Accueil Entreprise 10 étapes que votre petite entreprise devrait franchir en matière de cybersécurité

10 étapes que votre petite entreprise devrait franchir en matière de cybersécurité

Vidéo: Protéger le secret des affaires dans votre entreprise (Novembre 2024)

Vidéo: Protéger le secret des affaires dans votre entreprise (Novembre 2024)
Anonim

La Semaine nationale de la petite entreprise est en cours et les festivités n’ont pas tardé à traiter l’un des problèmes les plus criants et toujours présents pour les petites et moyennes entreprises (PME): la cybersécurité. La Small Business Administration (SBA) est l’agence gouvernementale américaine qui se consacre à fournir une aide concrète, une formation et des recommandations que les petites entreprises peuvent mettre en pratique immédiatement dans leurs activités quotidiennes. À cette fin, plutôt que de simplement proposer des tendances en matière de sécurité, le panel de cybersécurité SBA actuel a donné aux PME des conseils, des ressources et des mesures concrètes pour réduire les vulnérabilités de la sécurité et mettre en place une stratégie de sécurité complète.

Doug Kramer, administrateur adjoint de SBA, a animé le panel d'experts en sécurité. Ils ont discuté des plus grands risques pour la sécurité des petites entreprises et des mesures les plus importantes à prendre pour protéger leur infrastructure et leurs données, en nuage ou physique. Le panel comprenait Bill O'Connell, vice-président de Global Trust Assurance chez ADP; Stephen Cobb, chercheur principal en sécurité chez ESET North America; Matt Littleton, directeur régional Est de la cybersécurité et des services d'infrastructure Azure chez Microsoft; et Patricia (Pat) Toth, informaticienne en supervision à la division de la sécurité informatique de l'Institut national de la normalisation et de la technologie (NIST).

Les panélistes ont abordé des problèmes de cybersécurité allant du phishing au ransomware, en passant par la manière dont une petite entreprise doit aborder l'authentification multifactorielle (MFA), la formation et les règles de sécurité des employés, les éléments à rechercher dans un contrat de fournisseur de services gérés (MSP), et quand faire appel à un consultant en sécurité informatique.

Selon Kramer, il ne s’agit pas seulement de cartes de crédit et d’informations bancaires des employés et des clients, mais aussi des entreprises de données de propriété intellectuelle, du courrier électronique au stockage en nuage, et des surfaces d’attaque qui pourraient faire de la petite entreprise un maillon faible et une cible facile. La chaîne d'approvisionnement. Selon la SBA, Kramer a déclaré que près de la moitié des petites entreprises étaient victimes de cybercriminalité et que le coût moyen d'une attaque s'élevait à environ 21 000 dollars.

"Toute personne qui démarre une petite entreprise travaille aussi durement que possible, sans plus de temps ni d'argent pour faire face à un problème de cybersécurité qui pourrait coûter plus cher que prévu et signifier la vie ou la mort d'une petite entreprise", a déclaré Kramer, de SBA, dans son panel a commencé. "La menace d'intrusion et de vol cybernétiques est bien réelle. Les petites entreprises mesurent leurs actifs et leurs stocks de différentes manières, mais elles se retrouvent sur une mine d'informations."

1. Sécurité du cloud: à faire et à ne pas faire

Pour des raisons de rentabilité et de commodité, toutes les PME doivent envisager une transition vers le cloud, mais la transition doit se faire avec précaution. Les panélistes ont abordé certaines des considérations et des obstacles les plus importants.

  • Faire: Sauvegarde incrémentielle dans le nuage

    "Le cloud présente de nombreux avantages et risques, mais les PME doivent tout simplement faire des sauvegardes", a déclaré Cobb, de ESET. "La sauvegarde actuelle de tous les fichiers constitue la meilleure protection contre les ransomwares et constitue une partie essentielle de votre posture et de votre défense en matière de cybersécurité. Vous devriez quand même sauvegarder sur un disque dur et stocker une copie dans un endroit sûr, mais le cloud vous permet de sauvegarder constamment."

  • À faire: payer pour la sécurité en nuage Premium

    "Les propriétaires de petites entreprises sont conscients des prix, mais d'autres facteurs doivent prendre en compte le poids", a déclaré M. O'Connell d'ADP. "Certaines choses devraient coûter plus cher pour un niveau de service supérieur, et la sécurité en est une. Ne prenez pas seulement une décision en fonction du prix."

  • Ne pas: signer le contrat MSP

    "Vérifiez ce contrat", a déclaré Cobb d'ESET. "Vous pouvez externaliser le stockage ou la sauvegarde, mais vous ne pouvez pas externaliser la responsabilité. Si le propriétaire de la PME dit que le fournisseur informatique dispose de toutes les données des clients et des employés - vos données - vous en êtes toujours responsable."

    "En ce qui concerne non seulement le contrat, mais également les données, faites vos recherches pour voir s'il y a des problèmes de sécurité", a ajouté O'Connell d'ADP. "Pour un PME, le contrat est une bonne partie de cette ligne de défense. Consultez les contrats de niveau de service et les stratégies de données du niveau d'accès. Combien de temps les MSP conservent-ils les données? Que font-ils avec?"

