Table des matières:
- 1. Utilisons-nous un logiciel de sécurité?
- 2. Sauvegardons-nous nos données?
- 3. Cryptons-nous nos données?
- 4. Utilisons-nous Smart Cloud Storage?
- 5. Avons-nous un pare-feu?
- 6. Quelle est notre procédure d'accès à distance?
- 7. Quelle est la politique de notre entreprise concernant les appareils?
Vidéo: Le COVID-19 : Comment les entreprises doivent-elles réagir? (Novembre 2024)
Garder vos données organisées et en sécurité constituera une priorité absolue cette année, non seulement à cause de réglementations actualisées telles que le règlement général sur la protection des données (GDPR), mais aussi parce que la situation globale en matière de sécurité informatique reste sombre. Dans une étude réalisée par le cabinet d’études Statista l’année dernière, les entreprises américaines ont classé les cybermenaces au premier rang de leurs menaces, parallèlement à une perturbation d’un processus commercial clé tel que la chaîne logistique. Les petites entreprises seront particulièrement vulnérables, non seulement parce qu'elles disposent de ressources limitées pour s'attaquer au problème, mais également parce que les pirates informatiques commencent à cibler ce segment de manière spécifique et globale.
1. Utilisons-nous un logiciel de sécurité?
Le logiciel Endpoint Protection surveille et protège votre réseau d'entreprise contre les périphériques externes qui tentent de créer des points d'entrée pour une attaque. Ces outils incluent généralement une combinaison d'antivirus, de pare-feu et de fonctionnalités de gestion des périphériques mobiles (MDM) (nous en parlerons plus tard). En utilisant l'un de ces outils, votre équipe technologique dédiée (en supposant que vous en ayez un) sera alertée des menaces si elles se présentent.
"Même si vous êtes une petite entreprise, chaque logiciel d'extrémité doit être sécurisé par un logiciel de sécurité, car il existe une multitude de menaces qui peuvent à la fois paralyser votre entreprise et les données de vos clients", a déclaré Adrian Liviu Arsene, analyste principal des e-menaces à Bitdefender. "Des logiciels ransomware aux logiciels malveillants enregistreurs de frappe et aux menaces avancées visant à utiliser votre entreprise comme passerelle vers vos clients, si vous êtes un fournisseur de services, disposer d'un logiciel de sécurité est non seulement recommandé mais obligatoire."
2. Sauvegardons-nous nos données?
Si votre entreprise subit un piratage ou si votre bureau est touché par un ouragan, une sauvegarde de vos données les plus récentes vous aidera à reprendre vos activités avec un minimum de problèmes liés aux données. Une sauvegarde en nuage de vos informations garantira qu'après une reconstruction physique brève, votre entreprise pourra être de nouveau opérationnelle. Si vous n'avez jamais sauvegardé vos données, vous démarrez essentiellement votre entreprise à partir de rien. En outre, les sauvegardes de données, associées au logiciel de protection des terminaux, vous permettent de détecter les menaces dès leur apparition, de les expulser de votre réseau, puis de rétablir l'état le plus récent et le plus sûr pour votre réseau.
Il existe des moyens simples de sauvegarder vos données, notamment la configuration de sauvegardes automatisées avec le logiciel de récupération après sinistre et la copie de vos fichiers système vers d'autres régions (en cas de problème géographique). Indépendamment de ce que vous choisissez, il est impératif que vous commenciez à sauvegarder immédiatement.
"Les sauvegardes et les licenciements sont essentiels à la continuité des activités, car toute perte ou interruption de service pourrait signifier la cessation de ses activités ou son invalidité grave pendant une longue période", a déclaré Arsene. "Ransomware est un exemple parfait de ce qui peut arriver si vous n'avez pas de sauvegardes. Mais sachez également que le matériel fait parfois défaut et qu'il est mal avisé de disposer d'une seule copie de vos ressources critiques."
3. Cryptons-nous nos données?
La plupart des éditeurs de logiciels de protection des terminaux vous aideront également à chiffrer vos données au fur et à mesure de leur déplacement au sein de votre réseau, de leur sortie de votre réseau et de leur intégrité sur vos serveurs. Le cryptage transforme essentiellement vos données au format texte brut en un texte crypté, un brouillage impossible à déchiffrer de la séquence en texte brut réel de vos données. En entrant une clé de décryptage, vos données sont déchiffrées et renvoyées dans leur format normal. Ainsi, si quelqu'un pirate votre système et vole vos données, il verra la version cryptée plutôt que la version en texte brut.
