Vos clients sont-ils prémunis contre le piratage?
Dans les nouvelles se rapportant aux cyberattaques, on fait généralement état de grandes sociétés et organisations qui en sont les victimes. Toutefois, selon IBM, les petites et moyennes entreprises sont visées dans 62 % des cas, à raison d’environ 4 000 cyberattaques par jour. La raison? Elles sont une cible facile!
Votre entreprise ou vos clients sont-ils menacés?
Les cyberattaques font la manchette presque tous les jours : une entreprise est piratée, et des données sensibles ou se rapportant à la clientèle sont exposées, voire compromises. La liste des incidents les plus graves au chapitre de la sécurité des données est parsemée de marques bien connues. Il suffit de penser à Anthem, JP Morgan Chase et Target, pour n’en nommer que quelques-unes.
Mais ne pensez pas une seconde que les pirates ciblent uniquement les grandes organisations. En fait, les petites entreprises sont souvent la cible recherchée par les pirates. Pourquoi? Essentiellement parce que leur sécurité en ligne est souvent inadéquate et, avec des données sensibles hébergées dans le nuage, elles n’en sont qu’une victime plus facile.
Rappelez-vous : une petite visite virtuelle d’un pirate à vos bureaux durant la nuit peut signifier que vos activités sont réduites à néant le lendemain! Selon un rapport de la U.S. National Cyber Security Alliance, 60 % des petites entreprises qui subissent une cyberattaque ferment leurs portes dans les six mois.
Ne comptez sur personne pour protéger votre entreprise – sauf vous
Les banques et les gouvernements n’en font pas beaucoup pour aider les petites entreprises aux prises avec des pirates et la violation de données. La loi intitulée « MAIN STREET Cybersecurity Act », récemment déposée aux États-Unis, aidera bien les PME à protéger leurs actifs numériques des cybermenaces, mais c’est loin d’être une solution miracle. Les entreprises de tout acabit doivent donc commencer à prendre la sécurité des données sérieusement – et de manière proactive, dans une optique de reddition de compte intégrale.
Il presse donc de mettre en place un plan de sécurité solide au sein de votre entreprise.
Mais ne vous arrêtez pas pour autant à la première solution que vous trouverez. Il vous faut plutôt prendre le temps de trouver l’approche correspondant à vos activités, à vos clients et à votre secteur. Il n’existe pas de solution universelle convenant à tous. Surtout, ne confiez pas la sécurité des données à votre personnel des TI uniquement. Faites participer tout le monde, y compris vos gestionnaires et les membres du personnel à tous les niveaux. Formez chacun d’entre eux à l’égard des mesures de protection et renseignez-les sur les manières de maintenir la conformité. Par exemple, en avisant vos employés d’éviter d’ouvrir des pièces jointes suspectes, vous vous protégerez dans une certaine mesure contre les logiciels malveillants qui pourraient facilement s’infiltrer dans votre réseau.
Et si votre main-d’œuvre est très mobile, vous devrez peut-être réévaluer tout programme de type BYOD/AVEC (apportez votre équipement personnel de communication) déjà en place. En effet, Security Magazine explique comment un programme AVEC, instauré de manière officielle ou non, pourrait créer un risque inopiné au sein de l’organisation – simplement en raison de l’ignorance du personnel à son égard. Security Magazine y va de cette affirmation : « 17,7% des répondants au sondage qui apportent leurs propres dispositifs électroniques au travail pensent que les services de TI de leur employeur n’ont aucune idée de cette pratique, et 28,4 % des services de TI choisissent tout simplement de l’ignorer ».
Votre travail ne s’arrête pas avec la mise en place de mesures de protection. D’autres étapes doivent être observées pour rester à l’abri des pirates.
Souscrivez une police d’assurance couvrant la cybersécurité, mettez en place une stratégie de mot de passe fort pour vos utilisateurs et utilisez les salles de données virtuelles (VDR). Comme point de départ de votre démarche, consultez cette liste de cinq outils et services que les petites entreprises peuvent utiliser pour se protéger contre les cyberattaques.
Pour faire passer la cybersécurité au prochain niveau
Vous voulez aller plus loin? Envisagez le recours au piratage identifié, où un expert en cybersécurité travaille au sein de votre entreprise pour détecter ses vulnérabilités en reproduisant les intentions et les gestes des pirates informatiques.
Consultez également une entreprise spécialisée en cybersécurité. Beaucoup d’entre elles vous offriront des évaluations gratuites pour vous donner une idée de vos points faibles. Elles vous expliqueront en outre comment elles peuvent vous aider à gérer les menaces. Et si vous ne disposez pas actuellement d’une équipe des TI interne, la sous-traitance des tâches informatiques pourrait être une option efficace.
Comme si tout cela ne suffisait pas, voici une autre chose à considérer. Lors de l’élaboration d’une politique de sécurité des données, assurez-vous aussi d’en protéger la confidentialité en incluant les neuf éléments clés qui suivent à votre politique, comme l’explique Security Magazine. Il est en effet essentiel d’envisager votre politique sous tous les angles : après tout, vos données peuvent faire le succès comme entraîner la perte de votre entreprise!
| 1 | Assurez-vous qu’il y a obligation de rendre des comptes en matière de sécurité des données | L’ensemble des membres du personnel des TI, de l’effectif et de la direction doivent être conscients de leurs responsabilités. |
| 2 | Élaborez des politiques qui régissent les services de réseau | C’est-à-dire comment gérer l’accès à distance, les adresses IP, les routeurs et la détection des intrusions. |
| 3 | Recherchez activement les vulnérabilités | Mettez un programme en place pour inspecter régulièrement vos propres réseaux et détecter d’éventuelles vulnérabilités. |
| 4 | Gérez les correctifs | Installez les correctifs nécessaires qui peuvent vous protéger des menaces en éliminant les points faibles. |
| 5 | Créez des politiques de sécurité des données système | Les règles de ces politiques encadreront l’utilisation des serveurs d’entreprise, des pare-feu, des bases de données et des logiciels antivirus. |
| 6 | Instaurez un plan d’intervention en cas d’incident | Si une brèche de sécurité survient, des mesures doivent être en place pour traiter la situation, sans oublier les tâches d’évaluation et de déclaration. |
| 7 | Informez le personnel relativement à l’utilisation jugée acceptable | Les employés doivent signer une politique d’utilisation acceptable et en comprendre les dispositions. De plus, une telle politique doit prévoir des mesures disciplinaires en cas de violation. |
| 8 | Surveillez la conformité | Livrez-vous à des audits réguliers pour faire en sorte que le personnel comme la direction respectent la politique de sécurité des données. |
| 9 | Effectuez un suivi et un contrôle des comptes d’utilisateur | Désignez quelqu’un chargé d’avoir à l’œil les activités des utilisateurs, et de faire le suivi des comptes actifs et inactifs. |
Voilà beaucoup de choses à retenir, mais tout cela est faisable. Plus important encore : cela doit être fait! Les pirates d’aujourd’hui sont extrêmement futés, et les organisations doivent être préparées pour le moment où elles feront face à une brèche dans la sécurité de leurs données. Une telle brèche n’est pas une éventualité, mais une quasi-certitude! Le fait de prendre des mesures dès maintenant vous évitera de gros ennuis plus tard.
