3 Erreurs de sécurité de base que de nombreuses PME font encore

Au cours de la dernière décennie, le nombre de programmes malveillants connus est passé de 65 millions à 1,1 milliard. Les moyens par lesquels les cybercriminels déploient les logiciels malveillants ont également augmenté en nombre et en sophistication.

Bien que des technologies de sécurité avancées soient disponibles pour se défendre contre ces cybermenaces, beaucoup peuvent être contrecarrées par des pratiques de sécurité de base. Cependant, les recherches montrent que de nombreuses petites et moyennes entreprises (PME) continuent de commettre des erreurs fondamentales lorsqu’il s’agit de sécuriser leurs organisations. En voici trois:

1. Croire que cela ne leur arrivera pas

De nombreux propriétaires de PME ont un faux sentiment de sécurité lorsqu’il s’agit de cyberattaques. Près de 60% d’entre eux estiment que leur entreprise ne sera pas la cible de cybercriminels. Ils pensent souvent que leur entreprise est trop petite pour intéresser les cybercriminels. Cet état d’esprit «cela ne m’arrivera pas» peut causer de gros problèmes aux petites entreprises.

Bien que les grandes entreprises aient généralement plus d’argent et plus de données à voler, elles disposent également de plus de solutions de sécurité et d’administrateurs informatiques internes pour protéger ces actifs. La plupart des PME n’ont même pas d’administrateur informatique parmi leur personnel. 65% des PME gèrent leurs efforts de cybersécurité en interne, mais moins de 10% ont un membre du personnel informatique dédié. En conséquence, ce sont généralement des cibles faciles. De plus, il y a beaucoup plus de PME à attaquer que de grandes entreprises.

Plutôt que de passer beaucoup de temps et d’efforts à s’attaquer aux gros poissons, les pirates ciblent souvent les plus petits et plus faciles à atteindre, car ils sont abondants et plus faciles d’accès. Comme preuve, tout ce que les PME ont à faire est de se tourner vers le passé. En 2019, 76% des PME aux États-Unis ont déclaré avoir été attaquées, selon le rapport «2019 Global State of Cybersecurity in Small and Medium-Sized Businesses» du Ponemon Institute.

2. Avoir de mauvaises habitudes de mot de passe

Chaque année, des chercheurs analysent des millions de mots de passe qui ont été exposés à la suite de violations de données et de fuites afin de montrer aux gens les types de mots de passe à ne pas utiliser – et chaque année, des mots de passe faibles comme «123456», «mot de passe» et «qwerty» continuent à être au haut de la liste. Il ne faudrait qu’une seconde à un cybercriminel pour déchiffrer chacun de ces mots de passe à l’aide d’un outil de craquage de mot de passe par force brute, c’est pourquoi l’utilisation de mots de passe faibles est si risquée.

La réutilisation des mots de passe est également dangereuse. Les pirates informatiques savent que les gens réutilisent fréquemment les mots de passe, ils essaient donc des mots de passe compromis sur plusieurs comptes en utilisant le bourrage d’informations d’identification et d’autres types d’attaques. Malgré ce danger, plus de 99% des personnes réutilisent leurs mots de passe, que ce soit sur des comptes professionnels ou entre des comptes professionnels et personnels. En moyenne, chaque mot de passe est partagé entre 2,7 comptes.

Bien qu’il soit mauvais d’avoir des mots de passe faciles à déchiffrer pour les comptes d’utilisateurs, une situation bien pire est d’avoir des informations d’identification de compte de service faciles à pirater. Les cybercriminels aiment pirater les comptes de service, car ils peuvent facilement élever les privilèges des comptes et accéder à des données sensibles. Pour leur plus grand plaisir, les pirates informatiques constatent souvent que les entreprises n’ont pas changé les mots de passe par défaut de leurs comptes de service. Alors que quelques fournisseurs conçoivent leur logiciel ou matériel pour créer un mot de passe par défaut unique lorsqu’il est installé par un client, la plupart des fournisseurs utilisent simplement le même mot de passe par défaut (par exemple, «admin», «mot de passe», «invité») pour chaque installation. Bien que les fournisseurs recommandent généralement aux clients de modifier le mot de passe par défaut avant d’utiliser le logiciel ou le matériel dans les opérations commerciales, de nombreuses PME ne le font pas. Cela permet aux cybercriminels de pirater facilement ces comptes de service, car les mots de passe par défaut utilisés par les fournisseurs sont faciles à trouver sur Internet.

De plus, la modification du mot de passe d’un compte de service n’est pas un événement ponctuel. Il doit être changé périodiquement. Cependant, même certains professionnels de la sécurité ne le font pas. Si les professionnels ne changent pas régulièrement les mots de passe de leur compte de service, il y a de fortes chances que la plupart des PME non plus.

3. Ne pas sécuriser correctement les appareils mobiles

En 2019, plus de 60% des employés des PME utilisaient des smartphones pour leur travail, selon une enquête IDC. Ce pourcentage est maintenant probablement plus élevé en raison du plus grand nombre d’employés travaillant à domicile en raison de la pandémie de maladie à coronavirus 2019 (COVID-19).

L’utilisation de smartphones et d’autres appareils mobiles est populaire dans les PME pour une bonne raison. Grâce aux appareils mobiles, les employés peuvent accéder à tout moment aux applications et aux systèmes d’entreprise depuis presque n’importe où, ce qui est essentiel à leur productivité et à la rentabilité des PME. Grâce aux technologies mobiles et cloud, les PME sont mieux à même de concurrencer les grandes entreprises.

Cependant, les technologies mobiles qui aident les PME à devenir plus compétitives pourraient également leur nuire. Les appareils mobiles sont souvent la cible du phishing, des ransomwares et d’autres types d’attaques. Les PME qui ont participé à une étude Verizon ont déclaré qu’elles étaient conscientes de ces menaces, 81% indiquant que le risque pour leur entreprise était de modéré à important. Pourtant, bon nombre de ces PME n’implémentent pas de mesures de sécurité de base telles que la modification de tous les mots de passe par défaut (effectués par seulement 41% des PME) et la restriction de l’accès aux données de l’entreprise sur la base du «besoin d’en connaître» (uniquement 50% PME). Tout aussi gênant est que 66% des participants à l’étude ont déclaré avoir personnellement utilisé le Wi-Fi public pour des tâches professionnelles, même si 25% ont déclaré que cela était explicitement interdit par la politique de l’entreprise.

Compte tenu du laxisme de la sécurité, il n’est pas surprenant que plus d’un quart des PME aient admis avoir subi un compromis de sécurité impliquant un appareil mobile en 2019. Et si elles ne prennent pas de mesures pour mieux sécuriser leurs appareils mobiles, elles pourraient nuire considérablement à leur réputation et à leurs résultats financier.

MicroAge peut vous aider à éviter ces erreurs. Contactez-nous pour savoir comment.