Les conseils de Ximi : la cybersécurité au sein de votre structure

28/04/2020

« La sécurité informatique est ­ une guerre où il faut une forteresse,­ une défense en profondeur, et où le facteur humain reste la faille n°1 » Maxime Legas, RSSI chez Ximi by Xelya

La digitalisation des structures d’aide à la personne s’accélère. Si cette digitalisation est devenue incontournable dans votre métier (organisation des plannings, télégestion mobile, suivi comptable…), mal maîtrisée, elle peut également être sources d’importantes vulnérabilités face à des cybercriminels déterminés (vol de données, intrusion et/ou blocage de vos systèmes, etc.). En cas d’attaques cybercriminelles, la sécurité ainsi que la réputation de votre structure peuvent être atteintes et ainsi causer, à terme, sa fermeture. Il est donc important de vous protéger avec des outils adaptés. Toutefois, il est primordial de garder en tête que le facteur humain est la faille n°1. En ce sens, il est donc vivement recommandé de sensibiliser vos utilisateurs aux bonnes pratiques et aux différents risques.

Quelles sont les menaces auxquelles votre structure peut faire face ?

Il existe de nombreux moyens pour les cybercriminels de pénétrer dans vos bases de données et ainsi attaquer votre structure. Il est donc important d’avoir les bons réflexes et de bien vous protéger. Pour vous sécuriser il est essentiel de connaitre les méthodes utilisées par ces criminels.

Selon une étude réalisée par le CESIN en 2018, les formes d’attaques les plus courantes en entreprise sont : 

1 Usurpation d’identité d’une personne ou d’un organisme de confiance pour vous extorquer des informations (coordonnées bancaires, mots de passe…)

2 Les criminels se font passer pour un dirigeant d’entreprise et visent souvent les assistantes de direction ou le personnel comptable pour qu’ils leur virent de l’argent.  

3 Logiciel malveillant

4 Logiciel cryptant vos données pour les rendre inaccessibles et ensuite vous demander une rançon.

5 Ces attaques se servent en général des comportements ou de la personnalité particulière des utilisateurs tels que la serviabilité, la confiance, le respect, la fierté, la reconnaissance, la fuite des conflits ou l’anxiété dans le but de s’emparer de leurs accès informatiques.

 

Quelles sont les bonnes pratiques à adopter en termes de sécurité pour votre structure d’aide à la personne ?

Mot de passe

  • Générer un mot de passe solide et différent pour chaque compte et session que vous créez !
  • Au moins 12 caractères et idéalement :Un nombre, Une majuscule, Un signe de ponctuation ou un caractère spécial (dollar, dièse, …), Une douzaine de lettres
  • Utiliser un gestionnaire de mots de passe (ex: lastpass, 1password, …)

Gestion des droits et des accès

  • Gérez les accès de vos documents avec la mise en place de pare-feu, droit d’accès, classifications…
  • Chaque employé doit avoir un compte nominatif, afin de pouvoir tracer les actions faites par un individu en cas d’incident.
  • La gestion des identités et des droits d’accès doit être centralisée pour limiter l’accès aux données et aux systèmes.

 

Sauvegarde Cloud, Plan de Reprise ou de Continuité d’activité

  • Veillez à faire des sauvegardes régulières de vos données sur le Cloud ou sur des supports externalisés et sécurisés.
  • Veillez à mettre en place un PRA (plan de reprise d’activité) et un PCA (plan de continuité d’activité) au sein de votre structure. En cas de piratage de données vous pourrez ainsi les récupérer.

 

 

Gestion des pièces jointes et des transferts de documents

  • N’ouvrez pas et ne téléchargez pas des documents dont vous ne connaissez pas le l’expéditeur ou qui vous paraissent suspects.
  • Faites attention aux services de transfert de documents non sécurisés tels que : WeTransfer, Dropbox, les convertisseurs PDF en Word… Ces services ont toujours une contrepartie et sont particulièrement vulnérables aux cyberattaques, étant accessibles à tous et gratuits.

Mises à jour régulières des systèmes (logiciel, antivirus, …)

  • Utilisez des logiciels mis à jour régulièrement et sécurisés pour garantir leur bon fonctionnement et une protection optimale.  

Sécuriser ses postes de travail

  • Les postes de travail doivent être verrouillés en cas d’inactivité.
  • Votre mot de passe doit être individuel et unique.

 

 

Adresse professionnelle et protection de la messagerie

  • Utilisez une adresse email professionnelle lorsque vous vous connectez à votre bureau pour plus de sécurité.
  • Installez un logiciel filtrant les emails suspects, spam…

 

 

 

Sécurité des périphériques amovibles ou des devices externes

  • Ne stockez pas vos informations sur des disques externes et clés USB non protégés. Assurez-vous de protéger vos données avec un mot de passe.
  • Stockez plutôt vos données sur des serveurs sécurisés en France et conformes RGPD pour une meilleure sécurité.

Comment réagir en cas d’attaques ?

Il est important d’adopter certains réflexes en cas de cyberattaque : 

Etape 1 :

  • Déconnecter immédiatement la machine infectée pour limiter la propagation du virus,
  • Préserver les traces liées à l’activité du compte,

Etape 2 :

  • Prévenir les responsables informatiques de votre organisation ou votre prestataire IT,
  • Prendre contact avec le centre opérationnel de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI),

Etape 3 :

  • Déposer plainte auprès de la brigade de gendarmerie ou du commissariat territorialement compétent. 
  • Ne payer en aucun cas la rançon demandée

 

Ximi vous protège au quotidien

Ximi accompagne les structures de services à la personne dans l’optimisation de leur gestion administrative (gestion de planning, gestion de fichiers, gestion de la partie paie, messagerie…) ainsi que dans leur transformation digitale.

Afin d’assurer encore plus la protection des données de nos clients, Ximi duplique les données en temps réel sur deux Data Centers situés en France dans une logique de PRA/PCA (Plan de reprise d’activité et Plan de continuité d’activité).

Ximi peut agir sur plusieurs aspects de votre sécurité : gérer vos serveurs, bloquer tous les messages indésirables et assurer la maintenance informatique de votre ordinateur à distance (antivirus, logiciels etc.) …

En tant que sous-traitant et co-responsable de la protection des données de nos clients, nous leur fournissons des outils pour améliorer la sécurité au sein de leur structure.

Dans ce sens, Xelya, société mère de Ximi a entamé une démarche de quadruple certification des normes ISO (ISO 20000, ISO 27001, ISO 27018 (RGPD)) et HDS (Hébergement des Données de Santé).

N’hésitez plus et contactez Ximi pour votre activité sécurisée !