Par: Gary McAlum, directeur de la sécurité des systèmes d'information, AIG 

En fait, un récent rapport a révélé que les petites entreprises ont trois fois plus de chances d'être ciblées par des cybercriminels que les grandes entreprises. Heureusement, vous n'avez pas besoin de disposer d'un budget de cybersécurité de plusieurs millions de dollars pour protéger votre entreprise contre les cyberattaques. Que vous soyez responsable de la protection d'une entreprise du Fortune 500 ou d'une structure de cinq personnes, voici quatre étapes simples que vous pouvez suivre pour réduire considérablement votre risque cyber.

1. Exigez des mots de passe forts

Rendez les comptes des employés aussi difficiles que possible à compromettre pour les cybercriminels en exigeant des mots de passe longs, uniques et complexes. Pour une protection encore meilleure, les mots de passe devraient comporter au moins 12 caractères et inclure des lettres majuscules et minuscules, des chiffres et des caractères spéciaux.

2. Activez l'authentification multifacteur

L'authentification multifacteur aide à tenir les cybercriminels à l'écart des comptes importants si le mot de passe d'un employé est compromis. Le fait d'exiger une méthode secondaire pour vérifier l'identité d'un employé ajoute une couche de protection supplémentaire.

3. Sensibilisez vos employés

Il ne servira à rien d'avoir rendu les comptes de vos employés pratiquement impénétrables s'ils ne savent pas identifier et éviter les menaces cybernétiques. Il a été rapporté que la majorité des cyberattaques sont causées par une erreur humaine. Si vous ne deviez prendre qu'une seule mesure pour renforcer la cybersécurité de votre entreprise, sensibilisez vos employés !

• Concentrez-vous sur le phishing. Le phishing représente 90 % des violations de données, il est donc essentiel d'apprendre à vos employés à reconnaître les tentatives de phishing et quoi faire s'ils reçoivent un e-mail suspect, selon un rapport récent. The National Cybersecurity Alliance propose un aperçu utile sur le phishing. Le message le plus simple à partager avec vos employés est le suivant : en cas de doute, ne cliquez pas !

• Proposez une formation annuelle de sensibilisation à la cybersécurité. Que vous travailliez avec un prestataire pour dispenser une formation formelle ou que vous organisiez simplement une réunion pour discuter des bases de la sécurité en ligne avec vos employés, proposez un rappel sur la cybersécurité au moins une fois par an. Lorsque de nouveaux employés rejoignent l'entreprise, assurez-vous qu'ils reçoivent une formation dans le cadre de leur intégration.

• Participez au Mois de Sensibilisation à la Cybersécurité. Utilisez le mois d'octobre comme une occasion de sensibiliser vos employés à la cybersécurité. Inscrivez-vous en tant que Champion du Mois de Sensibilisation à la Cybersécurité pour recevoir gratuitement une trousse de ressources que vous pourrez partager avec vos employés.

• Mettez des ressources de sensibilisation à la cybersécurité à disposition toute l'année. Si possible, mettez des ressources de sensibilisation à la cybersécurité à la disposition des employés sur un site intranet. Intégrez du contenu sur la cybersécurité dans les bulletins d'information et autres communications récurrentes destinées aux employés.

4. Envisagez la cyberassurance

Les cybercriminels développent constamment de nouvelles tactiques et techniques, donc même si vous suivez toutes les étapes ci-dessus, votre entreprise pourrait encore subir un incident cyber. Quelle que soit la taille de votre entreprise, le coût de la reprise après une cyberattaque peut être catastrophique. Souscrire une cyberassurance peut aider à couvrir le coût de la reprise après de nombreux types d'incidents cyber, tels que les violations de données et les attaques par rançongiciel.

De plus, de nombreuses polices incluent des évaluations des risques cyber, des analyses et un accès à des outils qui aident les entreprises à identifier les vulnérabilités et à comprendre comment y remédier. Une équipe chargée des sinistres, engagée et expérimentée, peut échanger avec une organisation avant qu'une attaque ou qu'une réclamation ne survienne et fournir des informations sur l'expérience et le processus de réclamation, y compris des mises en relation avec des cabinets d'avocats et des fournisseurs de cybersécurité qui feraient partie d'une équipe de réponse aux incidents si ce besoin se présentait. Cela est particulièrement précieux pour les petites entreprises qui ne disposent pas de ressources de cybersécurité dédiées.