Attention, les attaques peuvent se produire à différentes étapes du processus de transfert de données. Ils peuvent se produire lorsque des données sont envoyées du serveur à sa destination. Des attaques peuvent se produire lorsque des données sont stockées sur vos serveurs et des piratages peuvent se produire lorsque des données sont transférées d'un périphérique à un autre au sein même du réseau. Lorsque vous parlez à votre fournisseur de services de protection des points de terminaison, demandez-lui s'il peut vous aider à chiffrer les données en transit et au repos.
"Les deux types de données doivent être cryptés, en particulier si vous utilisez des informations confidentielles et confidentielles sur vos clients", a déclaré Arsene. "Toutes les informations peuvent être monétisées par les cybercriminels. Le fait de garder toutes les informations cryptées rend non seulement leur travail plus difficile, mais également le vôtre plus sans souci."
4. Utilisons-nous Smart Cloud Storage?
De nos jours, la plupart des entreprises, en particulier les petites et moyennes entreprises (PME), ont au moins quelques magasins de données dans le cloud. Les fournisseurs de stockage en nuage de classe affaires ne manquent pas et la valeur qu'ils offrent en termes de coût de stockage global ainsi que de capacités de service gérées est imbattable dans la plupart des cas par des solutions de stockage sur site, qui tendent non seulement à être plus onéreuses, également propriétaire.
Cependant, bien que l'établissement d'une configuration de base sur des services tels que Dropbox Business ou même Amazon S3 puisse s'avérer relativement simple, tirer pleinement parti des fonctionnalités de sécurité des données peut présenter une courbe d'apprentissage assez longue. Mais vous voudrez certainement que votre personnel informatique mange, car ces fournisseurs peuvent même donner aux petites entreprises l’accès à des fonctionnalités avancées de sécurité du stockage sur lesquelles elles devraient dépenser beaucoup plus pour pouvoir être mises en œuvre sur site.
Par exemple, nous avons discuté plus tôt du cryptage de données, mais si la grande majorité des fournisseurs de services cloud ont la possibilité de crypter les données stockées sur leurs services, ils ne le font pas tous par défaut. En outre, ils ne cryptent pas tous également les données lorsqu'elles sont en transit entre elles et votre autre serveur d'applications ou les appareils de vos utilisateurs. Ces paramètres doivent être examinés, activés et surveillés par le service informatique.
Il existe également des fonctionnalités plus avancées qui demandent du travail, mais qui peuvent avoir des avantages à long terme. L'un est la classification des données. Il s'agit d'un terme générique pour diverses technologies que les fournisseurs de services de stockage peuvent laisser leurs clients utiliser pour organiser leurs données en catégories pertinentes pour leur activité. Cela facilite non seulement la recherche et le traitement, mais peut également le rendre plus sécurisé, car certains de ces services peuvent attribuer des protections au niveau des fichiers à des classifications spécifiques. Dans certains cas, ces protections peuvent suivre le fichier même après qu'il a quitté les serveurs du fournisseur de stockage en nuage et soit transféré vers le périphérique ou le serveur d'une personne extérieure à l'organisation du client, comme un client ou un partenaire.
Lorsqu'elles sont utilisées de cette manière, les données classifiées peuvent exercer un contrôle non seulement sur les personnes pouvant accéder au fichier, mais également sur ce qu'elles sont autorisées à faire avec, qu'il s'agisse de les lire, les imprimer, les modifier ou les partager avec d'autres. Cela vous permet de garder certaines informations beaucoup plus sûres tout en conservant la possibilité de les partager en dehors de votre entreprise.
5. Avons-nous un pare-feu?
Vous ne possédez pas de maison sans porte d'entrée, n'est-ce pas? Alors pourquoi voudriez-vous exécuter un réseau sans pare-feu? Votre pare-feu vous permet d'empêcher le trafic indésirable d'entrer dans votre réseau d'entreprise. Cela signifie que vous pourrez maintenir un réseau interne privé sans exposer toutes vos données d'entreprise au serveur Web public sur lequel votre entreprise est exécutée.
"Les pare-feu sont parfaits pour éloigner les intrus qui souhaitent analyser votre réseau ou trouver des services ouverts et des ports pouvant être exploités pour un accès distant", a déclaré Arsene. "Avec les pare-feu, vous pouvez également définir des règles indiquant quelles adresses IP peuvent accéder à diverses ressources ou surveiller le trafic entrant et sortant."
