Aide à la cybersécurité pour les petites et moyennes entreprises

Cela fait à peine deux mois en 2014, et nous avons constaté un nombre considérable de problèmes liés à la confidentialité et à la gestion des violations de données. Lors d'une réunion de l'Online Trust Alliance (OTA) à laquelle j'ai récemment assisté, le commentaire a été fait : "Ce n'est pas une question desavoir sivous serez affecté par une violation, c'est une question dequand."

C'est un commentaire qui donne à réfléchir à toute entreprise qui a un modèle commercial électronique, qui, de nos jours, est essentiellement nous tous. Être relativement petit ou anonyme ne garantit pas que les cybercriminels ne vous remarqueront pas. Alors, vers qui vous tourner pour obtenir de l'aide et des conseils si vous êtes une petite organisation sans ressources ni ressources importantes ?

Un guide des petites entreprises sur les problèmes de cybersécurité

L'État de Californie a publié une excellente ressource pour les entreprises : "Cybersecurity in the Golden State : How California Businesses Can Protect Against and Respond to Malware, Data Breaches and Other Cyberincidents". Les informations contenues dans ce document s'appliquent à toutes les entreprises du monde entier, pas seulement en Californie, et offrent une aide en matière de cybersécurité aux PME. Je vous encourage fortement à le lire pour vous familiariser avec les concepts - et tous les problèmes de menace possibles qui pourraient avoir un effet néfaste sur votre marque, votre réputation et votre capacité à mener un commerce en ligne légitime. Il peut être difficile et coûteux de se remettre d'une atteinte à la vie privée. la prévention est la meilleure solution. Comme le note l'étude :

"Selon l'étude 2014 sur le coût de la cybercriminalité, menée par le Ponemon Institute,... les coûts pour les entreprises victimes d'attaques basées sur Internet ont augmenté de 78 % par an, en moyenne, au cours des quatre dernières années."

10 vérités sur la cybersécurité

Voici une version modifiée du résumé exécutif du rapport :

Des investissements relativement modestes dans la préparation à la cybersécurité peuvent entraîner une réduction significative des risques. Le guide contient d'autres recommandations sur la façon de préparer un plan efficace de réponse aux incidents de cybersécurité, mais voici les principaux problèmes :

1. Supposez que vous êtes une cible

Toute entreprise, grande ou petite, peut être victime de cybercriminalité. Tout comme il est devenu une seconde nature pour la plupart d'entre nous de verrouiller nos portes d'entrée lorsque nous quittons la maison, supposez que vous êtes une cible potentielle et prenez des précautions de base pour vous protéger et protéger votre entreprise.

2. Donner l'exemple

La cybersécurité n'est pas le domaine exclusif de l'informatique ; la direction générale doit s'impliquer. Les propriétaires de petites entreprises sont les mieux placés pour comprendre le réseau de leur entreprise et tous les appareils qui s'y connectent. Cela nécessite de consacrer le temps et les ressources nécessaires pour assurer la sûreté et la sécurité de leurs actifs informationnels.

3. Cartographiez vos données

Pour protéger efficacement vos données, le rapport suggère que vous devez d'abord connaître les types de données dont vous disposez et l'emplacement de ces données. Passez en revue de manière exhaustive les données que vous avez stockées sur vos systèmes informatiques, sur site et hors site, et avec des tiers (incluez des solutions de stockage de sauvegarde et de cloud computing dans votre projet de cartographie des données). Une fois que vous savez quelles données vous avez et où elles se trouvent, examinez attentivement et débarrassez-vous de ce dont vous n'avez pas vraiment besoin.

4. Chiffrez vos données

Chiffrez les données que vous devez conserver. En termes simples, le cryptage des données - qu'il s'agisse d'e-mails, de photographies, de mémos ou de tout autre type d'informations stockées électroniquement - les code afin que ceux qui ne possèdent pas les clés de cryptage ne puissent pas les lire. Une technologie de cryptage solide est maintenant généralement disponible gratuitement et elle est facile à utiliser. Le grand avantage du cryptage de vos données est qu'il les rend beaucoup moins susceptibles d'être piratées. Notez que les machines qui traitent des informations sensibles telles que les fonctions de paie ou de point de vente (POS) doivent idéalement se trouver sur des réseaux ou des systèmes distincts des machines impliquées dans les services de routine, comme la mise à jour de Facebook et la vérification des e-mails.

5. Banque en toute sécurité

Le rapport californien comprend des conseils spécifiques et exploitables pour les services bancaires en ligne, notamment :

• Mettez la sécurité en premier. Effectuer des opérations bancaires en ligne en utilisant uniquement une connexion de navigateur sécurisée (indiquée par « https » et/ou un cadenas visible dans la barre d'adresse ou dans le coin inférieur droit de la fenêtre de votre navigateur Web). Les sessions bancaires en ligne doivent être menées en mode privé de votre navigateur Web, et vous devez ensuite effacer le cache de votre navigateur Web, les fichiers Internet temporaires, les cookies et l'historique afin que si votre système est compromis, ces informations ne seront pas accessibles aux cybercriminels.

