Cybersécurité : 5 bonnes pratiques

2/9/2024
Tous les guides
⚙️ Mise en oeuvre

52% des entreprises françaises ont déclaré avoir subi au moins une cyberattaque l’année dernière. 4 668 violations de données ont été notifiées à la CNIL sur l’année. Or, selon le rapport « Cost of Data Breach Report 2023 » d’IBM Security, les violations de données ont coûté en moyenne 3,75 millions d’euros en 2023. 

Le coût est gigantesque !  

Les données contenues dans ces systèmes valent de l’or pour les pirates informatiques, or les systèmes qui les contiennent sont trop souvent faillibles face aux attaques informatiques et autres incidents. 

Vous l‘aurez compris, les organisations sont vulnérables aux attaques de cybercriminels. De ce fait, la sécurisation de l’ensemble des systèmes d’information est devenue une question centrale pour la pérennité des entreprises. 

Il apparaît donc essentiel de sensibiliser les équipes à la cybersécurité de manière à ce qu’elles adoptent le bon comportement propre à assurer la protection des données personnelles. 

Ransomware, phishing, vol de mot de passe, ou encore logiciel malveillant, il devient essentiel de former les équipes à reconnaître les tentatives de piratage. 

Dans ce guide, nous verrons : 

  • la définition de la cybercriminalité ;
  • les différents types d’attaques informatiques ; 
  • les enjeux de la sensibilisation à la cybersécurité ;
  • les bonnes pratiques pour sensibiliser efficacement vos équipes à la cybersécurité. 

Qu’est-ce que la cybercriminalité ? 

Une définition de la cybercriminalité 

Cette notion désigne l’ensemble des activités criminelles menées via les nouvelles technologies et les dispositifs numériques. Ce terme recouvre des activités illégales exploitant les failles de sécurité des entreprises. 

Avec l’évolution des nouvelles technologies, les techniques des criminels évoluent également en permanence et devient de plus en plus redoutable car difficile à identifier et à contrer.

Il s’agit d’une menace particulièrement pesante pour les organisations, qu’il s’agisse des entreprises, des ONG, des administrations ou encore des collectivités. Les risques de perte suite à une attaque sont importants à plusieurs niveaux : pertes financières, atteinte à la réputation, fuite de données sensibles, etc. 


Pour une entreprise, l’un des principaux risques encourus suite à une attaque cybercriminelle, est la mise à l’arrêt de l’activité. Les conséquences peuvent être financièrement dramatiques. Selon une enquête menée par le groupe Apave, spécialisé dans la gestion des risques, 43% des TPE/PME ayant subi une cyberattaque ont vu leur activité stoppée plus d’une journée : indisponibilité des services en ligne, blocage des moyens de paiement, arrêt de la production, etc. 

Ce manque à gagner très important se double parfois de pertes liées à une demande de rançon, aux actions de restauration du site internet, etc.    

Les différents types de cyberattaques

Les attaques informatiques sont de différents types. Voyons lesquels. 

Le hameçonnage (ou phishing)

💡 Une étude du cabinet Statista a révélé que la forme de cyberattaque  la plus fréquente en France était le phishing. Ces attaques ont déjà concerné plus de 75% des entreprises.  

📝 Le hameçonnage ou le phishing est une technique consistant à imiter un organisme officiel ou un tiers de confiance comme une banque, la poste, ou encore les services d’une administration (impôts, urssaf, etc) par sms ou mail le plus souvent. Leur but est d'inciter leurs cibles à renseigner leurs informations personnelles afin d’exploiter ces données. Ils peuvent même inciter la personne à payer une somme d’argent (phishing pour amende impayée, taxe à percevoir, majoration d’impôts, etc). 

Le rançongiciel (ou ransomware)

💡 52% des piratages conduisent à une extorsion d’argent, notamment grâce au ransomware (ou rançongiciel en français).  

📝 Le rançongiciel (ou ransomware) désigne les attaques bloquant l'appareil de la victime. Les pirates demandent une somme d'argent en échange du déblocage de l'appareil. Ce type d'attaque touche plus les entreprises que les particuliers en raison de leur plus grande solvabilité. Par exemple, des entreprises voient leur profil sur les réseaux sociaux ou leur site web “pris en otage” par des pirates informatiques en échange d’une rançon. 

Le logiciel malveillant (ou malware)

💡 52% des piratages des données ont lieu au moyen d’un virus informatique. 

