L’année 2025 a dû vous convaincre : les pirates s’en prennent à tous types d’entreprises et de structures.
Ils osent même s’attaquer aux instances gouvernementales ou aux services centenaires tels que La Poste (et à l’épineux regain d'activité logistique engendré par les fêtes de fin d’années, qui plus est).
Comprenez bien ceci : plus votre conviction est faite de votre faible potentiel de danger, plus vulnérable vous devenez face à n’importe quelle tentative d’attaque. Je m’explique.
Si vous pensez votre potentiel d’intérêt à être hacké inexistant - parce que votre entreprise est de trop petite taille pour valoir le piratage, parce que vous jugez n'héberger aucune donnée digne d'être convoitée ou tout autre raison analogue - votre comportement et vos précautions seront vraisemblablement minimes.
C’est là tout le paradoxe.
En estimant a priori que la mise en place d’un plan de protection de vos données et actifs est laborieux, excessif ou coûteux, vous créez vous-même l’illusion de votre invulnérabilité.
L’illusion la plus efficace pour vous maintenir dans un état qui vous empêche d’agir et nourrit votre croyance.
Cependant, toutes les entreprises ayant subi des tentatives d’attaques, des piratages ou des fuites de données vous le confirmeront : le coût de la crise a posteriori est celui que vous devriez prendre le plus au sérieux.
Si la peur n’évite pas le danger, elle permet au moins de l’entrevoir pour s’y préparer.
C’est sur ce principe de précaution qu’est basée la discipline entière qu’est la cybersécurité.
Maintenant, voici une liste courte d'actions faciles ne requérant que peu ou pas d'effort à mettre en œuvre pour être mieux défendu.
Okay, les couplets sur le mot de passe deviennent fatigant mais si ils sont nombreux, c’est qu’il y a une raison.
Comment passe-t-on d’un mot de passe faible à un mot de passe fort ?
Pour poursuivre sur les failles liées aux utilisateurs, les comptes utilisateurs doivent représenter l’effectif en poste.
Un compte inutilisé mais non supprimé pourrait être la source d’un piratage. Comme personne ne se souvient qu’il existe, c’est une faiblesse dissimulée au sein de votre système.
Si personne dans l’équipe n’est capable de confirmer son utilisation récente, supprimez-le. Lorsqu’un besoin précis émergera, vous aurez tout le loisir d’en créer un nouveau.
Pour accomplir cette tâche, vous pouvez utiliser un outil chouette qui s’appelle MIA.
Je sais, c’est affreusement pratique.
Vous vous connectez à Gmail et l’affaire est réglée pour tous vos outils compatibles. Oui, le SSO est accommodant.
Malheureusement, un compte qui permet l’accès à tous vos espaces de travail ou à vos documents signifie aussi un seul projet de piratage à mener à terme pour vos potentiels attaquants.
La bonne nouvelle, c’est qu’en utilisant l’outil du point précédent vous pourrez précisément éviter d’employer le SSO pour tous vos SaaS professionnels.
Finalement, ce n’est pas si compliqué de renforcer ses actifs. Le tout, c’est de prendre des mesures petit à petit.