  • A ne pas faire: laisser les fonctionnalités d'infrastructure MSP non utilisées

    "Si vous entrez dans un environnement cloud, vous pouvez changer une partie de cette responsabilité. Nous ne sommes plus dans une arène de plates-formes où vous devez vous inquiéter de ne pas avoir le personnel nécessaire pour répondre à un problème ou corriger un serveur", a déclaré Microsoft. Littleton. «C’est là que le fournisseur de services peut intervenir et s’occuper de cela en votre nom. Vous devez comprendre en quoi consiste un contrat et les services proposés par le fournisseur de cloud.»

2. Authentification multifactorielle: il suffit de le faire

«Du point de vue tant personnel que professionnel, MFA est une chose que vous pouvez faire immédiatement. Les entreprises n’ont aucune excuse pour ne pas le faire tout de suite», a déclaré Littleton, de Microsoft. "C’est simple avec toute la pile de produits Microsoft; il en va de même pour Google, Yahoo, vous nommez le fournisseur de messagerie. Regardez vos paramètres de sécurité et demandez à chaque employé de saisir son numéro de téléphone portable comme deuxième facteur. Ensuite, même si un attaquant et je vole votre mot de passe, je ne peux pas l'utiliser à moins de voler votre téléphone cellulaire et de connaître le code PIN."

3. Quand faire appel à un consultant en sécurité informatique

" Il y a des choses que vous ne pouvez pas faire seul en tant que propriétaire de petite entreprise", a déclaré O'Connell d'ADP. "Pour les contrats très importants, vous obtenez des conseils juridiques externes. Pour les états financiers annuels et trimestriels, vous avez un comptable. Même chose pour l'expertise en sécurité. Lorsque vous devez tester un site pour vous assurer qu'il est sécurisé sur le Web ou effectuer une évaluation des risques, c'est de l'argent bien dépensé si vous n'avez pas l'expertise pour le faire vous-même. Vous ne faites pas l'électricité ou la plomberie dans le bâtiment, il s'agit de savoir quand vous avez besoin d'aide."

4. La sécurité fait partie du travail de chacun

"Vous ne pouvez pas compter sur une seule personne dans une entreprise de 10 personnes; tout le monde doit bien comprendre la cybersécurité et les risques qui pèsent sur celle-ci", a déclaré M. Toth, du NIST. "S'ils ne le font pas, leur travail pourrait être compromis s'il y a une violation et que l'entreprise ne peut pas récupérer."

"Faire de la sécurité une partie intégrante du travail de chaque personne", a ajouté O'Connell d'ADP. "La personne qui gère les finances - que doivent-elles faire tous les jours? Sur le plan physique, qui ferme la porte la nuit? Tout le monde a besoin de connaître les composants et comment leur rôle s'inscrit dans la sécurité globale de l'entreprise."

5. Ne soyez pas le maillon faible de la chaîne d'approvisionnement

Comme l'a expliqué Kramer de SBA, il n'y a plus de division entre PME et entreprises. Les petites entreprises veulent soit se développer et s’étendre, soit se connecter à une chaîne d’approvisionnement de logiciels et de services. Le problème est que les stratégies de sécurité de la PME peuvent ne pas être à la hauteur d'une entreprise de la chaîne d'approvisionnement avec laquelle elles souhaitent établir un partenariat.

"Lorsqu'une PME conclut son premier gros contrat avec une grande entreprise et qu'elle demande à consulter ses stratégies de sécurité et son programme de sensibilisation, vous ne devriez pas chercher à tout vérifier sur la liste de contrôle", a déclaré Cobb, de ESET. "Les risques liés à la chaîne logistique constituent un problème majeur. Si une PME échange numériquement avec un fournisseur, vérifiez-le. Vous devez disposer de politiques de sécurité et d'une formation appropriées pour que cela ne devienne pas un obstacle."

"Aucune entreprise n'est trop petite pour être ciblée dans le cyberespace, en particulier pour la gestion de la chaîne logistique", a déclaré Littleton, de Microsoft. "De nombreuses violations ne commencent pas par le haut; elles commencent quelque part dans la chaîne d'approvisionnement et les attaquants se frayent un chemin jusqu'à la cible ultime."

Toth, du NIST, a déclaré qu'au cours des deux prochaines années, les agences gouvernementales commenceraient à publier des règles d'accès aux systèmes de la chaîne d'approvisionnement. Dans l'intervalle, elle a déclaré que les PME devaient avoir un plan en place.

"La planification est une valeur inestimable pour savoir ce qui est vraiment important. Il s'agit d'une chose à protéger et du fonctionnement de votre entreprise si elle n'était pas accessible", a déclaré M. Toth, du NIST. "Les PME doivent avoir des plans, des politiques et des procédures en place. Ce n'est pas une grosse approche gouvernementale; cela peut être aussi simple que des politiques dans votre manuel de l'employé expliquant ce qu'elles peuvent et ne peuvent pas faire sur Internet, comment repérer une attaque de phishing et quand ouvrir et non ouvrir les liens et les pièces jointes."

