Alors que de plus en plus d’entreprises se déplacent en ligne, les criminels les suivent. Si vous utilisez encore les stratégies de cybersécurité d’hier, vous êtes vulnérable aux attaques malveillantes susceptibles d’endommager de manière permanente votre entreprise. Il est temps de se réveiller et d’investir dans l’apprentissage des stratégies de cybersécurité.
La nécessité de stratégies de cybersécurité robustes
Lorsque vous dirigez une petite entreprise, vous pouvez vous sentir moins ciblé par les cybercriminels. Mais rien ne pouvait être plus éloigné de la vérité. En réalité, les petites et moyennes entreprises sont beaucoup plus exposées aux attaques que les grandes entreprises.
$config[code] not foundLes cybercriminels ne recherchent pas nécessairement les grandes entreprises. Ce qu'ils veulent, c'est un accès facile et des données précieuses. «Ce sont les données qui rendent une entreprise attrayante, pas sa taille - en particulier s'il s'agit de données délicieuses, telles que de nombreuses informations de contact client, des données de carte de crédit, des données de santé ou une propriété intellectuelle précieuse», déclare Jody Westby, PDG de Global Cyber Risque.
Malheureusement, de nombreux propriétaires de petites entreprises (SBO) ne le reconnaissent pas et ont réduit leurs dépenses de sécurité. Selon l’étude 2015 sur l’état global de la sécurité de l’information réalisée par PwC, les entreprises dont les revenus annuels étaient inférieurs à 100 millions de dollars ont réduit leurs dépenses de sécurité d’environ 20% en 2014, tandis que celles qui dépassaient ce niveau ont augmenté leurs investissements dans la sécurité de 5%.
Le résultat malheureux de ces coupures est que la majorité des petites entreprises seront victimisées à un moment donné dans l’avenir. Selon Timothy Francis, un chef de file dans le domaine de la cyberassurance, 62% des victimes de cyber-violation sont des petites et moyennes entreprises.
Le coût d’une attaque individuelle peut aller de quelques centaines à quelques millions de dollars. C’est suffisant pour mettre de nombreuses entreprises en faillite.
La cyberassurance peut compenser une partie de ces coûts, mais elle ne protège que très peu de la violation initiale. Les petites entreprises ont vraiment besoin de meilleures stratégies de cybersécurité. Et jusqu’à ce que les propriétaires s’unissent pour renforcer la sécurité, ils continueront d’être des cibles faciles.
Six conseils pour protéger votre petite entreprise
Chaque entreprise est unique. Vos besoins peuvent être radicalement différents de ceux de votre concurrent le plus proche. Cela étant dit, voici une poignée de stratégies et de conseils en matière de cybersécurité que pratiquement toutes les entreprises devraient prendre en compte pour améliorer la sécurité.
1. Implémenter des méthodes de communication sécurisées
La communication non sécurisée est la plus grande menace pour votre entreprise. De nombreuses entreprises continuent de choisir de transmettre des informations via des canaux relativement peu sécurisés tels que le courrier électronique ou le publipostage.
Afin de limiter les risques - en particulier si vous êtes lié par des obligations de conformité telles que HIPAA -, vous devez investir dans des formes de communication plus sécurisées. Voici un conseil qui pourrait vous surprendre: saviez-vous que la télécopie est la forme de communication la plus sécurisée dans le monde des affaires?
«Lorsqu'un document est envoyé par fax, il est converti en code binaire (1 et 0), envoyé sur le réseau téléphonique, puis réassemblé à l'autre extrémité», déclare Karol Waldron de XMedius, un leader des solutions de fax pour entreprises. "Pirater le réseau téléphonique exigerait un accès manuel direct à la ligne téléphonique, et même si un fichier était intercepté, il ne se présenterait que comme du bruit, rendant pratiquement impossible toute interprétation / lecture."
Outre l’utilisation de la télécopie, vous devez également revoir la stratégie de votre entreprise en matière de communications mobiles.Si votre personnel utilise des appareils mobiles à des fins professionnelles, il doit exister des restrictions sur les informations auxquelles les appareils peuvent accéder, des règles indiquant si les appareils peuvent être emportés à la maison et des instructions claires sur le moment où les services informatiques peuvent nettoyer un appareil.
2. Créer une stratégie de mot de passe sophistiquée
Croyez-le ou non, de nombreuses attaques de cybersécurité aboutissent car les mots de passe sont trop simples. Les pirates ont accès à des technologies qui leur permettent de prendre des mots de passe cryptés et de les pirater. Certains appellent cela «le forçage brutal».
"La force brute consiste à maîtriser les défenses de l'ordinateur en utilisant la répétition", explique l'expert en technologie Paul Gil. «Dans le cas du piratage de mots de passe, les attaques par dictionnaire impliquent un logiciel de dictionnaire qui recombine des mots du dictionnaire anglais avec des milliers de combinaisons différentes.»
C'est le genre de choses que vous voyez dans les films, où le pirate informatique déchire une lettre à la fois en utilisant des milliers de variations par minute. Vous ne pouvez pas empêcher 100% des menaces de mot de passe, vous pouvez rendre les choses plus difficiles pour les pirates et réduire les risques d’être compromis.
Tout commence par la création d'une stratégie de mot de passe sophistiquée. Voici quelques choses à savoir:
- Les employés devraient être tenus de créer des mots de passe avec des combinaisons de lettres majuscules et minuscules, de chiffres et de symboles. En outre, les mots de passe doivent être réinitialisés toutes les quelques semaines.
