser à des fins malveillantes. C’est ainsi que fonctionnent les attaques de type « Man-in-the-Middle» (MITM).

Comment reconnaître un réseau Wifi non sécurisé ?

Il existe en théorie un moyen simple de savoir si un réseau Wifi public gratuit est sécurisé : regarder son nom et vérifier la présence ou non d’un cadenas à côté (l’absence de cadenas indiquant que le réseau Wifi n’est pas sécurisé). Cette règle n’est toutefois pas infaillible. Le plus simple est d’adopter une posture prudente et de considérer par défaut tout réseau Wifi public gratuit comme étant non sécurisé.

Comment naviguer en toute sécurité sur un réseau Wifi public ?

Éviter d’utiliser le wifi public et inciter les collaborateurs à se connecter en partage de connexion via leur smartphone peut être la meilleure option. Si ce n’est pas possible : utiliser un VPN (virtual private network / réseau privé virtuel) pour ajouter une couche de chiffrement. Le VPN crée un tunnel sécurisé et chiffré entre l’appareil utilisé (PC, smartphone) et le site web auquel se connecte l’internaute, ce qui sécurise les connexions. Personne ne peut avoir accès aux données de l’internaute ni à son activité en ligne grâce au chiffrement de bout en bout. Le VPN masque également les adresses IP.

2. Utiliser son ordinateur personnel au travail présente des risques de sécurité : vrai

Quels sont les risques liés à l’utilisation d’un smartphone personnel à des fins professionnelles ?

Utiliser son ordinateur personnel pour ses missions professionnelles présente des risques en matière de sécurité. Cette pratique – appelée « BYOD » (Bring Your Own Device / Apportez votre appareil personnel) – augmente les risques de fuites de données. Les appareils utilisés à titre personnel ne sont généralement pas aussi bien sécurisés (mises à jour de sécurité réalisées de manière aléatoire, téléchargement d’applications non sécurisées, etc.) que dans un contexte professionnel.

En utilisant leur ordinateur personnel pour travailler, les collaborateurs traitent des données professionnelles qui ne sont pas aussi bien protégées qu’avec un ordinateur sécurisé par leur entreprise. En cas de vol, les données de l’entreprise peuvent se retrouver entre les mains d’acteurs malveillants. Une situation qui peut fortement perturber les activités et la réputation d’une entreprise.

Quelles sont les principales attaques visant les ordinateurs ?

Les ordinateurs sont particulièrement ciblés par les groupes malveillants : tentatives de phishing par mail, téléchargement de logiciels malveillants, fausses applications mobiles, etc. Les appareils mobiles étant désormais au cœur de notre quotidien professionnel, les hackers en font un vecteur privilégié pour accéder à nos données et les utiliser à des fins malveillantes.

Comment sécuriser un ordinateur dans un contexte professionnel ?

Diverses mesures de sécurité permettent de sécuriser les ordinateurs professionnels. La première des mesures à prendre est de répertorier les terminaux mobiles dans un outil de MDM (Mobile Device Management), qui permet également de :

• Réaliser les mises à jour automatiques de sécurité à distance (pratique cruciale pour la sécurité des appareils)
• Chiffrer les données
• Bloquer l’accès au smartphone et le réinitialiser en cas de perte ou de vol
• Activer les pare-feux

Autant de fonctionnalités utiles pour protéger les données et les terminaux en entreprise. Les professionnels de la sécurité insistent également sur la nécessité d’effectuer régulièrement des sauvegardes de données professionnelles.

Avantages et inconvénients des politiques de BYOD

Les partisans du BYOD mettent en avant une réduction des coûts d’achat et de maintenance du matériel informatique, tout en affirmant que la productivité des salariés est meilleure quand on leur permet d’utiliser leur matériel personnel. Cette pratique a également d’importants inconvénients en matière de sécurité informatique. Les smartphones personnels n’étant pas répertoriés dans le parc informatique de l’entreprise, ils représentent des portes d’entrée que les équipes IT ne peuvent pas sécuriser. Et un seul point d’entrée mal sécurisé peut compromettre tout l’ensemble du système d’information d’une entreprise.

3. Les logiciels antivirus ne servent plus à rien : faux

À quoi sert un logiciel antivirus ?

Un antivirus est un programme informatique conçu pour être installé sur un ordinateur, une tablette ou encore un smartphone. Son rôle est de détecter et supprimer les virus et logiciels malveillants (malwares). Si l’antivirus s’est imposé auprès du grand public, il a peu à peu perdu en crédibilité. Le fonctionnement des antivirus « traditionnels », qui reposait sur une base de données de menaces connues, est devenu insuffisant pour répondre à l'évolution des modes opératoires des cybercriminels.

Les antivirus ont donc évolué pour aller au-delà de la simple détection des virus. Ils peuvent désormais surveiller le comportement des différents programmes installés sur la machine, réaliser des analyses automatiques, analyser des fichiers, supprimer les codes et logiciels malveillants, etc.