6. Traiter le courrier électronique comme une carte postale, pas une enveloppe

"La première chose à faire en tant que petite entreprise avec la messagerie électronique est de réfléchir à ce qui y est contenu. Si je vais pirater les informations sur la société d'une personne, sa messagerie contient souvent toutes les bonnes choses", a déclaré Cobb de ESET. "Souvent, les gens ne pensent pas à ce qu'ils laissent là-bas. Regardez le hack de Sony; les gens disaient des choses par courriel qu'ils n'auraient pas dû être. Le courriel est une carte postale, pas une enveloppe scellée. Gardez cela à l'esprit.""

"Cela concerne également de plus en plus la capacité de contrôler les données", a déclaré Littleton de Microsoft. "Il peut être rentable d'utiliser un service de messagerie chiffré avec un filtrage entrant réduisant la surface d'attaque. Si vous laissez votre numéro de carte de crédit dans un courrier électronique, le service vous demandera si vous voulez vraiment l'envoyer, puis ne pas chiffrer automatiquement. seulement le nombre mais l’ensemble du courrier électronique. Au fur et à mesure que le secteur avance, ces services deviennent de plus en plus raisonnables et banals."

7. Toujours signaler les incidents

Kramer, de la SBA, a expliqué que, lorsqu'une petite entreprise subit une violation ou une demande de phishing ou de demande de ransomware, elle doit savoir qui appeler. Cobb de ESET a déclaré que si les petites entreprises ne signalaient pas cela à la police de peur que les forces de l'ordre ne disposent pas des ressources nécessaires pour enquêter, le cycle se perpétuerait.

"Nous avons un cycle malheureux dans lequel les forces de l'ordre obtiennent un financement basé sur les crimes signalés, mais les gens ne signalent pas les crimes parce qu'ils ne pensent pas que la police dispose des ressources nécessaires", a déclaré Cobb, de ESET. Si personne ne le signale, la police ne disposera jamais des preuves nécessaires pour se doter des ressources nécessaires pour faire face à ces problèmes de cybercriminalité."

"La plupart des municipalités ont des unités de cybercriminalité et réagiront", a ajouté M. Toth, du NIST.

8. Mettre en place un plan d'intervention en cas d'incident

"Vous n'essayez pas de mettre votre ceinture de sécurité au milieu d'un accident", a déclaré Littleton de Microsoft. "Vous avez besoin d'un plan indiquant comment vous allez réagir avant qu'une violation ne se produise."

"Vous n'êtes pas complètement seul non plus", a déclaré Cobb de ESET. "Les services de sécurité que vous achetez dans le commerce bénéficient d'une protection accrue dans le cloud ou dans l'accès à la chaîne d'approvisionnement. Ils peuvent fournir des services de détection et de prévention au niveau de base. Lors de l'élaboration de votre plan, veillez à ne pas quitter les services de sécurité. sur la table offerte par votre MSP ou votre service de sécurité."

9. Ne laissez pas les bouts lâches

"L'un des problèmes que nous voyons, lorsqu'un employé quitte son poste ou est licencié, est de ne pas mettre immédiatement fin à l'accès à son système", a déclaré Cobb de ESET. "Les petites entreprises travaillent avec des personnes en qui elles ont confiance, et beaucoup d'entre elles vont et viennent. Parfois, elles ne s'en vont pas dans les circonstances les plus heureuses. Si un ancien employé réticent a toujours accès ou même quand même l'authentification multifactorielle est activée, c'est un gros problème de sécurité interne qui est douloureusement facile à résoudre."

10. Ressources gouvernementales et formation

Le gouvernement prend des mesures importantes pour lutter contre la cybersécurité. La Maison-Blanche a publié un cadre sur la cybersécurité plus tôt cette année et le projet de budget 2017 du président Obama vise une augmentation de 35% du financement (19 milliards de dollars) pour faire face aux attaques de cybersécurité. Kramer de la SBA et Toth du NIST ont souligné les ressources gratuites du gouvernement, telles que la page complète de ressources de la SBA sur la cybersécurité pour les PME, notamment des conseils et des outils en matière de cybersécurité, une collection de cours, des formations et des webinaires.

Certaines des ressources les plus utiles sont:

  • Les 10 meilleurs conseils de SBA en matière de cybersécurité
  • Cours en ligne SBA: la cybersécurité pour les petites entreprises
  • Outil d'évaluation de la cyber-résilience (CRR)
  • Le petit planificateur cyber
  • SBA, NIST et les ateliers conjoints du FBI pour les petites entreprises
  • La chaîne YouTube de la SBA
  • Centre de ressources sur la sécurité informatique du NIST
  • Les certifications et les programmes de formation de COMPTIA pour apprendre les protocoles de sécurité MSP
10 étapes que votre petite entreprise devrait franchir en matière de cybersécurité

Le choix des éditeurs

Le choix des éditeurs

Le choix des éditeurs

Le choix des éditeurs

Le choix des éditeurs

Le choix des éditeurs

Catégories populaires

© Copyright fra.rovinstechnologies.com, 2024 Novembre | À propos du site | Contacts | Politique de confidentialité.