La plupart des propriétaires de petites entreprises ont l’esprit que les pirates ne veulent pas les cibler. C'est loin d'être la vérité. Les pirates informatiques comprennent que les grandes entreprises ont les ressources nécessaires pour assurer une sécurité sophistiquée, contrairement aux petites entreprises. Les petites entreprises sont désormais de grandes cibles pour les pirates.
Selon l’étude annuelle de suivi de la sécurité informatique réalisée par le Ponemon Institute, le pourcentage du budget informatique consacré à la sécurité est passé de 4,9% en 2010 à 7,9% l’année dernière, mais leurs dépenses en matière de sécurité ne sont toujours pas comparables à celles des grandes entreprises.
$config[code] not foundBeaucoup de petites entreprises sont sous-capitalisées et surpeuplées, ce qui en fait de bonnes cibles pour les pirates. Les pirates ciblent parfois les petites entreprises dans le but de percer une plus grande entreprise liée à la petite entreprise. Les données de Target ont été violées. Mais peu de gens savent que la vaste base de données de la société a été piratée par l’intermédiaire de son fournisseur HVAC. Cette attaque a fini par coûter 39 millions de dollars de règlements à Target et toucher 40 millions de clients.
Ces violations peuvent être dévastatrices. Les petites entreprises peuvent avoir accès à d'énormes quantités de données. Ainsi, après une violation, les petites entreprises peuvent se retrouver en faillite et faire face à de gros procès.
Les petites entreprises dans les capitales d’État plus exposées
Si votre petite entreprise est située dans une capitale de l’État, votre risque est encore plus élevé. Les ordinateurs situés dans les capitales des États-Unis ont 224% d’infections en plus que le reste de leur pays d’origine. C’est ce qui ressort des données récemment publiées par ESG, les créateurs du programme anti-malware SpyHunter. ESG a examiné les taux d'infection par logiciels malveillants détectés sur SpyHunter dans chaque capitale et l'a comparé au taux d'infection moyen pour l'ensemble de l'État.
Dans 43 des 50 États, le taux d’infection était plus élevé dans la capitale que dans certains cas de façon dramatique. Les capitales de la Géorgie, de New York, de l’Utah, de la Caroline du Sud, de la Virginie-Occidentale et de la Pennsylvanie avaient chacune des taux d’infection supérieurs de plus de 500% à ceux du reste de leurs États respectifs. En moyenne, le taux d’infection dans les capitales était 224% plus élevé.
"Peu importait qu'il s'agisse d'un grand État, d'un petit État, d'un grand capital ou d'un petit capital, les infections étaient presque toujours plus fréquentes", a déclaré le porte-parole de l'ESG, Ryan Gerding. Comme les données d’ESG sur les infections ne permettent pas d’identifier exactement qui est infecté ni comment elles ont contracté les infections, il est difficile de savoir avec certitude pourquoi les taux d’infections sont tellement plus élevés.
Que pouvez-vous faire alors que de plus en plus de cybercriminels ciblent les petites entreprises?
Commencez par un audit des risques
La meilleure défense commence par un audit de sécurité de base des actifs clés. Les entreprises qui analysent les risques gèrent mieux les cyber-menaces. Les petites entreprises devraient procéder à des audits des risques pour aider à définir les domaines dans lesquels ils pourraient être le plus exposés. Prenez du recul et sachez ce que vous devez protéger.
Vous serez peut-être surpris de la quantité de données à protéger et du nombre de vulnérabilités de votre petite entreprise; car que vous le réalisiez ou non, toutes vos données sont précieuses.
Erreur d'employé
De nombreuses attaques de logiciels malveillants peuvent commencer par une simple erreur d'employé, par exemple en cliquant sur un lien malveillant. Les violations accidentelles causées par une erreur d'un employé ou des données violées alors qu'elles étaient contrôlées par des fournisseurs tiers constituent toujours un problème majeur. Selon les conclusions de l’assureur Beazley’s Breach Insights fondées sur les données de ses clients américains au cours des six premiers mois de 2017, les infractions commises par une erreur d’un employé représentent 30% du nombre total de violations, juste derrière le niveau de piratage et de programmes malveillants.
Les petites entreprises devraient créer une culture de la sécurité. La formation à la sécurité des employés est l’un des moyens les plus importants et les plus efficaces de réduire le risque d’erreurs coûteuses dans le traitement des informations sensibles et la protection des systèmes d’information de l’entreprise. Une formation de sensibilisation peut permettre aux employés de bien comprendre les pratiques et les politiques de sécurité de l’employeur, ainsi que les signes avant-coureurs d’une tentative d’accès indu à des systèmes informatiques et à des informations confidentielles.
Sauvegarder les données
La sauvegarde des données est la chose la plus importante à faire. Stocker automatiquement votre sauvegarde dans un cloud sécurisé est une excellente défense. Les logiciels malveillants peuvent supprimer des fichiers ou, pire encore, les pirates peuvent chiffrer l’ensemble de votre ordinateur et vous empêcher de récupérer vos fichiers, à moins que vous ne payiez une rançon importante.
En 2016, le système de train léger sur rail de San Francisco a été mis hors service pendant toute la journée par des pirates. Les attaquants ont exigé 100 Bitcoins, d’une valeur d’environ 73 000 dollars, mais la SFMTA a refusé de payer la rançon, affirmant qu’elle «dispose d’une équipe informatique capable de restaurer tous les systèmes», comme le rapporte USA Today. Ce qui n’a été possible que parce qu’ils disposaient d’une sauvegarde adéquate pour de telles situations. C'était opérationnel le lendemain.
C’est aussi une bonne idée d’avoir une sauvegarde stockée sur un disque physique. Faites en sorte que la sauvegarde physique soit située hors site en cas d'incendie, de vol physique ou de toute autre catastrophe.
Ligne de fond
Les petites entreprises doivent comprendre qu'elles sont la cible de pirates informatiques. Commencez par un audit des risques et réalisez que vous êtes plus à risque si vous vous trouvez dans une capitale de l'État. Sauvegardez vos données et assurez-vous d'avoir un programme de formation en place pour minimiser les erreurs des employés.
Photo via Shutterstock