Cybersécurité pour les entreprises
1 juin 2023
|
Lecteur Min
Les idées fausses courantes sur la cybersécurité détenues par les petites et moyennes organisations
Des employés dotés des ressources et des connaissances nécessaires pour protéger votre organisation contre les cybermenaces constituent l'une des meilleures lignes de défense que vous puissiez avoir.
Une priorité de l'éducation à la sécurité en ligne des employés devrait être de démystifier les idées reçues couramment citées en matière de cybersécurité. Cette liste - assemblée par la National Cybersecurity Alliance, en collaboration avec des partenaires publics et privés - est basée sur les expériences de chefs d'entreprise et d'employés d'ensemble des États-Unis.
10 idées fausses courantes
#1 : Mes données (ou les données auxquelles j'ai accès) ne sont pas précieuses
Les organisations de toutes tailles conservent ou ont accès à des données précieuses qui méritent d'être protégées. Ces données peuvent inclure, sans s'y limiter, des dossiers d'emploi, des informations fiscales, des correspondances confidentielles, des systèmes de point de vente, des contrats commerciaux. Toutes les données sont précieuses. Agir: Évaluez les données que vous créez, collectez, stockez, accédez, transmettez, puis classez ces données selon leur niveau de sensibilité afin de pouvoir prendre des mesures appropriées pour les protéger. En savoir plus sur comment faire cela.
#2 : La cybersécurité est un problème technologique
Les organisations ne peuvent pas compter uniquement sur la technologie pour sécuriser leurs données. La cybersécurité est mieux abordée avec un mélange de formation des employés, de politiques et procédures claires et acceptées, et de mise en œuvre de technologies à jour telles que les logiciels antivirus et anti-malware. Sécuriser une organisation est la responsabilité de l'ensemble du personnel, pas seulement du personnel informatique. Agir : Éduquez chaque employé (dans chaque fonction et à chaque niveau de l'organisation) sur sa responsabilité d'aider à protéger toutes les informations de l'entreprise. Découvrez comment faire cela avec le guide de l'Institut National des Standards et de la Technologie.
#3 : La cybersécurité nécessite un gros investissement financier
Une stratégie de cybersécurité robuste nécessite un engagement financier si vous êtes sérieux quant à protéger votre organisation. Cependant, il existe de nombreuses mesures que vous pouvez prendre qui nécessitent peu voire aucun investissement financier.
Agir : Créez et instituez des politiques et procédures de cybersécurité ; restreignez les privilèges administratifs et d'accès ; activez l'authentification multi-facteur ou 2-facteurs ; formez les employés à repérer les courriels malveillants et créez des procédures manuelles de sauvegarde pour maintenir les processus d'affaires critiques en fonctionnement pendant une cyberattaque. Ces procédures peuvent inclure le traitement des paiements dans le cas où un fournisseur tiers ou un site Web n'est pas opérationnel. Découvrez comment faire cela avec la fiche conseil « Quick Wins » de NCA.
#4 : Confier du travail à un prestataire vous dégage de toute responsabilité de sécurité en cas d'incident cyber
Il est tout à fait logique de sous-traiter certains de vos travaux à d'autres, mais cela ne signifie pas que vous renoncez à la responsabilité de protéger les données auxquelles un prestataire a accès. Les données sont les vôtres et vous avez la responsabilité légale et éthique de les garder sûres et sécurisées.
Agir : Assurez-vous d'avoir des accords complets en place avec tous les prestataires, y compris la façon dont les données de l'entreprise sont gérées, qui possède les données et y a accès, combien de temps les données sont conservées et ce qui arrive aux données une fois un contrat terminé. Vous devriez également faire examiner tous les accords de prestataires par un avocat.
#5 : Les incidents cyber sont couverts par l'assurance responsabilité civile générale
De nombreuses polices d'assurance responsabilité civile standard des entreprises ne couvrent pas les incidents ou les violations de données cyber.
