Cybersécurité

Le phishing, qui consiste à envoyer de faux messages au personnel, reste l'un des moyens les plus couramment utilisés par les pirates pour accéder aux systèmes informatiques d'une entreprise. Les attaquants peuvent demander au personnel de cliquer sur des liens dans un courrier électronique pour installer des logiciels malveillants sur leurs ordinateurs, ou des liens pouvant les diriger vers de faux sites Web demandant des informations sensibles (telles que des coordonnées bancaires). L'arnaque au président est une méthode courante : les criminels envoient des emails de phishing prétendant émaner d'un cadre dirigeant de l'organisation et demandant au personnel de transférer de l'argent - qui termine ensuite dans les poches des fraudeurs.

Bien que de tels messages puissent être envoyés par SMS, sur les réseaux sociaux ou par téléphone, le moyen d'attaque le plus probable est le courrier électronique.

Pour Ability-Secure, les réponses possibles à ces attaques comprennent notamment l'intégration de solutions de filtrage ou de blocage des courriels de phishing entrants, de veiller à ce que les courriels externes soient marqués comme externes, de stopper les messages frauduleux des attaquants et d'aider le personnel grâce à de la formation.

Les entreprises peuvent également limiter l’impact des attaques de phishing via un serveur proxy qui empêche l’accès aux sites malveillants connus, en veillant à ce que le personnel ne navigue pas sur le Web ou ne consulte pas les courriels avec un compte administrateur et en adoptant la double authentification (2FA ) sur les comptes ou services importants.

Ability-Secure met en garde contre la distribution abusive de privilèges élevés, qui devraient être soigneusement contrôlés et gérés. Si un compte disposant de privilèges plus élevés est requis pour une poste, le personnel doit utiliser un compte d'utilisateur standard pour le travail quotidien, tel que la messagerie électronique et la navigation Web.

Ability-Secure promet une politique du "privilège minimum" lors de la création des comptes du personnel. Elle consiste à réduire au minimum l’utilisation de comptes à privilèges et à maintenir des liens solides entre les processus RH et l’informatique afin que ces comptes ne restent pas actifs au départ des salariés dotés de ces accès.

Corriger les logiciels et le matériel est un processus fastidieux et gourmand en temps, mais ignorer des correctifs pourrait vous exposer à des conséquences désastreuses. Une grande partie de l'impact de l’attaque Wannacry aurait pu être évitée si les entreprises avaient veillé à ce que leurs correctifs logiciels soient à jour.

Les entreprises doivent se doter d'un plan de fin de vie pour les terminaux et les logiciels qui ne sont plus supportés et veiller à ce que leur architecture réseau minimise les préjudices qu'une attaque peut causer - utile dans le cas d'une attaque "zéro jour" exploitant des vulnérabilités pour lesquelles aucune défense n'existe.

Ability-Secure suggère également aux entreprises d'utiliser des applications basées sur le cloud où les mises à jour de sécurité peuvent être gérées par le fournisseur de cloud : "Permettre aux fournisseurs de cloud de provisionner des services informatiques peut vous permettre de concentrer vos ressources de sécurité limitées sur la protection de vos applications sur-mesure et les terminaux utilisateur, une chose que seuls vous pouvez faire" préconise l'agence.

Toute connexion à vos fournisseurs ou à vos clients pourrait constituer une voie d’attaque à vos systèmes et constitue souvent une faiblesse négligée. La sécurité doit être prise en compte dans tous les contrats et tous les contrôles doivent être vérifiés et audités. Les entreprises doivent également veiller à minimiser le nombre de services exposés et la quantité d'informations échangées.

Les mots de passe sont un contrôle d'accès évident, mais pas le seul, et ils doivent être complétés par d'autres contrôles pour protéger votre entreprise. Ability-Secure  estime que les entreprises devraient encourager l'utilisation de mots de passe sensibles et s'assurer que tous les mots de passe par défaut sont modifiés.

Pour éviter des demandes irréalistes aux utilisateurs, les entreprises ne devraient appliquer un accès par mot de passe que lorsque cela est vraiment nécessaire, et appliquer uniquement des modifications de mot de passe régulières lorsque des soupçons de piratage le justifient.

Vous devez également fournir un stockage sécurisé, afin que le personnel puisse écrire les mots de passe et les protéger (mais pas avec l’appareil lui-même). Le personnel oubliera les mots de passe, assurez-vous donc qu'ils puissent réinitialiser facilement eux-mêmes leurs propres mots de passe.

Les entreprises devraient également envisager d'implémenter l’authentification à deux facteurs dans  la mesure du possible : "La configuration 2FA est la solution la plus utile pour protéger les comptes importants et, lorsque c'est possible, devrait être déployée sur les comptes salarié et client."

Développement web

Cette question est très intéressante, et la réponse est compliquée.
En effet, un site internet très simple d’une page peut être réalisé en quelques jours seulement, d'autres un peu plus complexes en quelques semaines, tandis qu’un site E-commerce avec de multiples fonctionnalités sur mesure peut prendre plusieurs mois de développement.
Pour en savoir plus, nous vous invitons à nous contacter pour discuter de votre projet, vous pourrez alors obtenir un délai plus précis en fonction de votre besoin.

Bien entendu !

Même à distance, nous pouvons, ensemble, mener à bien votre projet.

Différents outils nous permettent de communiquer sans altérer la qualité de notre collaboration (Skype,Teamviewer, Slack)...

N’hésitez pas à nous contacter même si vous êtes situés loin de l’Ile de France.

Bien entendu, nous ne laissons jamais un client seul une fois le site livré. Nous proposons 2 formules différentes pour la maintenance de votre site post livraison.

  • Une formule sécurité qui comprend toutes les mises à jour et une veille quotidienne sur l’état de votre site.
  • Une formule orientée SEO ou nous suivons le résultat du référencement de votre site, et nous cherchons à l’améliorer à travers de multiples techniques de référencement / SEO.

Sachant qu’un site représente des frais pour une société qui le développe, nous demandons un acompte de 30% au démarrage des travaux de votre site.

Le solde de 70% est à régler à la livraison du site, une fois sa mise en ligne effectuée.

Chez Ability-Dev, les devis sont totalement gratuits et ne vous engagent absolument pas.

N’hésitez pas à nous consulter pour connaître le tarif de votre futur site internet.

Loading…
Loading the web debug toolbar…
Attempt #