Retour
  • High-tech
18
2022
Le renforcement de la protection contre les cyberattaques

L’invasion de l’Ukraine par la Russie s’est accompagnée d’une hausse des cyberattaques visant les entreprises occidentales. Raison pour laquelle l’Agence nationale de la sécurité des systèmes d’information (Anssi) incite les entreprises à mettre en œuvre 5 mesures cyber-préventives prioritaires. Des mesures qu’il convient d’adopter rapidement et d’inscrire dans une démarche de « cybersécurité globale et de long terme », insiste l’Anssi.

1. Renforcer les procédures d’authentification

Afin de réduire le risque d’intrusion, l’accès au système d’information de l’entreprise doit être renforcé. À cet effet, l’Anssi préconise la mise en place d’un dispositif d’authentification multifacteur. Pour accéder au réseau, on combinera ainsi plusieurs facteurs d’identification, par exemple, un mot de passe robuste et un code reçu par SMS ou via une application dédiée. Généralement, ce code aura une durée de vie limitée à quelques minutes.

Dans cette configuration, le fait qu’un seul des facteurs utilisés soit connu d’un hacker ne lui permettra pas d’accéder au réseau ou au compte protégé. Ce dispositif de sécurité a été imposé à tous les établissements bancaires en 2019. L’Anssi recommande sa mise en place pour « les comptes particulièrement exposés, notamment ceux des administrateurs qui ont accès à l’ensemble des ressources critiques du système d’information et ceux des personnes exposées de l’entité (personnel de direction, cadres dirigeants, etc.) ».

Pour ceux qui souhaitent en savoir plus, l’Anssi propose sur son site un guide dédié à l’authentification multifactorielle et à la gestion des mots de passe. Un document de 52 pages qui permet d’appréhender les enjeux et les conditions de mise en place et de gestion de ce type de dispositif.

2. Accroître la surveillance du réseau

Le temps de réaction est crucial en cas de cyberattaque. Plus rapide sera la réaction, moindres seront les dégâts. Mettre en place une surveillance quotidienne et globale du réseau est donc fortement conseillé afin d’être en capacité d’identifier sans retard une éventuelle compromission et de la traiter. Lorsqu’une surveillance globale n’est pas possible, l’Anssi propose une « centralisation des journaux des points les plus sensibles du système d’information. On peut lister, à titre d’exemple, les points d’entrée VPN, les bureaux virtuels, les contrôleurs de domaine, ou encore les hyperviseurs ».

Rehausser le niveau de vigilance, revient également, selon l’Anssi à systématiquement « inspecter » toutes les connexions anormales sur les contrôleurs de domaine et toutes les alertes apparaissant sur les solutions antivirus et EDR (Endpoint Detection and Response).

3. Ne pas oublier les sauvegardes

« Des sauvegardes régulières de l’ensemble des données, y compris celles présentes sur les serveurs de fichiers, d’infrastructures et d’applications métier critiques, doivent être réalisées », insiste l’Anssi. En rappelant que ces sauvegardes doivent être déconnectées du réseau pour ne pas être exposées en cas d’attaque du système informatique.

Attention, quelquefois des erreurs se produisent lors des opérations de sauvegarde réduisant ou anéantissant la possibilité de les restaurer (corruption des données lors du transfert ou de la compression, problème sur le support de stockage…). Aussi, les sauvegardes doivent être restaurées régulièrement afin de s’assurer que le dispositif utilisé par l’entreprise est fiable et qu’il remplira bien son rôle lorsqu’une restauration sera nécessaire suite à une cyberattaque.

4. Identifier les services critiques

Compte tenu de l’urgence, il faut prioriser les actions. À cette fin, l’Anssi conseille de réaliser un inventaire des services numériques de l’entreprise et de les classer en fonction de leur caractère critique. La protection des plus sensibles devant être renforcée en priorité. Par plus sensible, l’Anssi entend les services numériques dont le dysfonctionnement pourrait nuire à la continuité d’activité de l’entreprise. Dans ce cadre, « les dépendances vis-à-vis de prestataires doivent également être identifiées », insiste l’Anssi.

5. Préparer la gestion de crise

Une cyberattaque peut atteindre, plus ou moins fortement, le fonctionnement de l’entreprise. Il convient donc de se préparer à travailler en mode dégradé (applications hors d’usage, messagerie coupée, fournisseurs hors jeu…) « et dans certains cas, cela signifie revenir au papier et au crayon », précise l’Anssi.

Une cellule de crise doit ainsi être constituée et se tenir prête à mettre en œuvre différents scénarios d’urgence. L’objectif de cette cellule est de veiller à l’application d’un plan de continuité d’activité (PCA) et/ou de reprise informatique (PRI). Un plan élaboré pour permettre à l’entreprise, de continuer à fonctionner même en mode dégradé et à mettre en œuvre, le plus vite et le plus efficacement possible, les actions qui lui permettront de renouer avec une situation normale.