📝Un malware est un programme développé dans le but de saboter un système informatique afin d’accéder au réseau. Les pirates peuvent ainsi voler les informations personnelles et des données sensibles contenues dans ces systèmes piratés. Les cybercriminels utilisent le plus souvent ces données pour usurper une identité ou demander une rançon. Ces logiciels malveillants ne sont pas toujours faciles à repérer car souvent cachés dans les logiciels de téléchargement gratuit ou sur une clé USB piégée. Certains s’infiltrent via les wifi gratuits. 

5 bonnes pratiques en matière de cybersécurité

1- L’ enjeu de la sensibilisation à la cybersécurité 

Pour contrer les tentatives de piratages informatiques, il est essentiel de renforcer les mesures de cybersécurité d’une entreprise.

L'utilisation d'une plateforme dédiée pour piloter et diagnostiquer la cybersécurité des entreprises est cruciale. Une telle plateforme permet de renforcer la maturité en cybersécurité en mobilisant l'expertise et les outils adaptés. En centralisant les efforts de cybersécurité, elle facilite la sensibilisation des collaborateurs et l'implémentation de stratégies efficaces.

Le facteur humain : principale source d’attaques informatiques

La technologie progresse, les techniques des cybercriminels aussi ! Plus le nombre d’utilisateurs d’outils numériques augmente, plus la menace d’actes de cybermalveillance pèse sur les organisations. Or, les erreurs humaines, souvent nées de la négligence, constituent la principale cause d’incidents de cybersécurité.

C’est pour cette raison que la sensibilisation à la cybersécurité est devenue plus qu’importante pour les organisations. Une formation est essentielle pour que les utilisateurs d’ordinateurs, de tablettes ou encore de mobiles, puissent repérer les pièges tendus par les pirates informatiques. 

Une prise de conscience insuffisante

Une vraie prise de conscience de la nécessité de former les utilisateurs aux risques et aux enjeux de cybersécurité a lieu.

En effet, le baromètre annuel du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) montre que 80% des entreprises mènent des campagnes de sensibilisation de leurs collaborateurs à la cybersécurité. 

Pour autant, la culture de la cybersécurité peine à s’ancrer dans le quotidien car les utilisateurs ne suivent pas suffisamment les recommandations. 

Par ailleurs, 75% des spécialistes de la cybersécurité considèrent que le télétravail qui s’est développé durant la crise sanitaire a contribué à augmenter les attaques criminelles. 

Une étude Sosafe, spécialiste en sensibilisation à la cybersécurité, montre que les salariés qui travaillent à distance sont plus enclins à ne pas respecter les consignes de sécurité que ceux qui travaillent sur site. Par exemple, ils se font plus souvent piéger par les mails de phishing. En clair, il reste un gros travail de sensibilisation à réaliser auprès des équipes.  

2- Verrouillez vos comptes : mots de passe solides et double authentification

La première ligne de défense, ce sont vos mots de passe. Trop d’utilisateurs continuent d’employer des mots de passe faibles ou réutilisés – “123456” reste par exemple le mot de passe le plus utilisé au monde et il se cracke en moins d’une seconde. Résultat, les cybercriminels n’ont souvent pas besoin de forcer la porte : 80 % des intrusions liées à un piratage en 2023 ont exploité des mots de passe faibles, volés ou réutilisés. En clair, un mot de passe trop simple revient à laisser la clé sous le paillasson.

En quoi cela consiste : utiliser des mots de passe “béton” (longs, uniques, mêlant lettres, chiffres et caractères spéciaux) et activer l’authentification multi-facteur (MFA) dès que possible. La MFA ajoute une couche de sécurité (code SMS, app de validation…) en plus du mot de passe, rendant la tâche bien plus ardue aux pirates, même s’ils dérobent votre sésame. Voici un article qui vous expliquer comment créer un mot de passe robuste conforme aux exigences de la CNIL.

Exemples concrets : Le mot de passe unique de votre messagerie pro doit être différent de celui de Netflix ou Facebook – sinon, la fuite d’un site peut compromettre tous vos comptes. Imaginez qu’un employé utilise Azerty123 partout : si une base de données tierce fuit, les attaquants essaieront ce mot de passe sur l’email de l’entreprise et les applications métiers… et bingo. À l’inverse, avec un mot de passe complexe + MFA, même une fuite ne suffira pas à ouvrir d’autres portes.