Pour plus d'informations sur la façon de protéger votre entreprise contre les cyberattaques, découvrez le programme CyberSécuriser mon Entreprise de la National Cybersecurity Alliance.

Gary McAlum, directeur de la sécurité des systèmes d'information, American International Group (AIG)

Dans ce rôle, il est responsable de l'élaboration, de la mise en œuvre et de l'exploitation d'une stratégie de sécurité de l'information pour traiter les cyberrisques d'AIG. Il est chargé de protéger les données d'AIG, de gérer les risques liés à la cybersécurité et de garantir la conformité réglementaire, tout en permettant à l'entreprise de fonctionner.

En 2021, Gary a pris sa retraite de USAA, une société de services financiers axée sur la communauté militaire, où il a occupé le poste de Chief Security Officer pendant plus de 11 ans. Dans ce rôle, il a dirigé une équipe de plus de 1 000 personnes couvrant la sécurité de l'information, la confidentialité, les opérations antifraude, la continuité des activités, les opérations de sécurité physique et les enquêtes d'entreprise. Chez USAA, il a siégé pendant 10 ans au conseil d'administration de l'Internet Security Alliance (ISA) et a contribué à plusieurs de leurs publications. En outre, il a été un intervenant régulier du secteur dans le cadre du Cyberspace Operations Executive Course (COEC) du Department of Defense (DoD), conçu pour offrir aux hauts responsables militaires une meilleure compréhension des technologies, des politiques et des opérations mises en œuvre pour défendre et opérer dans le domaine cyber.

Avant USAA, Gary a servi 25 ans dans l'US Air Force, dont il a pris sa retraite au grade de colonel.  Tout au long de sa carrière militaire, il a occupé divers postes de direction et d'état-major dans le domaine des technologies de l'information et des métiers du cyber, notamment les opérations de cybersécurité, les télécommunications, les communications par satellite, les opérations de réseaux déployés et la sécurité de l'information. Gary a effectué plusieurs déploiements au Moyen-Orient en soutien aux opérations militaires. Plus particulièrement, il a été en première ligne des opérations dans le cyberespace pour le DoD, où il a soutenu la mise en place et l'évolution de la Joint Task Force Global Network Operations (JTF-GNO), l'organisation qui était le point central de l'exploitation et de la sécurité des systèmes et réseaux d'information du DoD et qui a précédé US Cyber Command. Pendant cette période, Gary a souvent été sollicité pour fournir des analyses sur les cybermenaces à un large éventail de forums interagences, notamment la US-China Economic and Security Review Commission et le President's National Cyber Study Group, ainsi que pour témoigner devant le Congrès. En 2016, il a été intronisé au Air Force Cyberspace Operations Hall of Fame. Après sa retraite de l'Air Force, il a passé peu de temps chez Deloitte & Touche, LLP, dans leur activité fédérale.

Gary est titulaire d'une licence en mathématiques de The Citadel, d'un M.S. en Management Information Systems de l'University of Arizona et d'un M.S. de l'Industrial College of the Armed Forces. Il est Certified Information Systems Security Professional (CISSP) et Certified Fraud Examiner (CFE). Gary a suivi le cours de certification Cyber Risk Oversight de la National Association of Corporate Directors (NACD), le Wharton Security Executive Development Program et le cours de formation des cadres Cybersécurité : l'intersection entre la politique et la technologie à la Harvard Kennedy School of Government. En outre, il a fréquenté la FBI's CISO Academy et la Domestic Security Executive Academy.

Gary siège au conseil d'administration du National Cybersecurity Center, une organisation à but non lucratif dédiée à l'innovation et à la sensibilisation en matière de cybersécurité, ainsi qu'à Fisher House Inc., une organisation à but non lucratif qui soutient les militaires, les anciens combattants et leurs familles séjournant à Fisher House pendant qu'ils reçoivent des soins médicaux dans la région de San Antonio.