Comment choisir un antivirus ?

Premier élément à savoir, les antivirus gratuits ne sont généralement pas suffisants pour répondre aux besoins de sécurité des entreprises. Leurs fonctionnalités sont trop limitées. Les antivirus de « nouvelle génération » (NGAV / Next-Generation Antivirus) sont bien plus utiles. Certaines de leurs fonctionnalités peuvent désormais offrir aux entreprises une protection étendue : protection des terminaux et des disques durs, gestionnaire de mots de passe, détection des tentatives de phishing, analyse des clés USB, etc. S’appuyant sur la surveillance continue et la détection des menaces en temps réel (via l’IA et le machine learning), ces antivirus offrent un niveau de sécurité bien plus élevé.

4. Un mot de passe complexe sécurise les comptes en ligne : vrai, mais pas suffisant

Qu’est-ce qu’un mot de passe complexe ?

Les identifiants et mots de passe sont des informations particulièrement convoitées par les hackers. Un mot de passe doit être long (au moins 12 caractères) et contenir différents types d’éléments (minuscules, majuscules, chiffres et caractères spéciaux). Un mot de passe complexe sera plus long à cracker.

Il est également conseillé d’utiliser un mot de passe différent pour chaque service. De cette manière, si l’un des mots de passe est piraté, les autres comptes en ligne ne seront pas impactés.

__L’optimisation des mots de passe fait partie des bonnes pratiques conseillées aux startups et PME pour se protéger des cyberattaques. __

PME, startups : 6 bonnes pratiques pour votre cybersécurité.

Il est également recommandé de modifier régulièrement ses mots de passe pour protéger ses comptes en ligne, mais cette mesure peut s’avérer compliquée et rébarbative lorsqu’on doit le faire pour des dizaines de comptes différents. La meilleure pratique consiste donc à ajouter une couche de sécurité en plus : l’authentification à double facteur (2FA).

Qu’est-ce que l’authentification à double facteur ?

L’une des pratiques les plus efficaces pour sécuriser ses comptes en ligne consiste à activer l’authentification à double facteur, qui ajoute un moyen de validation supplémentaire (un code reçu par SMS, par exemple) en plus du mot de passe. Stocker ses mots de passe au sein d’un coffre-fort numérique sécurisé (gestionnaire de mots de passe) est également considéré comme une bonne pratique d’hygiène informatique.

5. La navigation privée n’est pas vraiment privée : vrai

Qu’est-ce que la navigation privée ?

La confidentialité en ligne préoccupe les internautes, qui ne sont pourtant pas toujours bien informés sur la notion de « navigation privée ». Ce qu’on appelle « navigation privée » est une fonctionnalité disponible sur les navigateurs web (Chrome, Firefox, Safari, etc.). Lorsque l’internaute active ce mode, il empêche le navigateur d’enregistrer certaines informations (son historique de navigation, les informations saisies lorsqu’il a rempli des formulaires, ses mots de passe) et de poser des cookies. L’historique de navigation disparaît par exemple lorsque l’internaute ferme son navigateur. Il serait plus juste de parler de « navigation à usage unique » que de « navigation privée ».

Quelles sont les limites de la navigation privée ?

La navigation « privée » porte en réalité mal son nom, puisqu’elle n’est absolument pas synonyme d’anonymat complet. Même lorsque le mode « navigation privée » est activé, l’activité de l’internaute reste visible par les sites qu’il visite, par les administrateurs du réseau sur lequel il est connecté et par les fournisseurs d’accès à internet.

Comment masquer son adresse IP avec un VPN ?

Une adresse IP est une succession de chiffres associée à chaque appareil connecté à internet. Elle permet de savoir à partir de quel lieu l’appareil se connecte. S’il existe de nombreuses méthodes pour masquer une adresse IP (utiliser un serveur proxy, par exemple), l’un des moyens les plus efficaces et les plus sûrs pour rendre sa navigation réellement anonyme est d’utiliser un VPN. Grâce à la connexion au VPN, les données de l’internaute sont chiffrées automatiquement. L’internaute navigue en utilisant une nouvelle adresse IP, qui correspond à l’un des serveurs du fournisseur de VPN. Personne n’a accès à l’identité ni à l’activité en ligne de l’internaute.

6. Les appareils Apple sont plus sécurisés que les autres : faux

Non, les appareils Apple ne sont pas particulièrement immunisés contre les virus

Les appareils Apple ont longtemps bénéficié d’une bonne réputation en matière de sécurité, ce qui a conduit à une baisse de vigilance chez les utilisateurs. Ces appareils ne sont pourtant pas immunisés contre les virus et programmes malveillants de toutes sortes. De nouvelles familles de malwares ciblant le système macOS apparaissent régulièrement.

Quels sont les risques liés à l’utilisation d’appareils Apple et comment s’en protéger ?