Recommandations simples :

  • Gestionnaire de mots de passe : Utilisez ces coffres-forts numériques pour générer et stocker des mots de passe uniques pour chaque service (on a en moyenne plus de 200 comptes à gérer !).
  • MFA partout : Activez la double authentification sur les messageries, VPN, outils cloud, etc. Une seconde d’effort pour vous, un cauchemar pour les hackers.
  • Changer les mots de passe par défaut : Équipement réseau, compte admin d’appli… Les mots de passe “admin/admin” ou “1234” des paramètres d’usine sont bien connus des attaquants. Remplacez-les dès l’installation.
  • Sensibiliser les équipes : Rappelez régulièrement les bonnes pratiques et les risques (par exemple, bannir le fameux post-it “mot de passe” collé sur l’écran 😉).

3- Faites vos mises à jour (arrêtez de cliquer sur « Plus tard » 😉)

On le reconnaît tous : remettre au lendemain les mises à jour, c’est tentant. Mais en cybersécurité, tarder à appliquer un correctif revient à laisser une fenêtre ouverte. Les éditeurs publient des mises à jour pour combler des failles de sécurité parfois critiques. Si vous ne les installez pas, les cybercriminels, eux, en profitent : selon Sophos, 32 % des cyberattaques débutent par l’exploitation d’une vulnérabilité non corrigée.

En quoi cela consiste : maintenir à jour tous vos logiciels, systèmes et équipements dès qu’un patch de sécurité est disponible. Cela vaut pour Windows, macOS, Linux, mais aussi les serveurs, applications métier, navigateurs web, antivirus, etc. Les mises à jour régulières corrigent des failles connues avant que les attaquants ne puissent s’en servir.

Exemples concrets : En 2017, le ransomware WannaCry a fait des ravages en exploitant une faille de Windows… pour laquelle un patch existait déjà depuis des mois. Les entreprises à jour n’ont pas été affectées, tandis que les autres ont vu leurs fichiers chiffrés. Plus récemment, Microsoft a colmaté plus de 1 000 failles de sécurité Windows rien qu’en 2024 – signe que les vulnérabilités sont légion. Ignorer une mise à jour critique, c’est comme laisser un cadenas rouillé sur la porte en espérant que personne n’essaiera de l’ouvrir.

Recommandations simples :

  • Automatiser les mises à jour : Dans la mesure du possible, activez les mises à jour automatiques sur vos OS et applications. Un correctif appliqué rapidement, c’est une brèche évitée.
  • Surveiller les alertes éditeurs : Abonnez-vous aux bulletins de sécurité des fournisseurs clés (Microsoft, Adobe, etc.). Le RSSI ou la DSI peut ainsi prioriser l’installation des patchs critiques (idéalement sous 24-48h).
  • Gérer les exceptions : Si un système ne peut être mis à jour instantanément (compatibilité, tests à faire…), isolez-le du réseau et planifiez le patch le plus tôt possible. Mieux vaut un léger temps d’arrêt planifié qu’une attaque surprise.
  • Maintenir l’inventaire : Tenez à jour la liste de tous les logiciels et équipements de l’entreprise. On ne peut patcher que ce qu’on connaît – les “shadow IT” (apps non officielles) sont des bombes à retardement.

4- Sauvegardez régulièrement (votre futur vous remerciera)

En cas de coup dur informatique, vos sauvegardes seront votre bouée de sauvetage. Personne n’est à l’abri d’une panne de serveur, d’une fausse manip qui efface un dossier critique, ou d’un ransomware qui chiffre vos fichiers. Sans sauvegarde, ces données peuvent être perdues à jamais, avec des conséquences potentiellement fatales pour l’entreprise.

En quoi cela consiste : mettre en place des sauvegardes régulières de vos données et systèmes, idéalement automatisées, redondantes et stockées hors site. L’objectif est de pouvoir restaurer rapidement l’activité en cas d’incident (cyberattaque, sinistre, erreur humaine…). On parle souvent de la règle du 3-2-1 : 3 copies de vos données, sur 2 supports différents, dont 1 stockée hors ligne.

Exemples concrets : Une PME victime d’un incendie voit son local serveur détruit – avec des sauvegardes externes, elle relance ses services en quelques jours sur du nouveau matériel. Sans sauvegardes, elle perd clientèles, historiques, et peut mettre la clé sous la porte. De même, une attaque ransomware chiffre vos fichiers : si vous avez des backups sains et isolés, vous pouvez restaurer sans payer de rançon. D’ailleurs, 97 % des organisations ayant subi un ransomware parviennent à récupérer leurs données, le plus souvent grâce à des sauvegardes (70 % des cas) – les autres ont dû payer, sans garantie, pour espérer un déchiffrement. Autant dire qu’une bonne politique de sauvegarde peut vous sauver littéralement la mise (à jour 😉).

