Etiquetteprotéger des documents

Comment protéger votre système informatique contre les pirates ?

C

Votre présence sur Internet présente un levier important dans le développement de votre entreprise. Cela vous offre l’opportunité de faciliter certaines tâches et de rendre la communication plus fluide. Toutefois, il est crucial de savoir les points faibles auxquels vous devez être extrêmement attentif dans votre système informatique pour éviter les risques principaux du piratage :

  1. L’humain ;
  2. L’email ;
  3. Votre CMS.

Le premier point faible qui menace votre sécurité sur Internet, c’est l’humain.

Protégez vos informations personnelles

La défaillance la plus fréquente qui nuit à la sécurité de votre système informatique, c’est la mauvaise gestion. Certains entrepreneurs adoptent de mauvaises habitudes qui influencent négativement la sécurité d’un système informatique. 

Un autre point qui a un impact direct sur la sécurité de votre système, c’est le fait de fournir des informations publiquement accessibles aux internautes. Les pirates peuvent alors exploiter ces informations pour répondre à certaines questions. Notamment, les questions posées par une session de boîte mail afin de générer un nouveau mot de passe. Quand vous créez un compte sur Yahoo par exemple, vous êtes invité à répondre à certaines questions : Dans quelle rue avez-vous habité quand vous étiez enfant ? Quel est le prénom de votre arrière-grand-mère maternelle ? Quel est le nom de votre premier animal domestique ?    

Si vous partagez ces informations sur votre profil Facebook par exemple publiquement, un pirate qui connaît votre adresse email, pourra déclencher une récupération du mot de passe. Yahoo, en tant que site légitime, peut lui poser les questions secrètes. Si les réponses sont facilement accessibles par le pirate il pourra avoir accès à votre email et tous les services qui dépendent de votre compte.

Pour cette raison, il est primordial de bien sélectionner les informations visibles par les internautes ainsi que les questions que vous choisissez pour la récupération de votre mot de passe. Une boîte mail (Gmail, Yahoo, Hotmail…), est un point qui permet aux pirates d’accéder à votre système informatique et d’avoir accès à vos données. Il est indispensable d’étudier les informations partagées sur vos réseaux sociaux afin de protéger votre système informatique.

Faites attention aux employés et aux ex-employés

De la même façon, vos employés et vos ex-employés présentent un point critique et menacent votre confidentialité. En optant pour de mauvaises habitudes informatiques, vos employés peuvent nuire à votre sécurité.

Il est important de savoir que vos ex-employés, notamment si votre séparation n’a pas eu lieu d’une façon fluide, peuvent aussi représenter une menace. Un ex-employé en colère peut pratiquer le mauvais geste qui peut aller jusqu’au piratage. Cela vous causera des dégâts importants.

Aux États-Unis, en 2011, un ex-employé d’une régie des transports est partie en récupérant tous les mots de passe de tous les routeurs de régie. Par conséquent, les usagers ont été privés de l’utilisation des moyens de transport pendant cette période. L’ex-employé avait encore l’accès au système même après avoir quitté l’entreprise.

Les remèdes possibles

Il est possible de remédier à ce genre de problèmes par la formation spécifique de certaines procédures. Mais il est indispensable de faire toujours attention à ces gens auxquels vous confiez des informations confidentielles. Il est probable que ces personnes, pour une raison ou une autre, prennent une position contre vous.

Je partage avec vous un autre exemple qui est arrivé à un de mes clients en Amérique du Sud. Un ex-employé, qui était référent des anciens clients a conservé l’accès à la liste de clients. Dans une situation pareille, vous n’êtes pas face à un piratage informatique de haut niveau. Mais, si votre ex-employé est la seule personne qui reçoit les mails du service après vente par exemple, vous faites face à un risque considérable de piratage.L’élément humain joue un rôle important dans la sécurité de votre système informatique. Pour cette raison, pensez à bien former votre équipe et à partager avec eux les bonnes pratiques.

La meilleure réaction à avoir en cas de piratage

L

En cas de piratage, c’est toujours un moment où on ressent un peu de panique. Les actions qui sont entreprises ne sont pas forcément les meilleures.

Voici la liste des actions à effectuer qui vous permettront de :

  • revenir sur vos pieds en cas de piratage,
  • préparer votre réponse judiciaire,
  • revenir le plus rapidement possible sur votre entreprise pour générer à nouveau du chiffre d’affaires,
  • et ne plus être la cible de ce genre d’attaque.

Premièrement, il faut établir un constat d’huissier car le piratage reste un délit.

Selon la nature et l’impact du piratage, si les données ont été modifiées, supprimées ou volées, votre réponse ne sera pas la même.

Dans le doute, il faut vous protéger en établissant un constat d’huissier. À l’heure actuelle, ils savent faire ce type de procédure et sauront vous assister rapidement et récupérer les informations qui leurs sont nécessaires. Il est très important pour vous de ne pas effacer les preuves.

