
1 CONNAITRE VOTRE PARC INFORMATIQUE ET VOS LOGICIELS MÉTIER Inventoriez tous les équipements, les services, les logiciels utilisés, les données et les traitements de données.
2 EFFECTUEZ DES SAUVEGARDES RÉGULIÈRES Identifiez les données à sauvegarder et déterminez le rythme de vos sauvegardes et choisissez le ou les supports à privilégier pour votre sauvegarde. Appliquez la règle simple « 3-2-1 » : 3 copies de sauvegarde, sur 2 supports différents dont 1 hors ligne. Évaluez la pertinence du chiffrement des données et respectez le cadre juridique. Notamment l’application du règlement général sur la protection des données (RGPD).
3 APPLIQUEZ RÉGULIÈREMENT LES MISES À JOUR Tout matériel ou logiciel qui ne peut plus être mis à jour doit être désinstallé et remplacé. Si vous recourez à un soustraitant, assurez-vous qu’il effectue bien la mise à jour des systèmes numériques utilisés dans votre commune.
4 UTILISEZ UN ANTIVIRUS Un antivirus doit être déployé sur la majorité des équipements informatiques, en priorité ceux connectés à Internet (postes de travail, serveurs de fichier, etc.).
5 METTRE EN PLACE UNE POLITIQUE D’USAGE DE MOTS DE PASSE ROBUSTES L’ANSSI recommande que la longueur d’un mot de passe avec un minimum de 9 caractères pour les services peu critiques et un minimum de 15 caractères pour les services critiques. Faites le choix d’une authenfication multifacteurs qui s’appuie le plus souvent sur deux facteurs (on parle de « 2FA ») : un mot de passe mais aussi une confirmation par un code transmis via un mode de connexion tiers.
6 ACTIVEZ UN PARE-FEU LOCAL Sans connaissance informatique particulière, l’activation d’un pare-feu préinstallé sur le poste de travail et son paramétrage par défaut (qui bloque toute connexion entrante), constituent un premier niveau de protection.
7 SÉCURISEZ VOTRE MESSAGERIE Il est vivement recommandé de se doter, en complément d’un antivirus, d’un anti-spam et d’une solution anti-phishing pour augmenter les capacités de détection des tentatives d’hameçonnage.
8 SÉPAREZ VOS USAGES INFORMATIQUES Un premier principe d’hygiène repose sur la création de comptes utilisateurs dédiés à chaque employé et ne disposant pas de privilège d’administration. Seuls les comptes utilisateur doivent être utilisés pour la navigation sur Internet.
9 MAÎTRISEZ LE RISQUE NUMÉRIQUE EN SITUATION DE NOMADISME Proscrire l’utilisation d’équipements personnels (imprimante, PC, etc.) et d’adresses mail personnelles pour des besoins professionnels. Si vous devez accéder à distance aux systèmes d’information de l’entreprise, prévoyez l’installation d’un logiciel de connexion à distance de type VPN chiffré 1 (virtual private network).
10 S’INFORMER ET SENSIBILISER VOS COLLABORATEURS Cette sensibilisation peut se décliner par le biais de communication régulière et d’une charte informatique remise à chaque nouvel arrivant, qui détaille les usages numériques à respecter et la procédure de déclaration d’un incident.
11 ÉVALUER LA COUVERTURE DE VOTRE POLICE D’ASSURANCE AU RISQUE CYBER Les sociétés d’assurance proposent de plus en plus des clauses permettant de se prémunir de certains risques d’origine numérique. L’assurance fournit, en cas de sinistre, une assistance juridique ainsi qu’une couverture financière du préjudice (matériel, immatériel, etc.). Quelle que soit la forme, il est important de vérifier que les risques les plus redoutés pour la pérennité de l’entreprise soient couverts.
12 RÉAGIR EN CAS DE CYBERATTAQUE Les Collectivités ont tout avantage à identifier préalablement des prestataires spécialisés dans la réponse aux incidents de sécurité. Sur le plan technique, sauvegardez toutes les données et les logiciels installés sur votre système d’information (voir la recommandation no2). En cas d’incident avéré, Le premier réflexe est de déconnecter son équipement d’Internet.
13 ENVISAGEZ-VOUS D’UTILISER DES SOLUTIONS CLOUD Les offres cloud ne sont pas la réponse ultime à tous les problèmes informatiques. Par ailleurs, les entreprises doivent s’approprier ces technologies et les nombreuses capacités techniques proposées afin de consommer les services cloud en ayant conscience des risques résiduels et de les configurer de manière à répondre à leurs besoins de sécurité.