Recommandations simples :

  • Plan de sauvegarde formalisé : Décidez quoi sauvegarder (données clients, bases, configurations systèmes…), à quelle fréquence, et comment. Documentez ce plan et responsabilisez un data owner.
  • Stockage hors-ligne : Conservez au moins une copie de secours hors du réseau principal (sur un support externe stocké ailleurs, ou dans le cloud sécurisé). En cas de ransomware, une sauvegarde sur un disque déconnecté échappera au chiffrement.
  • Testez la restauration : Une sauvegarde inutilisable, c’est comme pas de sauvegarde du tout. Programmez des tests de restauration réguliers (par ex. restaurer un fichier effacé par erreur, ou remonter une VM à partir du backup) pour valider que le processus fonctionne.
  • Sauvegardes automatiques : Privilégiez des solutions automatisées pour éviter de compter sur la mémoire humaine (parfois défaillante). Un bon système de backup envoie des alertes en cas d’échec afin que l’équipe IT réagisse vite.

5- Ne mordez pas à l’hameçon : gare au phishing !

Les pirates adorent s’attaquer à “l’élément humain”. Social engineering, mails piégés, faux SMS… Hameçonnage (phishing) et arnaques en tout genre cherchent à tromper votre vigilance. Et ça marche : le facteur humain est impliqué dans 74 % des compromissions selon le rapport Verizon 2023. En 2023, l’hameçonnage reste d’ailleurs la menace n°1 tous publics confondus – la plateforme Cybermalveillance.gouv.fr a enregistré 1,5 million de consultations de contenus liés aux arnaques de phishing. Autant dire que nous sommes tous visés, du PDG à l’employé débutant.

En quoi cela consiste : faire preuve de vigilance face aux messages et sollicitations inattendues. Un email qui urge de cliquer sur un lien, un SMS qui vous annonce un colis bloqué et réclame un paiement, un appel d’un “technicien” demandant vos identifiants… Il s’agit probablement d’une tentative d’hameçonnage. La bonne pratique, c’est de toujours prendre un temps de recul et de vérifier avant d’agir.

Exemples concrets : Qui n’a jamais reçu un mail soi-disant de Microsoft l’invitant à « revalider son mot de passe immédiatement » sous peine de fermeture du compte ? Ou un courriel du “DG” en déplacement qui réclame en urgence l’achat de cartes-cadeaux pour un client VIP ? Ce sont des pièges courants. Dans le doute, il vaut mieux ne pas cliquer et contacter directement l’expéditeur par un autre canal. On se souvient aussi du piratage de Twitter en 2020, rendu possible parce que des attaquants ont convaincu des employés de révéler leurs accès administrateur. La leçon : même la meilleure infrastructure peut tomber si un collaborateur se fait duper.

Recommandations simples :

  • Sensibilisation continue : Formez régulièrement vos équipes aux dernières arnaques. Des exercices de phishing simulé peuvent aider à entraîner les bons réflexes (sans stigmatiser, bien sûr, le but est pédagogique).
  • Vérifications multiples : Instaurez la règle de la vérification hors bande. Un fournisseur vous envoie un RIB modifié ? Appelez-le via le numéro officiel pour confirmer. Un dirigeant demande une action inhabituelle par email ? Vérifiez par un SMS ou un coup de fil.
  • Signals d’alerte : Apprenez à repérer les signes d’une attaque : fautes d’orthographe dans un mail soi-disant officiel, adresse expéditeur louche, ton trop urgent/alarmiste, pièces jointes suspectes… Aucun vrai banquier ne vous demandera vos codes par mail !
  • Politique de signalement : Encouragez une culture où l’employé qui suspecte un phishing alerte sans crainte l’IT ou son manager. Mieux vaut un faux positif que laisser passer une arnaque. Réagissez rapidement en cas de signalement pour bloquer l’expéditeur ou diffuser l’information aux collègues.

6-bonus - N’attrapez pas de virus (et méfiez-vous du Wi-Fi public)

Ordinateurs, smartphones, objets connectés… Nos équipements sont les vecteurs de nos données, et à ce titre des cibles de choix pour les attaquants. Un poste de travail non protégé, c’est une porte grande ouverte aux malwares (virus, rançongiciels, espions, etc.). De même, une connexion Wi-Fi non sécurisée peut exposer vos communications en clair aux oreilles indiscrètes.