Agir : Discutez avec votre représentant d'assurance pour comprendre si vous avez une assurance cybersécurité existante et quel type de police conviendrait le mieux aux besoins de votre entreprise. Découvrez comment faire cela avec le centre des petites entreprises de la commission fédérale du commerce (FTC).
#6 : Les cyberattaques proviennent toujours d'acteurs externes
Succinctement dit, les cyberattaques ne proviennent pas toujours d'acteurs externes. Certains incidents de cybersécurité sont causés accidentellement par un employé - par exemple lorsqu'il copie et colle des informations sensibles dans un courriel et l'envoie au mauvais destinataire. D'autres fois, un employé mécontent (ou ancien) pourrait se venger en lançant une attaque contre l'organisation.
Agir : En considérant votre paysage de menaces, il est important de ne pas négliger les incidents de cybersécurité potentiels qui peuvent provenir de l'intérieur de l'organisation et développer des stratégies pour minimiser ces menaces. Découvrez comment faire cela en utilisant ce ressource de l'Agence de Cybersécurité et Infrastructure Critique.
#7 : Les jeunes sont meilleurs en cybersécurité que les autres
Souvent, la personne la plus jeune dans l'organisation devient par défaut la personne « IT ». L'âge n'est pas directement corrélé à de meilleures pratiques de cybersécurité.
Agir : Avant de donner à quelqu'un la responsabilité de gérer vos réseaux sociaux, site Web, réseau, etc., informez-le de vos attentes d'utilisation et des meilleures pratiques de cybersécurité. Apprenez comment les différentes générations se comportent en ligne.
#8 : La conformité aux normes industrielles suffit pour un programme de sécurité
Respecter la loi sur la portabilité et la responsabilité des assurances santé (HIPAA) ou l'industrie des cartes de paiement (PCI), par exemple, est une composante critique pour sécuriser des informations sensibles, mais simplement respecter ces normes ne revient pas à une stratégie de cybersécurité robuste pour une organisation.
Agir : Utilisez un cadre robuste, tel que le cadre de cybersécurité NIST, pour gérer les risques liés à la cybersécurité. Découvrez plus sur le cadre de cybersécurité NIST.
#9 : La sécurité numérique et physique sont séparées
De nombreuses personnes associent étroitement la cybersécurité uniquement aux logiciels et codes. Cependant, en protégeant vos actifs sensibles, vous ne devez pas négliger la sécurité physique.
Agir : Incluez une évaluation de la disposition de votre bureau et de sa facilité d'y obtenir un accès physique non autorisé à des informations et actifs sensibles (par exemple serveurs, ordinateurs, dossiers papier) dans votre planification. Une fois votre évaluation terminée, mettez en œuvre des stratégies et des politiques pour empêcher l'accès physique non autorisé. Les politiques peuvent inclure le contrôle de qui peut accéder à certaines zones de bureau et la sécurisation appropriée des ordinateurs portables et des téléphones lors de déplacements. Découvrez plus sur la sécurité physique sur le site Web de la FTC.
#10 : Les logiciels et appareils neufs sont automatiquement sécurisés lorsque je les achète
Le fait que quelque chose soit neuf ne signifie pas qu'il est sécurisé.
Agir : Dès l'achat de nouvelles technologies, assurez-vous qu'elles fonctionnent avec le logiciel le plus récent et changez immédiatement le mot de passe par défaut du fabricant pour une phrase de passe sécurisée. Lors de la création d'une nouvelle phrase de passe, utilisez une phrase longue et unique pour le compte ou l'appareil. Vous inscrivez-vous pour un nouveau compte en ligne ? Assurez-vous de configurer immédiatement vos paramètres de confidentialité avant de commencer à utiliser le service. Trouvez des informations sur la sécurisation de nouveaux appareils. Voir et télécharger une version condensée de ce contenu que vous pouvez partager autour de votre entreprise et avec vos réseaux.