Mettez de suite l’hébergement hors-ligne tout en le conservant et n’essayez pas de revenir à zéro avec le même hébergement car vous risquez de perdre des éléments qui seront très précieux pour la suite du traitement de ce piratage.

Avec le constat d’huissier, il ne s’agit pas d’expertiser l’intrusion mais bien de constater qu’il y a eu un dommage : le site n’est plus accessible et un message du pirate s’affiche. Si vous voulez vous retourner contre le pirate après l’avoir identifié, vous aurez la preuve que le site était en panne : le constat d’huissier sera important mais ne servira pas à expertiser du côté technique ce qu’il s’est passé.

Une fois que vous vous êtes fait pirater, il ne faut surtout pas faire confiance au serveur et à l’hébergement. Si vous avez plusieurs sites sur le même serveur et le même hébergement et qu’un de vos sites a été piraté, vous pouvez considérer qu’ils sont tous piratés. Il faut tous les retirer de votre environnement de travail et mettre l’hébergement entier hors-ligne.

Évidemment, vous devrez remettre le site en ligne pour vos prospects et vos clients. Il faudra tout réinstaller sur un autre hébergement et changer tous les mots de passe actifs.

L’idéal est de prendre deux hébergements différents et d’installer vos sites sur un hébergement à la fois. Votre catalogue de sites doit être partagé sur les deux hébergements.

Dans le cas où un hébergement se fait pirater : il suffira de réinstaller le site sur l’hébergement numéro deux et vous ne perdrez pas de temps à recommander un hébergement, à attendre qu’il soit disponible et à le sécuriser. Vous aurez juste à remettre le site sur l’hébergement. Les hébergements et les serveurs sont des éléments qui sont automatisables.

Une autre astuce consiste à créer un script qui fait des sauvegardes de données d’un hébergement vers le second hébergement. Au niveau de votre interface de contrôle de l’hébergement vous pouvez activer le site uniquement sur un hébergement à la fois. Cela permet de revenir rapidement en ligne et d’être opérationnel.

Il faut faire attention à ne pas juste remettre le même site en ligne avec la même vulnérabilité pour éviter d’être à nouveau piraté sur le deuxième hébergement.

Par défaut, il va falloir :

  • faire le constat d’huissier,
  • mettre hors-ligne tout ce qui a été piraté,
  • réfléchir à la façon par laquelle votre site a été piraté : si c’est une intrusion d’un pirate il faudra la trouver et la réparer, si vous ne savez pas, il faudra limiter votre risque de reprise.
  • réinstaller tout sur un autre hébergement qui sera différent et isolé de tout le reste et voir comment le site se comporte : si le site se fait de nouveau pirater cela signifie que vous avez une faille qui n’est pas corrigée et sur laquelle il faudra travailler avec une expérience sécurité ou en installant toutes les briques informatiques de zéro.
  • réinstaller un nouveau WordPress avec aucun plugin, en mettant seulement la base de votre site et regarder si cela fonctionne.
  • prendre le temps d’ajouter un service après l’autre pour éviter de remettre un service qui est vulnérable et vous faire pirater à nouveau. 

Il vaut mieux reconstruire votre site en téléchargeant les outils sur une version propre plutôt que de copier-coller vos articles. Si le pirate a laissé une porte ouverte en arrière-boutique dans l’interface d’administration, il pourra en quelques clics faire ce qu’il veut. Tant que vous n’avez pas supprimé le fichier infecté il peut encore avoir la main.

Le point suivant est de contacter votre avocat.

Votre avocat va vous indiquer ce qu’il faudra mettre en œuvre pour le traitement de ce piratage.

S’il s’agit juste d’un pirate qui est entré sur votre blog et a effacé tous vos articles, l’impact est beaucoup moins fort que si ce même pirate est entré dans vos moyens de paiement pour voler toutes les cartes bleues de vos clients. Ce n’est pas le même préjudice pour vous et vos clients.

Généralement, beaucoup de chefs d’entreprise qui démarrent n’ont pas d’avocat. Le piratage est le moment où ils se rendent compte qu’ils doivent se dépêcher d’en trouver un. Du coup, ce choix se fait en catastrophe et c’est dommage.

Nous vous recommandons de réfléchir dès à présent à partir en quête de la perle rare qui saura vous aider au moment où vous aurez besoin de lui. C’est comme les comptables et les assurances : il faut les mettre en place dès le début même si on sait que l’on n’en aura pas forcément besoin dans l’immédiat. 

Il est intéressant de savoir que les meilleurs avocats sont en général ceux qui n’hésitent pas  à vous donner des conseils quand vous leur téléphonez, car ils essaient ensuite de vous vendre la consultation. Vous pouvez obtenir d’excellents conseils de plusieurs avocats sans avoir besoin de payer une prestation.

Le but de l’avocat est de se dire que si vous souhaitez poursuivre le pirate, que vous le choisirez car il vous a aidé et vous a expliqué quels sont les risques, ce que vous devriez faire… Il ne vous a pas donné le courrier à envoyer au pirate mais il vous a conseillé de le faire.