En quoi cela consiste : protéger à la fois vos appareils et vos connexions. Côté appareils, cela signifie installer un antivirus/antimalware à jour, un pare-feu actif, chiffrer les disques sensibles et verrouiller vos sessions. Côté réseau, il s’agit d’être prudent sur les réseaux non fiables (publics) et de recourir à un VPN chiffré ou à la 4G/5G lorsqu’on traite des données sensibles en déplacement. En somme, ne pas laisser traîner vos données sans protection, que ce soit sur la machine ou en transit.

Exemples concrets : Chaque jour, plus de 300 000 nouveaux programmes malveillants sont identifiés dans le monde – un antivirus à jour est indispensable pour détecter les plus courants avant qu’ils ne fassent des dégâts. Sans solution de sécurité, il suffit d’une clé USB infectée ou d’un fichier piégé ouvert par inadvertance pour contaminer un poste et, potentiellement, tout le réseau de l’entreprise. Concernant le Wi-Fi : se connecter au premier hotspot gratuit venu (ex: “CoffeeShop_WiFi”) peut permettre à un individu malintentionné d’espionner votre trafic. Par exemple, un attaquant positionné sur un Wi-Fi public non chiffré peut intercepter les mots de passe ou données que vous envoyez sans même que vous vous en rendiez compte (attaque de type « homme du milieu »). C’est un peu comme discuter de secrets d’affaires à voix haute au milieu d’un open space rempli d’inconnus… risqué.

Recommandations simples :

  • Antivirus & anti-malware : Équipez tous les postes (PC et mobiles) d’une solution de sécurité réputée, et maintenez-la à jour. Paramétrez des analyses régulières. Un antivirus n’est pas infaillible, mais il arrêtera les menaces connues et signalera les comportements suspects.
  • Pare-feu actif : Le pare-feu Windows ou macOS par défaut, ou mieux un pare-feu réseau d’entreprise, doit être actif pour filtrer les connexions entrantes non autorisées. Segmenter le réseau par niveaux de sensibilité peut limiter la propagation en cas d’infection (ex: le PC d’accueil n’a pas besoin d’accéder aux serveurs financiers).
  • Prudence sur les Wi-Fi publics : Évitez dans la mesure du possible les réseaux Wi-Fi publics ou inconnus. Préférez le partage de connexion mobile ou l’usage d’un VPN d’entreprise pour chiffrer vos communications. Si vous n’avez pas le choix (hôtel, client, etc.), abstenez-vous de faire des opérations sensibles (banque, accès serveurs) sur un Wi-Fi ouvert.
  • Sécurisez physiquement les appareils : Un laptop non verrouillé, c’est une invitation. Verrouillez votre session dès que vous vous absentez. Chiffrez les disques durs des ordinateurs portables : en cas de vol, vos données ne seront pas lisibles sans le mot de passe. Pensez aussi à une politique de BYOD (appareils personnels au travail) claire, pour que les smartphones/tablettes utilisés pour le boulot respectent un minimum de critères de sécurité (code PIN, chiffrement, MAJ…).

Conclusion

la cybersécurité en entreprise n’est pas qu’une affaire de techniciens ou de spécialistes : c’est l’affaire de tous au quotidien. Ces cinq bonnes pratiques – du choix des mots de passe à la méfiance vis-à-vis des e-mails douteux – forment un socle de protection essentiel. Aucune mesure n’offre du 100 % garanti, mais combinées entre elles, elles réduisent drastiquement les risques : on parle de cyber-hygiène. Et rassurez-vous, nul besoin d’être paranoïaque : il s’agit surtout de bon sens et de discipline. Mieux vaut prévenir que guérir (surtout quand guérir peut coûter des millions d’euros ou la survie de l’entreprise). Managers, opérationnels, DSI – à vous de jouer, dans la bonne humeur et avec vigilance, pour faire de la cybersécurité une seconde nature (et éviter les sueurs froides du vendredi soir) !

A propos de l'auteur
Edouard Schlumberger

Co-fondateur de Leto, Edouard a rencontré les problématiques de mise en oeuvre de la protection des données personnelles durant ses différentes aventures entrepreneuriales précédentes.

Cela pourrait vous intéresser

RGPD : Les enjeux de la pseudonymisation des données
30/3/2023
Vidéosurveillance : 10 questions-réponses pour être en conformité avec le RGPD
13/8/2021
Cookies RGPD : comment s'assurer d'être en conformité ?
21/5/2021
Consentement RGPD : comment créer un formulaire conforme
23/8/2024

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité RGPD et on vous donne plein d'infos pertinentes et utiles!

Cliquez ici pour consulter notre politique de confidentialité.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?
Produits
Logiciel RGPDSensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataApplication mobile veille RGPD
Leto
Nous rejoindreContactA proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2025