Prestataires informatiques et cybersécurité

La numérisation offre de nombreuses opportunités aux petites et moyennes entreprises (PME), mais elle apporte également de nouveaux risques. Un aspect particulièrement important est la sécurité des systèmes informatiques. En Suisse, beaucoup de PME ne gèrent pas elles-mêmes leur informatique, mais ont recours à des prestataires externes. Mais à quel point vos données et vos systèmes sont-ils réellement sécurisés? Et comment pouvez-vous, en tant que gérante ou gérant, vous assurer que vous et votre entreprise êtes bien protégés, sans forcement être un professionnel de la technique? 

Les cinq questions suivantes vous aideront à dialoguer avec votre prestataire informatique et à poser les bonnes bases pour la sécurité de votre entreprise.

Les sauvegardes sont comme une assurance vie pour vos données. Elles devraient être créées régulièrement et de manière fiable, et pas seulement pour les ordinateurs individuels, mais pour tous les systèmes et domaines avec des données importantes. Faites-vous expliquer à quelle fréquence les sauvegardes sont effectuées, si tous les appareils concernés sont couverts et dans quel délai une récupération est possible en cas d’urgence.

Demandez également comment les sauvegardes elles-mêmes sont protégées, afin qu’elles ne puissent pas être également supprimées ou cryptées en cas d’attaque. Les sauvegardes qui sont stockées en dehors du réseau de l’entreprise ou qui sont même complètement séparées du réseau sont particulièrement sûres. 

Une erreur fréquente consiste à ne pas séparer les réseaux des clients. Si votre prestataire s’occupe de plusieurs clients, ces environnements doivent être isolés les uns des autres. Cela permet d’éviter qu’une attaque contre un client ne se propage à d’autres entreprises. Le réseau du prestataire lui-même doit également être strictement séparé des réseaux de ses clients. Demandez concrètement comment cette séparation est mise en œuvre. C’est la seule façon d’être sûr qu’une attaque contre le prestataire n’affectera pas automatiquement votre entreprise. 

L’accès à distance au réseau de votre entreprise ou à vos données est pratique, mais c’est aussi une cible de choix pour les pirates. L’authentification multifactorielle est une protection particulièrement efficace, car personne ne peut accéder à vos systèmes en utilisant uniquement un mot de passe provenant d’Internet. Une étape supplémentaire, par exemple un code sur le téléphone portable ou une application spéciale, devrait toujours être indispensable. Demandez à votre prestataire si et comment cette protection supplémentaire est mise en œuvre chez vous et chez lui. Déterminez également si tous les collaborateurs et collaboratrices qui accèdent à votre réseau à distance doivent utiliser cette protection. 

Même avec les meilleures mesures de précaution, il peut arriver qu’une attaque réussisse. La rapidité avec laquelle celle-ci est identifiée et la rapidité de réaction sont alors déterminantes. Demandez à votre prestataire si vos systèmes sont surveillés, afin que toute activité suspecte soit détectée à temps. Clarifiez s’il existe une équipe dédiée qui peut intervenir rapidement en cas d’urgence, idéalement 24 heures sur 24. Renseignez-vous sur l’existence d’un plan d’urgence et demandez-vous s’il a déjà été testé. Et aussi: En cas d’attaque, votre prestataire peut-il vous aider rapidement à restaurer vos systèmes ou faut-il un partenaire externe pour cela? 

Voici les cinq questions les plus importantes pour bien protéger votre entreprise. Mais il existe de nombreux autres aspects de sécurité qui n’ont pas été traités en détail ici. Ceux-ci sont largement documentés dans des normes reconnues, par exemple dans la norme minimale suisse en matière de TIC de l’Office fédéral de la cybersécurité ou dans la protection de base des TI de l’Office fédéral pour la sécurité de l’information (BSI) en Allemagne. En principe, il est conseillé de choisir un prestataire informatique qui est régulièrement soumis à un audit externe et possède une certification de sécurité reconnue. Vous vous assurez ainsi que les mesures de protection de base sont effectivement mises en œuvre. Le CyberSeal suisse ainsi que des normes internationales comme ISO 27001 ou le référentiel de sécurité SOC 2 sont des exemples de telles certifications cyber. 

Même si la sécurité informatique semble complexe au premier abord, vous vous rapprocherez du sujet en posant les bonnes questions. Vous n’avez pas besoin d’être un professionnel de la technique pour protéger efficacement votre entreprise. Cherchez le dialogue avec votre prestataire informatique, faites-vous expliquer clairement les choses et insistez pour avoir des accords clairs. Vous créez ainsi les bases d’un avenir sûr et prospère pour votre entreprise.