• Profitez des options de sécurité offertes par votre institution financière. Les exemples incluent l'utilisation d'une authentification à deux facteurs pour accéder à votre compte, l'obligation pour deux personnes autorisées de signer chaque transfert de fonds et la configuration de notifications de compte par e-mail ou SMS lorsque certaines activités à haut risque se produisent sur votre compte.

• Fixez des limites aux virements électroniques. Des organisations criminelles transnationales sophistiquées piratent désormais régulièrement les ordinateurs des entreprises et transfèrent des sommes importantes à l'étranger où elles ne peuvent pas être récupérées. Pour éviter cela, fixez des limites au montant pouvant être viré de vos comptes et (en fonction des besoins de votre entreprise) envisagez de demander à votre banque d'exiger la signature de deux équipes de direction avant d'envoyer des virements bancaires à l'étranger.

6. Défendez-vous

Lors du choix des solutions de sécurité, protégez-vous contre les points de défaillance uniques de toute technologie ou méthode de protection spécifique. Cela devrait inclure le déploiement de pare-feu, d'antivirus et d'autres solutions de sécurité Internet régulièrement mis à jour qui couvrent tous les appareils numériques, des ordinateurs de bureau aux smartphones en passant par les tablettes.

Les appareils connectés à votre réseau doivent être sécurisés par plusieurs couches de technologies défensives qui incluent, mais sans s'y limiter, la technologie antivirus. Recherchez des solutions de sécurité complètes qui abordent la sécurité sous plusieurs angles afin de pouvoir gérer les risques liés à l'éventail complet des menaces que vous pourriez rencontrer. Les fonctionnalités utiles incluent la possibilité de localiser ou d'effacer à distance un appareil qui a disparu et la capacité d'identifier et de bloquer des attaques inédites à l'aide de technologies qui analysent le comportement et/ou utilisent des outils de virtualisation.

7. Éduquer les employés

Sensibilisez les employés aux risques de cybermenaces, aux mécanismes d'atténuation des risques et à la valeur de la propriété intellectuelle et des données de votre entreprise. Vos employés sont la première ligne de défense, et une bonne formation et des procédures de sécurité peuvent réduire le risque de perte accidentelle de données et d'autres risques internes.

8. Soyez prudent avec votre mot de passe

Modifiez tout nom d'utilisateur ou mot de passe par défaut pour les ordinateurs, imprimantes, routeurs, smartphones ou autres appareils. TOUT est mieux que la valeur par défaut. Plus précisément, vous devez utiliser des mots de passe forts et ne pas laisser votre navigateur Internet mémoriser vos mots de passe.

9. Opérez en toute sécurité

Protégez vos systèmes en utilisant des défenses de sécurité en couches et en gardant tous les systèmes d'exploitation et logiciels à jour. N'installez pas de logiciels que vous n'avez pas spécifiquement recherchés et ne téléchargez pas de logiciels provenant de sources non fiables ou inconnues. N'oubliez pas de supprimer ou de désinstaller les logiciels que vous n'utilisez plus.

10. Prévoyez le pire

Le rapport note que chaque petite entreprise devrait mettre en place un plan de reprise après sinistre afin que, lorsqu'un cyber-incident se produit, vos ressources soient utilisées de manière judicieuse et efficace. Choisissez une équipe de réponse aux incidents et affectez un responsable. Assurez-vous que l'équipe comprend un membre de la direction générale. Définissez les rôles et les responsabilités afin que chacun sache clairement qui est responsable de quoi en cas d'incident. Indiquez à tous les membres de votre entreprise qui contacter s'ils soupçonnent qu'un cyber-incident s'est produit (ou est en train de se produire). Rassemblez et distribuez les informations de contact après les heures de travail pour votre équipe de réponse aux incidents. Ensuite, décrivez les étapes de base de votre plan de réponse aux incidents en établissant des listes de contrôle et des éléments d'action clairs.

Le rapport de l'État de Californie aborde les escroqueries par ingénierie sociale, les violations de réseau, les violations physiques et les violations mobiles, et inclut plus de détails sur les opérations sécurisées et la réponse aux incidents. Cela vaut bien votre temps; nous allons seulement voir plus de problèmes qui affectent les entreprises légitimes sur notre marché numérique. Alors prenez une chaise confortable et un café chaud et étudiez ce guide utile, précieux et lisible sur la cybersécurité pour les petites et moyennes entreprises.

Act-On s'engage à respecter votre vie privée et la protection de vos données. Jetez un œil à nos efforts proactifs et aux certifications de l'industrie ici .

Image du haut : "Confidentialité" par g4114is. Utilisé avec permission, sous licence Creative Commons 2.0.