- Les comptes administratifs doivent utiliser des mots de passe encore plus complexes. Ne définissez jamais de mots de passe simples tels que «Password01» ou «Admin123». Les pirates informatiques essaient fréquemment ces codes surutilisés.
- Mettez en œuvre les conséquences réelles pour les employés qui ne respectent pas les règles relatives aux mots de passe et qui effectuent régulièrement des audits. Les employés doivent savoir que vous prenez au sérieux la force et l’intégrité du mot de passe.
Même lorsque vous suivez de telles techniques, vous ne serez pas protégé à 100%. Assurez-vous de pouvoir révoquer l’accès et les autorisations d’un utilisateur à tout moment. Cela vous permet de réagir rapidement si un compte était compromis.
3. Utiliser un plan de sauvegarde sécurisé
Vous devriez déjà avoir un plan de sauvegarde sécurisé, mais allez-y et examinez les détails. De nombreux cybercriminels utilisent une tactique appelée «cyber chantage» lorsqu'ils attaquent une petite entreprise.
Ils garderont certaines de vos précieuses données en otage et exigeront une rançon en retour. Si vous avez un plan de sauvegarde adéquat, vous aurez beaucoup plus de poids dans cette situation.
Avec un plan de sauvegarde sécurisé, vos données doivent être enregistrées et stockées dans plusieurs emplacements. L’une d’elles est idéalement une solution cloud indépendante de tout matériel physique de votre bureau.
Cela n'empêchera pas automatiquement les données d'être compromises, mais cela garantira que vous n'y perdez jamais votre accès.
4. Soyez conscient des menaces internes
Saviez-vous que 31,5% des attaques sont perpétrées par des personnes mal intentionnées de la société et 23,5% par des acteurs involontaires (c'est-à-dire des personnes qui prétendent ne pas savoir ce qu'elles sont en train de faire)? Cela signifie que 55% de toutes les attaques viennent de l'intérieur.
Protéger votre entreprise consiste autant à fortifier les murs de votre entreprise qu’à renforcer le protocole interne. En augmentant les exigences en matière d'autorisation et en surveillant de près tous les employés ayant accès à des données sécurisées, vous devriez pouvoir empêcher les fuites de données avant qu'elles ne se produisent.
Il est facile de se sentir coupable de regarder les employés ou de remettre en question leurs motivations, mais vous devez à votre entreprise et à vos clients d’être à la recherche d’attaques… même à l’intérieur.
5. Désigner une personne ponctuelle
L'obstacle pour les petites entreprises est le manque de ressources. Les SBO diront par exemple: «Nous ne pouvons pas nous permettre d’engager un informaticien à temps plein.» Ou peut-être: «Notre informaticien a tant à faire, nous ne pouvons rien en dire.
Ce sont des revendications valables, mais vous devez trouver des moyens de les contourner. Les stratégies de cybersécurité ne sont pas optionnelles, elles doivent être considérées comme une activité essentielle. Que faites-vous lorsque votre entreprise a un besoin dans un domaine clé? Vous trouvez un moyen de satisfaire le besoin.
$config[code] not foundToutefois, cela fonctionne pour votre entreprise. Trouvez et désignez une personne-ressource pour superviser vos efforts en matière de cybersécurité. Même si les employés portent plusieurs chapeaux et s’acquittent de diverses responsabilités, la sécurité doit être une tâche de chacun.
«Votre interlocuteur a trois responsabilités principales: rester informé des principales actualités et des changements en matière de sécurité numérique, connaître les exigences de base pour que votre entreprise fonctionne de manière sécurisée et efficace, et veiller à ce que ces exigences soient mises en place et mises à jour», dit le consultant Ty Kiisel.
«Cela ne veut pas dire que le responsable doit faire tout le travail personnellement, mais qu’il doit trouver les bons services ou des professionnels capables d’effectuer les mises à jour et les améliorations nécessaires.»
6. Bien éduquer les employés
En plus de la personne-ressource, le reste de vos employés doit être sensibilisé aux stratégies de cybersécurité et à leur importance. Pour rester en sécurité et éviter les attaques, tout le monde doit être sur la même page.
Comme le dit Kiisel, «Plus vos employés sont informés, plus ils seront en mesure de protéger les données qui constituent une partie cruciale de votre entreprise.
Il y a plusieurs façons d'éduquer les employés. Commencez par développer un programme de formation. Les employés devraient être tenus de suivre une formation régulière chaque mois. Cela peut être aussi informel que de passer en revue des sites Web de l'industrie et des articles de lecture, ou aussi formel que d'acheter un programme avec un programme développé par des professionnels.
Déterminez ce qui fonctionne pour votre entreprise et partez de là.
N'attendez pas d'être attaqué
Il est maintenant temps d'élaborer une stratégie de cybersécurité. Si vous attendez après avoir été attaqué, vous risquez de dépenser des centaines de milliers, voire des millions de dollars pour récupérer. Réfléchissez aux conseils ci-dessus et développez une stratégie spécifique à votre entreprise qui permettra à votre entreprise de fonctionner sans menace d'attaque.
Il existe de nombreuses approches différentes, mais l'important est que vous agissiez. Ce n'est pas le moment de l'indécision ou de la passivité.
Photo de cybersécurité via Shutterstock
5 commentaires ▼