Les produits Apple étant de plus en plus populaires en entreprise, ils sont également davantage visés par des cyberattaques. Les menaces prennent la forme de phishing (par email ou SMS), de programmes malveillants, de logiciels espions, d’applications frauduleuses, etc.

Les mesures de protection et de sécurité relatives aux appareils Apple sont sensiblement les mêmes que pour les autres appareils :

• Mettre à jour le système d’exploitation dès que cela s’avère nécessaire
• Utiliser un Wifi sécurisé
• Télécharger uniquement des applications sécurisées et vérifier leurs autorisations
• Ne pas cliquer systématiquement sur les liens envoyés par mail ou SMS
• Protéger l’accès à son iPhone avec la biométrie et des mots de passe forts

Certaines solutions de sécurité spécifiques aux produits Apple peuvent également être déployées (protection anti-phishing, scan des contenus web et des applications, etc.).

7. Le picto « cadenas » indique qu’un site web est sécurisé : oui, mais...

Que signifie le cadenas à côté de l’adresse d’un site internet ?

Le petit cadenas à côté de l’url d’un site internet indique que la communication entre le navigateur de l’internaute et le serveur du site est sécurisée (chiffrée ») grâce au protocole « HTTPS » et à un certificat de sécurité. Concrètement, cette couche de sécurité permet à l’internaute de saisir ses données sur le site sans qu’elles soient interceptées (son login et mot de passe, par exemple). Le protocole HTTPS sécurise les échanges de données entre l’internaute et le site Internet, mais il ne garantit pas que le site lui-même soit sécurisé.

Pourquoi HTTPS n’est plus suffisant ?

Le cadenas et la mention « https » indiquent seulement que les échanges entre le site et l’internaute sont sécurisés, mais cela ne veut pas dire que le site est légitime pour autant. Lorsqu’ils créent des sites frauduleux, les acteurs malveillants peuvent tout à fait obtenir un certificat de sécurité et l’adosser à leur site Internet. Un site malveillant reprenant l’apparence du site des impôts peut par exemple comporter un petit cadenas. Si l’internaute se fie uniquement au picto cadenas, il baisse la garde et peut tout à fait saisir des données confidentielles, qui tombent ensuite entre les mains d’acteurs malveillants. C’est ainsi que fonctionnent les sites de phishing (hameçonnage). La présence d’un picto cadenas n’est donc absolument pas un signe de sécurité.

Pourquoi Google Chrome a retiré l’icône du cadenas ?

L’utilisation du cadenas s’avérait utile quand le protocole HTTPS n’était pas généralisé. Son utilisation est aujourd’hui devenue une norme. Conscient que l’icône du cadenas pouvait être trompeuse pour les utilisateurs et ne représentait pas un gage de sécurité, Google a décidé de la retirer de son navigateur Chrome, ou du moins de la rendre moins visible en la plaçant en sous-menu.

Comment vérifier si un site est légitime ?

Le design du site et son contenu ne représentent pas des critères suffisants pour s’assurer de l’authenticité d’un site. Afin de s’assurer qu’un site est légitime, il est bien plus important d’en vérifier l’url (nom de domaine + extension) plutôt que la présence d’un cadenas. En cas de doute et afin de ne pas atterrir sur un site d’hameçonnage, il est recommandé de ne pas cliquer sur les liens reçus par email ou SMS. Enfin, les entreprises peuvent mettre en place des outils de sécurité (pare-feu, VPN, antivirus, etc.) pour limiter les risques inhérents à la navigation en ligne.

Idées reçues en cybersécurité : les points à retenir

Il existe désormais des services de sécurité accessibles et efficaces permettant aux PME et startups d’améliorer leur posture de sécurité, de protéger leurs données et leur activité. Pour bien s’outiller, encore faut-il démêler le vrai du faux et balayer les idées reçues les plus courantes en matière de cybersécurité.

1. Le réseau Wifi public n’étant pas sécurisé, il est recommandé d’utiliser un VPN pour sécuriser les communications lorsqu’on se connecte à un réseau Wifi public.
2. Utiliser un smartphone personnel à des fins professionnelles présente des risques de sécurité.
3. Les logiciels antivirus restent utiles et offrent une protection étendue grâce à la surveillance étendue.
4. Un mot de passe complexe n’est pas suffisant pour sécuriser ses comptes en ligne. Il est conseillé d’ajouter une couche de sécurité supplémentaire en utilisant l’authentification à double facteur (2FA).
5. La navigation privée n’est pas synonyme d’anonymat.
6. Les appareils Apple sont aussi concernés par les problématiques de sécurité et doivent être protégés.
7. L’icône « cadenas » à côté de l’url d’un site internet indique que le site est sécurisé, mais pas forcément légitime.

Fleet vous aide à mieux gérer votre parc informatique et à protéger vos données professionnelles avec des mesures de sécurité simples et efficaces.