Le grimoire du magicien
Dresse ta chouette et évite le spamTu pensais sécuriser ton entreprise en une demi-journée à regarder des présentations dans une salle de conférence climatisée d’un hôtel du centre- ville ? Je vais te dire de quoi: la grande majorité des formations de cybersécurité offertes sur le marché ne servent à rien.
-
Qui va vérifier les mêmes 8 éléments à chaque courriel reçu, quand on en reçoit des centaines ?
-
Qui va aller vérifier la propriété du domaine avant de cliquer sur un lien.
-
Qui va contre-valider la source de tous les documents reçus en pièce jointe ou partagés dans un dossier commun ?
-
Qui a le temps de jouer à Colombo à longueur de journée ?
🌘 Déculpabiliser les boss, ou mieux se protéger ?
Quelles sont les 15 étapes pour sécuriser son entreprise ?
Les 15 étapes couvrent : gestionnaire de mots de passe, double authentification, sauvegardes 3-2-1 avec plan de restauration, gestion des rôles et accès, registre des données clients, DNS sécurisé, mises à jour mensuelles, protections système activées, logiciels connus depuis sources officielles, chiffrement des données sensibles, principe du moindre privilège, comptes individuels, formats de fichiers ouverts et système de fichiers non propriétaire sur les stockages externes.
Ces formations servent à déculpabiliser les gestionnaires et donner bonne conscience, mais n’ont aucune valeur réelle en terme de protection.
C’est ce qu’on appelle la fatigue cybersécuritaire. Une forme de charge mentale additionnelle imposée aux employés qui finissent par contourner les pratiques qu’on veut leur imposer.
🌘 Outils et routines pour vraiment sécuriser ton entreprise
Ce qu’il faut, pour se protéger, c’est des bons outils et des bonnes routines.
Je te donne tout ce que tu as besoin de mettre en place pour sécuriser ton entreprise en 15 étapes. Solopreneur ou multinationale, les bases, c’est les mêmes. Les logiciels utilisés et les moyens pour y arriver vont changer, par contre.
Ces items n’ont pas vraiment d’ordre d’importance, mais ils sont interconnectés. Il faut penser à son affaire pour ne pas se peinturer dans le coin, en particulier avec la double authentification.
🌘 La liste
1. Adopte un gestionnaire de mots de passe, pour avoir des mots de passe uniques et difficiles à trouver.
2. Active la double authentification partout où c’est offert.
3. Fais des sauvegardes quotidiennes selon le modèle 3-2-1: automatiques, manuelles et hors-ligne.
4. Crée toi un plan de restauration des sauvegardes (il faut se pratiquer à le faire avant que la merde prenne).
5. Définis des rôles et des accès dans l’entreprise pour chacune des parties prenantes, et applique-le dans tous les logiciels que tu utilises, sans exception.
6. Garde un registre de toutes les données fournies par ta clientèle, y compris celles dans les sauvegardes qui peuvent être périmées.
7. Configure un service DNS fiable et indépendant des fournisseurs Internet.
8. Fais les mises à jour de tous tes logiciels au moins une fois par mois
9. Configure et garde actif les protections des systèmes d’exploitation : Windows Defender sur Windows, Apple XProtect sur macOS et SELinux/iptables/fail2ban sur Linux.
10. N’installe que des logiciels connus depuis les sources officielles ou des logiciels libres depuis les dépôts de distribution. Évalue et assume les risques dans toutes les autres situations.
11. Chiffre tout ce qui est sensible et qui est envoyé sur Internet ou dans le cloud.
12. Évite le plus possible de donner des accès administrateur lorsque ce n’est pas requis.
13. Ne partage jamais de compte utilisateur avec personne. Il y a habituellement un moyen d’éviter ça dans tous les logiciels, même si c’est un peu plus cher.
14. Utilise des formats de fichiers ouverts qui peuvent être lus par d’autres logiciels et systèmes.
15. Utilise un système de fichiers qui n’est pas propriétaire sur tous les stockages externes (exFAT peut être lu sur tous les appareils, par exemple, alors que le APFS est propriétaire à Apple).
Consultation - Plan de gestion de sauvegardes — 2 heures — 490 $