Au cours du premier semestre de 2021, selon le rapport de mi-année de Risk Based Security sur les violations de données, les violations de données ont exposé 18,8 milliards d'enregistrements. Les attaques de cybersécurité représentent un risque pour tout le monde, et il incombe à chacun de s'en défendre. La mise en œuvre de bonnes pratiques en matière de sécurité et de résilience vous aidera à rester en sécurité et protégé et – si nécessaire – à vous rétablir plus rapidement, que ce soit au travail ou à la maison, en tant que chef d'entreprise ou employé.

Alors, quelle est la différence entre la cybersécurité et la résilience ? La cybersécurité se concentre sur la protection contre une cyberattaque, tandis que la résilience se concentre sur la capacité à continuer de fournir des services quelle que soit la cause, qu'elle soit cyber ou liée à un autre problème. La résilience est un concept plus large qui met l'accent sur des services qui ne tombent jamais en panne ou qui sont toujours disponibles.

Octobre marque le Mois de Sensibilisation à la Cybersécurité, une initiative internationale visant à rendre notre monde numérique plus sûr pour tout le monde. Mais la sensibilisation à la cybersécurité devrait être une priorité tout au long de l'année. Que vous gériez une entreprise ou protégiez vos informations personnelles, ces conseils pratiques de professionnels de la cybersécurité peuvent vous aider à être plus en sécurité et plus résilient.

Meilleures pratiques au travail

S'appuyer sur des bonnes pratiques de sécurité établies et sur les normes de référence du secteur pour créer un programme robuste

Mettez en place un cadre de cybersécurité réputé, tel que le NIST Cybersecurity Framework du National Institute of Standards and Technology (NIST), pour une évaluation et un examen cohérents des meilleures pratiques de cybersécurité.

Suivez les avancées de l'automatisation et encouragez l'innovation en matière de technologie et de réflexion

Encouragez une mentalité cyber tournée vers l'avenir dans votre organisation, en vous concentrant sur le fait de garder une longueur d'avance plutôt que de courir après la menace du jour. La collaboration est essentielle lorsqu'il s'agit de favoriser un environnement innovant. Rassemblez des personnes ayant une diversité de pensée et d'expérience pour encourager une réflexion hors des sentiers battus. Des perspectives différentes invitent à des solutions créatives et aident à résoudre de vrais problèmes cyber du monde réel.

Mettez en place des contrôles multicouches qui vous aident à rester proactif plutôt que réactif tout en protégeant vos clients, vos clients et vos données

Gardez une longueur d'avance sur une attaque en établissant des contrôles multicouches avec des employés qui servent de première ligne de défense, des processus stratégiques pour prévenir et répondre de manière proactive aux menaces potentielles, et une technologie de sécurité automatisée et intégrée.

Tirez parti des organisations sectorielles pour les bonnes pratiques de cybersécurité et le partage d'informations

Les centres de partage et d'analyse de l'information (ISAC) et les organisations de partage et d'analyse de l'information (ISAO) facilitent une collaboration proactive entre les organisations, ce qui peut renforcer la préparation globale en matière de cybersécurité. S'associer uniquement à des sources ouvertes et à des tiers peut limiter vos informations et votre perspective. Ajouter une couche de collaboration avec d'autres professionnels de la cybersécurité améliore la conscience collective des vulnérabilités et des problèmes possibles, permettant une réponse proactive à une menace potentielle. C'est grâce à ce niveau de partenariat que la proposition de valeur, à la fois pour l'organisation individuelle et pour la communauté au sens large, peut être clairement définie et mieux comprise.

Parlez à vos fournisseurs de leurs meilleures pratiques de cybersécurité

Les fournisseurs sont des partenaires clés pour gérer les opérations de l'entreprise, mais ils peuvent introduire involontairement des menaces cyber. Comprenez quels fournisseurs ont accès à vos données et systèmes les plus critiques, et assurez-vous que les données sont détruites lorsqu'elles ne sont plus nécessaires. Examinez régulièrement les meilleures pratiques de cybersécurité de votre fournisseur pour vous assurer qu'elles sont conformes aux normes de votre entreprise en évaluant leur programme et leurs contrôles de sécurité. Ces mesures de sécurité peuvent devenir des exigences en les ajoutant à votre contrat-cadre de services.

Mettez en place une politique de sécurité de l'information qui protège et éduque les employés

La politique de sécurité et la sensibilisation éduquent et inculquent les meilleures pratiques de l'entreprise et réduisent les comportements à risque. Les employés doivent comprendre comment ils contribuent à la protection de l'entreprise et la responsabilité qui leur incombe d'identifier et de signaler les courriels ou activités suspects. Les équipes qui sont régulièrement formées et sensibilisées pour renforcer les exigences de sécurité sont plus efficaces et font preuve d'un plus haut niveau de responsabilité personnelle.

Préparez-vous à une réponse efficace en cas d'incident cyber

Créez un guide qui décrit les scénarios d'incident cyber et les responsabilités des principales parties prenantes de votre organisation. Mettez en place des protocoles de communication et des systèmes d'alerte alternatifs au cas où les canaux de communication normaux seraient compromis. Assurez-vous que votre plan de réponse inclut les coordonnées des services des fournisseurs qui peuvent vous aider à rétablir vos opérations.