Un guide baptisé « Crise d’origine cyber, les clés d’une gestion opérationnelle et stratégique » élaboré par l’Anssi et le Club des directeurs de sécurité et de sûreté des entreprises (CDSE) est librement téléchargeable sur le site de l’Anssi. Sur 80 pages, il revient sur les pratiques à mettre en place par les entreprises (PME-ETI) pour se préparer à affronter une crise cyber et pour bien réagir.

Article publié le 18 mars 2022 - © Les Echos Publishing - 2022
Pour aller plus loin

Pour aller plus loin

Excepteur sint occaoecat cupidatat non proident, sunt in culpa qui officia. Sed ut perpiciatis unde omnis iste natus error sit voluptaem accusantium laudantium, totam rem aperiam.

Tout
Social
Fiscalité
Juridique
Gestion
Patrimoine

Je viens de changer d’activité professionnelle. Comme je ne suis plus placé sous le régime des travailleurs non salariés, j’envisage de transférer les capitaux figurant sur mon contrat retraite Madelin vers un Perp que je vais ouvrir pour l’occasion. Ce transfert aura-t-il des conséquences fiscales ?

Rassurez-vous, il n’y aura aucune conséquence fiscale liée au transfert de vos droits Madelin sur un Perp. Étant précisé, par ailleurs, que ce transfert ne remettra pas en cause la déductibilité des cotisations que vous avez versées sur votre contrat Madelin de l’assiette imposable de vos bénéfices. Autre information, la fiscalité applicable aux prestations versées lors du départ en retraite est identique sur les contrats Perp et sur les contrats Madelin. En revanche, si vous effectuez des versements sur votre Perp, ces versements ne seront pas fiscalisés de la même manière que ceux effectués sur un contrat Madelin.

Je suis propriétaire de plusieurs étangs. Ces étangs doivent-ils être inclus dans l’assiette de l’impôt sur la fortune immobilière (IFI) dont je suis redevable ?

Les biens immobiliers non bâtis tels que les étangs sont, en principe, imposables à l’IFI (sous réserve, bien entendu, que la valeur nette du patrimoine de l’intéressé soit supérieure à 1,3 M€). Toutefois, ils sont, à certaines conditions, exonérés d’IFI lorsqu’ils sont affectés à l’activité professionnelle principale du contribuable et lorsque cette activité revêt un caractère agricole. Ainsi, par exemple, des étangs affectés à une activité de pisciculture sont exonérés d’IFI.

En outre, lorsqu’ils sont donnés à bail à long terme à un exploitant, ces biens sont exonérés d’IFI à hauteur des trois quarts de leur valeur jusqu’à 101 897 € et à hauteur de la moitié au-delà de 101 897 €. Mieux, l’exonération est totale, quelle soit la valeur des biens, lorsqu’ils sont donnés à bail à long terme à un membre (proche) de la famille du propriétaire qui les utilise pour son activité principale.

Cette année, pour élire les membres du conseil d’administration de notre association, nous souhaitons remplacer le vote en assemblée générale par un vote par correspondance. Mais nous avons un doute sur sa faisabilité dans la mesure où les statuts associatifs ne prévoient pas cette possibilité. Qu’en est-il exactement ?

Si vos statuts sont muets sur cette modalité de vote, vous ne pouvez pas l’organiser ! En effet, le vote par correspondance ne peut être utilisé dans le cadre d’une assemblée générale que si les statuts de l’association le prévoient. Le vote par correspondance organisé alors que les statuts de votre association ne l’autorisent pas encourt le risque d’être contesté et annulé en justice. Il vous faut donc modifier les statuts.

Voir toutes vos questions
Actualités
Voir toutes les actualités

Toutes les actualités

Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia. Sed ut perspiciatis unde omnis iste natus error sit voluptatem accusantium doloremque laudantium, totam rem aperiam.

Tout
Social
Fiscalité
High-tech
Juridique
Gestion
Patrimoine
  • Patrimoine
28
2024
Le label Finansol intègre de nouvelles exclusions sectorielles et normatives
Finansol actualise son règlement. Dès 2025, pour pouvoir prétendre au label Finansol, les fonds solidaires devront respecter de nouvelles exclusions…
En savoir +
  • Social
28
2024
Quand fin d’année rime avec jours fériés
Tout savoir pour bien gérer les jours fériés du 25 décembre et du 1 janvier dans votre entreprise.
En savoir +
  • High-tech
28
2024
Accompagner les entreprises dans la gestion des données de la Silver économie
Le fort développement de la filière économie des seniors suscite des enjeux sur la protection des données ciblées en fonction de l’âge. La CNIL…
En savoir +
  • Fiscal
27
2024
Vers une flambée des malus automobile ?
Les malus dus lors de l’achat d’un véhicule de tourisme qui est considéré comme polluant, neuf ou d’occasion, sont fortement alourdis dans le cadre…
En savoir +