C’est le même principe d’un Lancement Orchestré quand on donne des conseils à un prospect avant de vendre un produit.

Les bons avocats fonctionnent de la même façon : il ne faut pas avoir peur de passer des appels téléphoniques pour demander conseil car un bon avocat vous donnera du conseil avant de vous envoyer un devis ou une facture.

Vous pouvez prendre un avocat dès maintenant et parler avec lui et le prendre en tant que conseiller pour votre entreprise, cela ne vous coûtera rien si vous n’avez pas encore eu besoin de ses services.

Au moment où le préjudice aura lieu, vous verrez ensemble la réponse et réaction à avoir. L’avocat va être important car vous avez une obligation légale de communiquer avec vos clients en cas de piratage.

Comme toute obligation légale, il y a aussi un risque pour vous au niveau des amendes et des peines de prison. Vous pouvez trouver sur Internet les textes de loi qui récapitulent les dispositions à mettre en œuvre en cas de piratage. Si vous ne communiquez pas ou de la mauvaise façon avec vos clients après un piratage vous risquez 5 ans de prison et 300 000 euros d’amende. Ce qui est beaucoup plus élevé que ce que vous auriez réglé en honoraires d’avocat en terme de conseil.

C’est votre responsabilité légale en tant qu’entreprise, personne morale, et en tant que gérant et entrepreneur, d’engager sur ce que réalise votre société et comment elle réagit en cas de piratage. Beaucoup de chefs d’entreprise l’ignorent et se mettent dans des problèmes potentiels en cachant le piratage pour éviter des problèmes de réputation ou de perte de renommée de la marque.

Il y a cinq choses que devez indiquer dans votre communication avec vos clients dans la situation de crise, après un piratage :

  • Vous informez les personnes de ce qui s’est passé de la façon la plus factuelle, sans attaquer ou critiquer les responsables ou les suspects,
  • Exprimez ce que cela vous a fait ressentir de façon très simple pour que le client puisse se reconnaître en vous et se mettre à votre place : il se sentira indigné autant que vous avez pu l’être. Ne pas exagérer, expliquez à quel point vous êtes embêté pour l’expérience négative qu’ont pu vivre vos clients,
  • Indiquez exactement ce que vous allez faire pour réagir et ce que vous faites en réponse à cette situation. Précisez ce que vous allez mettre en place pour éviter que cela se reproduise à l’avenir,
  • Laissez une information Contact pour permettre à vos clients de vous poser des questions à ce sujet,
  • Pour terminer cette communication qui peut être un email ou un article, vous remerciez vos clients pour leur soutien. Laissez un message d’appréciation pour ce qu’ils font pour vous en vous soutenant et à quel point vous êtes ravi de pouvoir continuer de les aider à l’avenir.

Ces cinq éléments vous donnent une structure que vous pouvez utiliser pour cette communication avec vos clients. Elle vous permet de vous couvrir au niveau de cette obligation légale. Ne pas jouer le jeu du pirate en rentrant dans un débat à son sujet.

La communication passe en restant très simple et courte et les personnes peuvent continuer leurs occupations après avoir lu votre message.

La réponse immédiate à un piratage n’est pas compliquée mais il faut faire les choses dans l’ordre : d’abord vous devez établir le constat d’huissier pour se prémunir contre l’interprétation de ce piratage et bien amener la preuve que vous avez subi ce préjudice. Ensuite, remettez vos services informatiques en marche et dans le bon ordre. Prenez votre temps pour éviter de compromettre d’autres services quand vous réinstallez votre site. Contactez votre avocat qui saura vous assister dans la réponse judiciaire à faire pour votre piratage. Enfin, communiquez avec vos clients en prenant en compte les conseils de votre avocat.Pour aller plus loin, lisez également : Apprenez à vous protéger contre les piratages

Chef d’entreprise : Comment sécuriser vos données et votre ordinateur quand vous voyagez

C

En tant qu’entrepreneur, la sécurité de vos données n’a pas de prix !

Un entrepreneur qui voyage est forcément un professionnel qui transporte des données confidentielles qu’il convient de protéger. Bien qu’étant à l’étranger vous devez avoir accès à vos fichiers clients, aux comptes de la société et à un nombre incalculable de fichiers qui pourraient vous causer du tort si ils venaient à être piratés. Des moyens existent pour sauvegarder et protéger au maximum l’ensemble de ces données. Voici donc une liste de solutions pour mettre à l’abri l’ensemble des fichiers auxquels vous tenez ! (suite…)

Sujets abordés dans cet article :

lemarketeurfrancais com

À propos de Sébastien

(Le Marketeur Francais : Biographie)Sébastien, surnommé "Le Marketeur Français", est consultant en stratégie marketing, spécialisé dans la croissance explosive des petites entreprises.

/* ]]> */