Meilleures pratiques à la maison

Prenez en main la manière dont vous vous connectez en ligne et utilisez en permanence les paramètres de sécurité les plus élevés

Ne vous fiez pas aux paramètres par défaut – assurez-vous d'utiliser les paramètres de sécurité et de confidentialité les plus élevés. N'oubliez pas que ce conseil s'applique à toutes les façons dont vous vous connectez en ligne – votre téléphone, vos comptes de réseaux sociaux et votre réseau domestique.

Mettez à jour tous les systèmes d'exploitation, applications et logiciels de sécurité

Les pirates adorent les failles de sécurité. Lorsque des mises à jour sont recommandées pour tout appareil (mobile, tablette, ordinateur), effectuez-les aussi rapidement que possible afin de maintenir le plus haut niveau de protection.

Utilisez des mots de passe forts et l'authentification multifacteur

La sécurité de l'information repose sur des pratiques efficaces de gestion des mots de passe et des contrôles d'authentification. Un nom d'utilisateur et un mot de passe, et – de plus en plus – une méthode d'authentification secondaire, protègent vos appareils et vos comptes. Les mots de passe forts sont longs, comprennent un mélange de caractères, ne sont pas faciles à deviner et ne sont pas réutilisés sur différents sites. Réduisez le besoin de mémoriser de nombreux mots de passe compliqués grâce à un gestionnaire de mots de passe – un logiciel qui stocke vos mots de passe dans un emplacement unique et sécurisé accessible via un mot de passe principal.

Évitez de répondre aux e-mails ou SMS provenant d'expéditeurs inconnus, ou aux appels téléphoniques provenant de numéros inconnus

Évitez d'ouvrir les pièces jointes ou les liens par e-mail (hameçonnage) ou par SMS (smishing) – supprimez-les toujours. Il ne faut pas une organisation criminelle sophistiquée pour créer ces messages. Ne répondez pas aux appels provenant de numéros inconnus, qui peuvent être des tentatives de vishing. Même un escroc isolé ayant des intentions malveillantes peut utiliser des messages simples et anodins pour vous tromper et vous amener à fournir des informations personnelles non publiques.

Évitez les sites web qui ne sont pas sécurisés

La navigation sur des pages sécurisées signifie que vous disposez d'une connexion chiffrée. Regardez l'URL du site Web et si elle commence par https ou comporte un cadenas, cela indique qu'il utilise un certificat sécurisé.

Apprenez à votre famille et à vos amis ce que vous savez, et fournissez-leur des sources fiables pour en savoir plus

Lorsqu'une personne comme vous partage ses connaissances avec les autres, cela peut avoir un effet fort et positif. Voici quelques exemples de ressources fiables, sans s'y limiter :

www.BetterMoneyHabits.com et www.bofaml.com/en-us/content/cyber-security-solutions.html Découvrez comment protéger vos informations et améliorer vos connaissances financières.
www.StaySafeOnline.org Développez vos connaissances et obtenez des conseils pour parler avec votre famille et vos amis de leurs comportements en matière de cybersécurité.
www.AnnualCreditReport.com Surveillez vos notes de crédit et recherchez des informations inhabituelles ou incorrectes.
www.OnGuardOnline.gov Protégez-vous contre la fraude et soyez un consommateur informé sur les questions liées aux logiciels espions, aux escroqueries et plus encore.
www.DoNotCall.gov Inscrivez votre numéro de téléphone pour bloquer les appels de sollicitation, sauf ceux provenant d'organisations politiques et caritatives.
https://haveibeenpwned.com Vérifiez si votre e-mail ou votre téléphone a figuré dans une violation de données.

À propos de l'auteur, Craig Froelich

Craig Froelich est responsable de la sécurité des systèmes d'information chez Bank of America, chargé de la stratégie de sécurité de l'information de la banque. Il dirige une équipe d'experts répartis dans 16 pays, dédiée à la protection des systèmes d'information de l'entreprise, à la protection des données des clients et des employés, et à garantir une résilience cyber globale.

L'équipe de sécurité de l'information de Bank of America défend l'entreprise contre les menaces actuelles et futures, en partenariat étroit avec les associations du secteur et les organismes gouvernementaux afin de garantir la sécurité du secteur dans son ensemble. Froelich est un défenseur de la diversité dans la technologie, notamment en réduisant l'écart de recrutement pour les femmes et les personnes neurodivergentes.

Avant de rejoindre la banque en 2001, Froelich a occupé des postes de direction dans des cabinets de conseil et des organisations de services de sécurité. Il compte plus de 10 ans d'expérience dans la gestion de produits et le développement d'applications pour des entreprises de logiciels et de matériel ainsi que pour des fournisseurs de services technologiques.

Froelich a reçu des prix du secteur pour son leadership, notamment en figurant sur la liste des 100 meilleurs RSSI mondiaux. Il préside le comité d'analyse et de risque pour le risque systémique. Il est ancien président et membre actuel du conseil d'administration du Financial Services Information Sharing and Analysis Center, et ancien président et membre actuel du comité exécutif du Financial Services Sector Coordinating Council. Froelich siège au conseil d'administration de Sheltered Harbor et au comité exécutif de BITS, la division de politique technologique du Bank Policy Institute. Il a été représentant des États-Unis au G7 Cyber Experts Group, est membre du Centre du Forum économique mondial pour la cybersécurité et conseiller FinCyber pour le Carnegie Endowment for International Peace.