La sécurité numérique des entreprises et la sensibilisation de leurs dirigeants est essentielle. Depuis plus de 4 ans, IDECSI s'est construit une solide réputation en protégeant les mails ainsi que les comptes Microsoft 365 des dirigeants et des collaborateurs de grands groupes internationaux.
IDECSI est souvent interrogé en tant qu'expert sur les bonnes pratiques de la protection de la boite mail, notamment auprès de la population VIP qui couvre évidemment les dirigeants, mais également leurs assistants et tous les collaborateurs en contact avec des informations sensibles (RH, DAF, DSI, SSI, …).
Ne pas donner de visibilité à ses données sensibles
Les premières règles à respecter, bien que pouvant paraitre très basiques, restent encore aujourd’hui une réalité dans le quotidien des entreprises et ce même auprès des dirigeants :
- Ne pas écrire ses mots de passe sur un post-it et surtout ne pas le laisser sur un coin de l’écran, où il est très facile de l’identifier et le récupérer.
- Ne pas laisser sa session de travail ouverte, notamment la nuit. Il arrive fréquemment qu’IDECSI mesure des activités de nuit, en dehors des horaires habituels de l’utilisateur. En effet, du personnel interne ou externe à la société travaille effectivement sur ces plages horaires décalées.
- Pour son ordinateur, le mieux est de ne pas avoir de compte administrateur. Dans le cas où celui-ci est nécessaire, utiliser un compte séparé pour bénéficier des droits d’administration uniquement aux moments où on en a besoin.
Avoir de la visibilité sur ses données
Certaines bonnes pratiques, moins connues, sont à l’origine de menaces sécuritaires importantes :
- S’assurer que les appareils personnels (ordinateur familial, tablette, téléphone personnel), connectés à l’environnement de travail, ne puissent être utilisés que par son propriétaire et empêcher l’accès à la famille et au personnel.
- Vérifier le niveau de visibilité de l’agenda par les autres collaborateurs. En effet celui regorge de données confidentielles (identités des rendez-vous, titres de réunions, liens de connexions aux conférences téléphoniques, pièces jointes). Si les droits sont trop permissifs, il sera impossible de vérifier qui a accédé à l’information.
- Vérifier régulièrement qui a accès à sa messagerie et si les droits d’accès ou les droits d’envoi “en tant que” (délégations) sont à jour et valides. Il arrive fréquemment que des délégations restent actives après des interventions techniques ou après le départ d’un assistant de direction.
- Faire un check-up régulier des règles présentes sur votre compte mail (transfert automatique, copie, suppression, etc.)
On l’a évoqué, l’assistant de direction est une population à risque et souvent une cible privilégiée, au même titre que les dirigeants. Celui-ci a en effet souvent accès à plusieurs messageries rendant l’information accessible plus intéressante pour un hacker. De manière générale, l’assistant de direction doit se protéger de la même manière que le ferait un dirigeant et donc respecter les bonnes pratiques énoncées plus haut.
Assurer une bonne gouvernance de ses délégations
Pour le VIP, il s’agit également de s’assurer que ses délégations de messagerie sont bien gérées :
- En cas de changement de poste de l’assistant de direction, changer ses mots de passe si ceux-ci lui ont été transmis (ce qui reste fréquent).
- Retirer les droits de délégations - ne pas oublier de retirer également les droits sur le calendrier.
- Cas particulier du smartphone : Il arrive régulièrement qu’un dirigeant souhaite que son assistant puisse gérer ses rendez-vous depuis un téléphone mobile. Cependant, donner accès au calendrier par mobile implique de donner l’accès à l’ensemble de la messagerie en fournissant les identifiants du propriétaire. Ce risque doit être mesuré. Dans le cas où cet accès est donné, il faudra donc reconfigurer la messagerie du smartphone lorsque l’assistant change de fonction.
Ces quelques conseils contribuent à augmenter sensiblement la sécurité des messageries pour l’ensemble des collaborateurs et des dirigeants de l’entreprise.
Ils contribuent tous à répondre au même enjeu : plus on multiplie les points d’entrées sur les données, plus on augmente la surface d’exposition. Pour chaque point d’accès, il s’agit donc de s’interroger sur le besoin véritable de cette ouverture. Quand le besoin est légitime, il s’agit alors de protéger ce point d’accès.
Avec IDECSI, nous vous invitons à aller plus loin dans la sécurisation de votre messagerie et de Microsoft 365.