H'umain - Dépression
27 octobre 2025
Parce que... c'est l'épisode 0x689!
PME - Le croisement des médias sociaux perso et corpo
11 décembre 2025
Parce que... c'est l'épisode 0x688!
Actu - 28 décembre 2025
28 décembre 2025
Parce que... c'est l'épisode 0x687!
Spécial - Create a Company Culture That Takes Cybersecurity Seriously
20 octobre 2025
Parce que... c'est l'épisode 0x686!
PME - La gestion du cycle de vie des identités sur les réseaux sociaux
11 décembre 2025
Parce que... c'est l'épisode 0x685!
La psychose IA selon Cyber Citoyen et PolySécure
16 décembre 2025
Parce que... c'est l'épisode 0x684!
Actu - 21 décembre 2025
21 décembre 2025
Parce que... c'est l'épisode 0x683!
Teknik - SOC souverain
19 novembre 2025
Parce que... c'est l'épisode 0x682!
Spécial - Sommes-nous trop dépendant du numérique?
16 septembre 2025
Parce que... c'est l'épisode 0x681!
PME - Une bonne configuration de départ des médias sociaux pour entreprise
03 décembre 2025
Parce que... c'est l'épisode 0x680!
Actu - 14 décembre 2025
14 décembre 2025
Parce que... c'est l'épisode 0x679!
Teknik - Agentic Access - Auth Gets You In. Zero Trust Keeps You Safe
24 octobre 2025
Parce que... c'est l'épisode 0x678!
Teknik - Don't Go with the flaw
04 décembre 2025
Parce que... c'est l'épisode 0x677!
PME - Introduction à la sécurité des réseaux sociaux
03 décembre 2025
Parce que... c'est l'épisode 0x676!
Actu - 07 décembre 2025
07 décembre 2025
Parce que... c'est l'épisode 0x675!
PME - Sensibilisation
05 novembre 2025
Parce que... c'est l'épisode 0x674!
Teknik - Threat Hunting in KQL 101
08 novembre 2025
Parce que... c'est l'épisode 0x673!
Spécial - 10 ans d'ECW, le PeC, la collaboration communautaire et l'espace régalien
19 novembre 2025
Parce que... c'est l'épisode 0x672!
Actu - 30 novembre 2025
30 novembre 2025
Parce que... c'est l'épisode 0x671!
Teknik - Split-Second Side Doors - How Bot-Delegated TOCTOU Breaks The CI/CD Threat Model
11 novembre 2025
Parce que... c'est l'épisode 0x670!
PME - DarkWeb
05 novembre 2025
Parce que... c'est l'épisode 0x669!
Spécial - Le rôle des conseils d'administration
13 septembre 2025
Parce que... c'est l'épisode 0x668!
Actu - 23 novembre 2025
23 novembre 2025
Parce que... c'est l'épisode 0x667!
Teknik - Phishing Campaigns “I Paid Twice” Targeting Booking.com Hotels and Customers
04 novembre 2025
Parce que... c'est l'épisode 0x666!
PME - Hygiène de base
22 octobre 2025
Parce que... c'est l'épisode 0x665!
Parce que… c’est l’épisode 0x665!
Shameless plug
- 17 au 20 novembre 2025 - European Cyber Week
- 25 et 26 février 2026 - SéQCure 2026
- 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026
- 14 au 17 avril 2026 - Botconf 2026
- 28 et 29 avril 2026 - Cybereco Cyberconférence 2026
- 9 au 17 mai 2026 - NorthSec 2026
- 3 au 5 juin 2026 - SSTIC 2026
- 19 septembre 2026 - Bsides Montréal
Description
Dans cet épisode, l’équipe composée de Nicolas, Dominique et Cindy explore les mesures d’hygiène de base en cybersécurité que les petites et moyennes entreprises devraient mettre en place. L’objectif est d’identifier les solutions peu coûteuses qui offrent un gain important en sécurité et qui aident les organisations à répondre aux exigences de certifications et de conformité.
L’authentification et la gestion des mots de passe
Le premier pilier essentiel abordé concerne l’authentification et la gestion des mots de passe. Contrairement à ce que certains pourraient penser, les mots de passe demeurent un enjeu critique et représentent la faiblesse numéro un dans la majorité des tests d’intrusion. Cette problématique touche autant les mots de passe utilisés pour se connecter aux services externes que ceux utilisés à l’interne, incluant les comptes de service.
L’équipe recommande fortement l’adoption de l’authentification unique (SSO) dès que possible, malgré l’existence d’une liste de la honte recensant les entreprises qui forcent leurs clients à prendre des forfaits coûteux pour accéder au SSO. Le principe est simple : moins il y a de mots de passe, mieux c’est.
L’utilisation d’un gestionnaire de mots de passe s’avère non négociable. Il ne suffit pas de demander aux employés d’utiliser des mots de passe différents et complexes pour chaque site sans leur fournir les outils appropriés. Les experts mettent en garde contre l’utilisation des gestionnaires intégrés aux navigateurs web comme Chrome ou Edge, qui ne sont pas de qualité égale aux véritables gestionnaires de mots de passe autonomes disponibles sur le marché.
Un point crucial soulevé est que si quelqu’un compromet une machine en tant qu’administrateur, il peut accéder à tous les mots de passe stockés dans le navigateur, alors qu’un gestionnaire de mots de passe dédié nécessite le mot de passe maître pour y accéder, offrant ainsi une protection supplémentaire même en cas de compromission de la machine.
