Un des axes de la formation des employés à la sécurité en ligne devrait consister à démystifier les idées reçues les plus souvent citées en matière de cybersécurité. Cette liste – établie par la National Cybersecurity Alliance, en collaboration avec des partenaires publics et privés – s’appuie sur les expériences de dirigeants d’entreprise et d’employés de partout aux États-Unis.

10 idées reçues courantes

#1 : Mes données (ou les données auxquelles j’ai accès) n’ont pas de valeur

Les organisations de toutes tailles détiennent, ou ont accès à, des données précieuses qu’il faut protéger. Ces données peuvent notamment inclure des dossiers du personnel, des informations fiscales, des correspondances confidentielles, des systèmes de point de vente et des contrats commerciaux. Toutes les données sont précieuses. Passer à l’action : évaluez les données que vous créez, collectez, stockez, consultez et transmettez, puis classez-les selon leur niveau de sensibilité afin de prendre les mesures appropriées pour les protéger. En savoir plus sur la façon de procéder.

#2 : La cybersécurité est un problème technologique

Les organisations ne peuvent pas compter sur la technologie pour sécuriser leurs données. La cybersécurité se conçoit au mieux grâce à un mélange de formation des employés, de politiques et procédures claires et acceptées, et de mise en œuvre de technologies à jour telles que des logiciels antivirus et antimalware.  La cybersécurisation d’une organisation relève de l’ensemble du personnel, pas seulement de l’équipe informatique. Passer à l’action : formez chaque employé, dans chaque fonction et à chaque niveau de l’organisation, à sa responsabilité d’aider à protéger toutes les informations de l’entreprise. Apprenez-en davantage sur la façon de procéder grâce au guide du National Institute for Standards and Technology.

#3 : La cybersécurité nécessite un investissement financier important

Une stratégie de cybersécurité solide exige un engagement financier si vous voulez sérieusement protéger votre organisation. Cependant, de nombreuses mesures peuvent être prises avec peu ou pas d’investissement financier.

Passer à l’action : créez et mettez en place des politiques et procédures de cybersécurité ; restreignez les privilèges d’administration et d’accès ; activez l’authentification multifacteur ou à deux facteurs ; formez les employés à repérer les courriels malveillants et créez des procédures manuelles de secours pour maintenir les processus métier critiques en fonctionnement lors d’un incident cyber. Ces procédures peuvent inclure le traitement des paiements dans le cas où un fournisseur tiers ou un site Web n’est pas opérationnel. En savoir plus sur la façon de procéder grâce à la fiche de conseils « Quick Wins » de la NCA.

#4 : Externaliser du travail à un prestataire ne vous dégage pas de votre responsabilité en matière de sécurité en cas d’incident cyber

Il est tout à fait logique de confier une partie de votre travail à d’autres, mais cela ne signifie pas que vous vous dégagez de votre responsabilité de protéger les données auxquelles un prestataire a accès. Les données vous appartiennent et vous avez la responsabilité légale et éthique de les garder en sécurité.

Passer à l’action : assurez-vous de disposer d’accords solides avec tous les prestataires, y compris la manière dont les données de l’entreprise sont traitées, qui possède les données et y a accès, pendant combien de temps les données sont conservées et ce qu’il advient des données une fois un contrat résilié. Vous devriez également faire examiner tout accord de prestataire par un avocat.

#5 : Les cyberincidents sont couverts par l’assurance responsabilité civile générale

De nombreuses polices d’assurance responsabilité civile professionnelle standard ne couvrent pas les cyberincidents ni les violations de données.

Passer à l’action : parlez-en à votre représentant en assurance pour savoir si vous disposez déjà d’une assurance cybersécurité et quel type de police conviendrait le mieux aux besoins de votre entreprise. Apprenez-en davantage sur la façon de procéder grâce au Centre des petites entreprises de la Federal Trade Commission (FTC).

#6 : Les cyberattaques proviennent toujours d’acteurs externes

En bref, les cyberattaques ne proviennent pas toujours d’acteurs externes. Certains incidents de cybersécurité sont causés accidentellement par un employé – par exemple lorsqu’il copie et colle des informations sensibles dans un e-mail et l’envoie au mauvais destinataire. D’autres fois, un employé mécontent (ou ancien) peut se venger en lançant une attaque contre l’organisation.

Passer à l’action : lorsque vous examinez votre paysage des menaces, il est important de ne pas négliger les incidents de cybersécurité potentiels qui peuvent venir de l’intérieur de l’organisation et d’élaborer des stratégies pour réduire ces menaces. Apprenez-en davantage sur la façon de procéder grâce à cette ressource de la Cybersecurity and Critical Infrastructure Agency.

#7 : Les jeunes sont meilleurs en cybersécurité que les autres

Souvent, la personne la plus jeune de l’organisation devient la personne « informatique » par défaut. L’âge n’est pas directement corrélé à de meilleures pratiques de cybersécurité.

Passer à l’action : avant de confier à quelqu’un la responsabilité de gérer vos réseaux sociaux, votre site Web, votre réseau, etc., informez-le de vos attentes en matière d’utilisation et des meilleures pratiques de cybersécurité. En savoir plus sur la manière dont les différentes générations se comportent en ligne.

#8 : Le respect des normes sectorielles suffit pour un programme de sécurité

Le respect, par exemple, de la loi Health Insurance Portability & Accountability Act (HIPAA) ou des normes Payment Card Industry (PCI), constitue un élément essentiel de la protection des informations sensibles, mais le simple fait de respecter ces normes ne suffit pas à constituer une stratégie de cybersécurité robuste pour une organisation.

Passer à l’action : utilisez un cadre robuste, tel que le cadre de cybersécurité du NIST, pour gérer les risques liés à la cybersécurité. En savoir plus sur le cadre de cybersécurité du NIST.

#9 : La sécurité numérique et la sécurité physique sont distinctes

Beaucoup de gens associent étroitement la cybersécurité uniquement aux logiciels et au code. Cependant, lorsque vous protégez vos actifs sensibles, vous ne devez pas négliger la sécurité physique.

Passer à l’action : intégrez à votre planification une évaluation de l’agencement de vos bureaux et de la facilité avec laquelle il est possible d’obtenir un accès physique non autorisé à des informations et actifs sensibles (par ex. serveurs, ordinateurs, dossiers papier). Une fois votre évaluation terminée, mettez en œuvre des stratégies et des politiques pour empêcher tout accès physique non autorisé. Les politiques peuvent inclure le contrôle des personnes pouvant accéder à certaines zones du bureau et la sécurisation appropriée des ordinateurs portables et des téléphones pendant les déplacements. En savoir plus sur la sécurité physique sur le site Web de la FTC.

#10 : Les nouveaux logiciels et appareils sont automatiquement sécurisés lorsque je les achète

Le simple fait que quelque chose soit nouveau ne signifie pas qu’il est sécurisé.

Passer à l’action : dès l’achat d’une nouvelle technologie, assurez-vous qu’elle fonctionne avec la version logicielle la plus récente et changez immédiatement le mot de passe par défaut du fabricant pour une phrase de passe sécurisée. Lors de la création d’une nouvelle phrase de passe, utilisez une expression longue et unique pour le compte ou l’appareil. Vous venez de créer un nouveau compte en ligne ? Veillez à configurer immédiatement vos paramètres de confidentialité avant de commencer à utiliser le service. Trouvez des informations sur la sécurisation des nouveaux appareils. Voir et télécharger une version condensée de ce contenu que vous pouvez partager dans votre entreprise et auprès de vos réseaux.