Toutefois, tout comme pour l’étude des offres de votre fournisseur de services de stockage en nuage, il est également judicieux de vous assurer de bien comprendre toutes les fonctionnalités de votre pare-feu. Ces appareils deviennent de plus en plus sophistiqués, notamment ceux qui font partie d’un routeur Wi-Fi ou de réseau privé virtuel (VPN) pour petites entreprises. Par exemple, vous avez peut-être activé votre pare-feu réseau de base lors de la configuration initiale de votre routeur, mais vous avez probablement aussi la possibilité d'activer un pare-feu pour applications Web, qui peut fournir des protections spécifiques pour les données envoyées via des applications Web.
Une autre option consiste à rechercher un service de pare-feu géré. Comme son nom l'indique, il s'agit simplement d'un pare-feu qu'un fournisseur de services gère pour vous sur la base d'un abonnement. L'avantage est que vous pouvez facilement activer des fonctionnalités plus avancées car les experts gèrent la gestion des pare-feu. Cela signifie également que vous serez assuré que votre pare-feu disposera toujours des dernières protections, correctifs et mises à jour logicielles. Les inconvénients potentiels incluent le fait que vous partagez probablement votre pare-feu avec d'autres clients et que, dans cette configuration, tout votre trafic Web sera acheminé via ce tiers avant d'atteindre Internet ou vos utilisateurs. Cela peut constituer un goulot d'étranglement si le fournisseur ne sait pas gérer le flux de trafic. Vous devez donc vérifier si votre entreprise requiert une base minimale de performances Web pour certaines applications.
6. Quelle est notre procédure d'accès à distance?
De nos jours, chaque entreprise, quelle que soit sa taille, est susceptible de disposer d'employés, de clients ou de tout autre personnel en déplacement ayant besoin d'accéder aux ressources de l'entreprise à distance. Asseyez-vous avec votre personnel informatique et découvrez le processus exact pour de telles connexions. Est-ce un processus reproductible, identique pour quiconque? ou différentes personnes se sont-elles habituées à accéder à vos ressources de différentes manières? Si ce dernier, c'est un problème.
L'accès à distance devrait certainement être le même pour tout le monde. Cela signifie que vos informaticiens doivent non seulement se concentrer sur ce qui se passe de leur côté du pare-feu une fois qu'une demande de connexion est reçue, mais également sur ce qui doit se passer de l'autre côté du pare-feu afin de légitimer une telle demande. Les clients distants doivent être analysés pour s'assurer que les périphériques sont correctement mis à jour et protégés avec un logiciel de protection des terminaux client de qualité professionnelle. Ils doivent également se connecter à l'aide d'un VPN et toutes ces demandes doivent être gérées via un système de gestion des identités. Des versions à faible coût sont disponibles pour ces deux mesures et devraient être facilement mises en œuvre même par les plus petites entreprises disposant de moins de ressources informatiques.
7. Quelle est la politique de notre entreprise concernant les appareils?
Les stratégies BYOD (Bring-Your-Own-Device) permettent aux employés de choisir le matériel et les logiciels à utiliser lors de la conduite de processus d’entreprise. Bien que ces politiques offrent une flexibilité aux employés (et des économies de coûts aux entreprises qui ne sont plus obligées d'acheter des appareils pour les nouveaux employés), les plans BYOD comportent plusieurs risques. En haut de la liste: comment sécurisez-vous les données stockées sur ces appareils si vous ne choisissez pas le logiciel et ne créez pas le protocole d'accès sécurisé?
"La plupart des petites entreprises ont souvent recours au BYOD, mais n'ont généralement pas de politique de sécurité en place", a déclaré Arsene. "À cette fin, il est également recommandé de limiter l'accès aux informations critiques accessibles par les appareils apportés par les employés, soit via des réseaux distincts, soit en appliquant des stratégies d'accès, mais également en gérant les appareils mobiles. Comme les ordinateurs de poche sont également utilisés pour accéder aux courriers électroniques et aux données internes, il est important soit de les gérer avec une solution dédiée, soit de leur permettre uniquement d'accéder à des données non critiques."
Le logiciel MDM vous donne le pouvoir d'effacer, de verrouiller à distance, de créer une barrière géographique et de personnaliser à distance chaque périphérique en fonction de vos besoins spécifiques. Si des employés perdent des appareils, si des appareils sont piratés ou si des appareils peuvent accéder à plus de données d'entreprise que vous le souhaitez, vous pourrez alors effectuer des ajustements à l'aide de votre solution MDM sans toucher aux appareils réels.