La protection des postes de travail
Le deuxième élément fondamental concerne ce qu’on appelait autrefois les antivirus, maintenant connus sous le nom d’EDR (Endpoint Detection and Response). Cette protection minimale devrait être mise en place sur tous les environnements, même sur les ordinateurs Mac. Bien que les EDR ne soient pas infaillibles et puissent être contournés, ils représentent un premier niveau de protection accessible financièrement.
L’équipe souligne l’importance de choisir un EDR adapté aux besoins spécifiques de l’entreprise en considérant plusieurs facteurs : le prix, la quantité de postes à protéger, le support offert, l’interface utilisateur, et la présence ou non de ressources techniques internes capables de gérer la solution. Certains EDR sont plus faciles à administrer tandis que d’autres offrent plus d’options mais nécessitent des formations et du personnel qualifié. Ces solutions deviennent de plus en plus accessibles pour les PME et constituent une brique essentielle de la sécurité.
Les mises à jour automatiques
Le troisième pilier aborde la question du patching, ces fameuses mises à jour souvent perçues comme un mal nécessaire. Pour les PME, la recommandation est claire : activer le patching automatique plutôt que de compter sur une vérification manuelle quotidienne. Cette approche s’applique non seulement aux systèmes internes mais aussi aux applications web comme WordPress.
Un point important soulevé est que l’activation du patching automatique implique probablement d’avoir une bonne gestion des sauvegardes. Par exemple, si WordPress se met à jour automatiquement le mercredi, il est prudent de faire une sauvegarde le mardi pour pouvoir restaurer rapidement en cas de problème. Cette règle s’applique également aux serveurs internes, même si certains secteurs comme le manufacturier ou l’industriel peuvent nécessiter une approche plus nuancée.
Il est rappelé que dans le cadre de Sécuritaire Canada, une des questions d’évaluation porte justement sur l’activation du patching automatique pour les postes de travail, ce qui devrait être une pratique standard.
La gestion des sauvegardes
Le quatrième élément essentiel concerne les sauvegardes. Une recommandation cruciale est de ne jamais joindre les sauvegardes au domaine. L’équipe partage plusieurs anecdotes illustrant les conséquences d’une mauvaise gestion des sauvegardes, comme la perte de dix ans de photos personnelles ou l’impossibilité d’accéder à une sauvegarde chiffrée dont le mot de passe était uniquement stocké sur la machine principale défaillante.
La qualité d’une sauvegarde est égale à la dernière fois qu’elle a été testée. Les experts ont vu des situations catastrophiques où des organisations pensaient avoir des sauvegardes fonctionnelles mais ne les avaient jamais testées, pour découvrir leur inefficacité au moment d’un incident. Les sauvegardes ne servent pas uniquement en cas d’incident de sécurité, mais aussi lors de bris matériels, d’incendies ou d’autres catastrophes.
Un conseil important : bien que le chiffrement des sauvegardes soit essentiel, il faut s’assurer que la clé principale n’est pas uniquement stockée sur le système sauvegardé. Il en va de même pour le mot de passe maître d’un gestionnaire de mots de passe, qui devrait être conservé sur papier quelque part en lieu sûr.
Mesures complémentaires
Au-delà de ces quatre piliers fondamentaux, l’équipe propose quelques mesures additionnelles. Pour les entreprises ayant un site web, l’utilisation d’un service de proxy comme Cloudflare permet d’ajouter une couche de protection accessible, voire quasi gratuite pour les PME. Bien que non infaillible, cette solution offre de la détection et une protection contre les exploits potentiels, tout en améliorant la performance et la rapidité du site.
Pour les organisations utilisant Active Directory, deux outils gratuits sont recommandés : Purple Knight de Semperis et Pink Castle (récemment acquis par Tenable). Ces outils permettent de réaliser des audits de configuration et fournissent un score de sécurité sans avoir à engager immédiatement un auditeur externe coûteux. Ils génèrent des rapports en HTML, PDF ou Excel permettant d’identifier et de corriger les problèmes de configuration les plus évidents.
L’importance de la base
L’équipe insiste sur le fait qu’avant d’investir dans des outils complexes et coûteux comme la surveillance du dark web, il est primordial d’avoir une base solide. Comme pour une maison, si les fondations sont bancales, la plus belle construction s’effondrera. La bonne nouvelle est que cette base n’est pas nécessairement coûteuse et que de nombreux outils gratuits ou peu dispendieux existent pour établir un diagnostic et améliorer sa posture de sécurité.
Un dernier point crucial, qui fera l’objet d’un épisode ultérieur, concerne la sensibilisation des employés. Ceux-ci peuvent être le meilleur allié ou la pire faiblesse d’une organisation. Il ne s’agit pas d’une formation ponctuelle mais d’un effort continu.
En conclusion, les experts rappellent que ces éléments de base sont précisément ceux qui sont vérifiés dans les formulaires d’assurance et les certifications. Prendre ces mesures préventives est comparable à une visite médicale préventive : c’est beaucoup moins coûteux et traumatisant qu’une opération d’urgence suite à un incident majeur. Consulter un expert pour mettre en place ces mesures de base coûte généralement moins cher que de gérer les conséquences d’une cyberattaque.
Collaborateurs
Crédits
- Montage par Intrasecure inc
- Locaux virtuels par Riverside.fm
Tags: antivirus, backup, edr, sauvegarde
Tweet
