Aider les employés à travailler en toute sécurité à distance est plus essentiel que jamais en raison de l’impact de deux tendances – l’augmentation spectaculaire du nombre de personnes travaillant à domicile et l’impact des violations de données, en particulier la hausse des coûts liés aux violations de données.

Avec davantage de personnes travaillant à distance, les environnements centrés sur Internet du bureau et du domicile introduisent un nouveau lot de vulnérabilités de sécurité. Selon un rapport publié par Malwarebytes, 20 % des responsables de la cybersécurité disent avoir été confrontés à une faille de sécurité à cause d’un travailleur à distance en 2020.

Pendant ce temps, le coût d’atténuation d’une violation de données pour les petites et moyennes entreprises (PME) est bien plus élevé que la plupart des dirigeants d’entreprise ne le pensent. Selon AppRiver Software, 149 000 $ était le coût moyen d’une violation de données pour une PME en 2019. Cependant, la plupart des dirigeants de PME estiment le coût d’une violation de données à environ 10 000 $. Seulement 19 % des répondants à l’enquête ont reconnu que les coûts pourraient dépasser 100 000 $.

Avec le thème du Mois de Sensibilisation à la Cybersécurité de cette année, « Faites votre part. #BeCyberSmart », c’est le moment idéal pour se concentrer sur l’impact des violations de données sur les PME et sur l’importance de sécuriser les données de vos employés. Il est essentiel que les employés aient conscience des vulnérabilités pour leur sécurité et celle de leur entreprise.

Cybersécurité et cyberrésilience des PME

Certaines PME ont l’impression d’être trop petites pour être attaquées, car leurs informations auraient moins de valeur. Ce n’est tout simplement pas vrai. En fait, les petites entreprises sont plus susceptibles d’être visées par une attaque par rançongiciel. Selon Infrascale, 46 % de toutes les petites entreprises ont été ciblées par une attaque par rançongiciel. Parmi les entreprises touchées par une attaque par rançongiciel, près des trois quarts (73 %) ont payé une rançon.

À présent, alors que de nombreuses entreprises sont touchées par les restrictions liées à COVID-19, les PME se retrouvent mal préparées à traiter les problèmes de cybersécurité.

• Selon le témoignage de la National Small Business Association devant le Comité des petites entreprises du Sénat américain en mars 2019, seulement 14 % des petites entreprises ont jugé utile leur capacité à atténuer les cyberrisques et les vulnérabilités.

• Dans une étude du Cyber Readiness Institute (CRI), la moitié des petites entreprises interrogées ont exprimé leurs inquiétudes quant au fait que le travail à distance entraîne davantage de cyberattaques. Seules 22 % des entreprises de moins de 20 employés avaient proposé une formation supplémentaire en cybersécurité avant de commencer les opérations de travail à distance.

• Le rapport Malwarebytes montre que 18 % des répondants des PME et des organisations à l’échelle de l’entreprise ont admis que la cybersécurité n’était pas une priorité, et cinq pour cent ont admis que leurs employés représentaient un risque de sécurité, ignorant les bonnes pratiques de sécurité.

• Vingt-huit pour cent (28 %) des répondants ont admis utiliser des appareils personnels pour des activités liées au travail plus souvent que leurs appareils fournis par l’entreprise, créant ainsi une vulnérabilité importante en matière de cybersécurité.

Mesures à prendre

Bien qu’il existe l’impression que les PME sont trop petites pour être attaquées, tous les dirigeants d’entreprise ne le pensent pas. Selon un témoignage devant le Comité des petites entreprises du Sénat américain en mars 2019, 62 % des propriétaires de PME ont déclaré être très préoccupés par le fait que leur entreprise puisse être vulnérable à une cyberattaque, à la fois en raison du risque d’être ciblée par une cyberattaque et du potentiel de charges réglementaires inutiles qui pourraient accompagner les efforts visant à enrayer les attaques en ligne.

Pour protéger vos données et celles de vos clients, les entreprises devraient :

• Développer des politiques de sécurité plus robustes. Plus les politiques sont solides, plus il sera difficile pour un cyberattaquant de frapper.

• Former les employés à la cybersécurité. Les entreprises devraient montrer à leurs employés quoi faire, quoi éviter et à quoi faire attention. Les formations peuvent être adaptées à chaque employé et à son service respectif.

Les employés devraient :

• Mettre à jour tous leurs logiciels, y compris le système d’exploitation et les applications. Garder les logiciels à jour réduit la probabilité d’une attaque.

• Ajouter une phrase de passe plus robuste à leurs réseaux Wi-Fi domestiques et filaires. Une phrase de passe forte peut être très difficile à casser pour un pirate.

• Conserver des mots de passe professionnels et personnels distincts afin de réduire le risque d’une attaque par bourrage d’identifiants. Utiliser le même mot de passe pourrait permettre à un pirate d’accéder à plusieurs comptes.

• Ajouter l’authentification à deux facteurs (2FA) aux comptes personnels et professionnels lorsque c’est possible. Cela permet de s’assurer que toute tentative de connexion à un compte protégé provient bien de vous.

• Ne pas cliquer sur des liens, ouvrir des pièces jointes ou télécharger des fichiers à partir d’un e-mail auquel ils ne s’attendent pas. Les escrocs essaient de frapper avec toutes sortes d’arnaques liées à la COVID-19. Les consommateurs devraient aller directement à la source pour vérifier la validité du message.

Ressources sur les violations de données pour les PME

En ce moment, il est essentiel de se concentrer sur l’impact des violations de données sur les PME et sur la sécurisation de vos employés. Pour accéder aux dernières informations sur les violations de données et en savoir plus sur leur impact, les employés et les entreprises devraient également consulter le nouvel outil de suivi des violations de données du Identity Theft Resource Center (ITRC), notifiedTM. Il est mis à jour quotidiennement et gratuit pour les consommateurs. Les organisations qui ont besoin d’informations complètes sur les violations pour la planification d’entreprise ou la vérification diligente peuvent accéder à jusqu’à 90 points de données via l’un des trois abonnements payants notified. Les abonnements contribuent à garantir que les services de lutte contre la criminalité identitaire de l’ITRC restent gratuits.

Le programme CyberSecure My Business de la National Cyber Security Alliance propose une bibliothèque de ressources gratuites, notamment des vidéos, des fiches conseils, des infographies et bien plus encore — toutes conçues pour la communauté des petites entreprises. Vous pouvez accéder à ces ressources ici. 

Si vous avez des questions supplémentaires, vous pouvez parler à un conseiller expert de l’ITRC sur le site via le chat en direct, ou appeler gratuitement le 888.400.5530. Les victimes d’une violation de données peuvent télécharger l’application gratuite ID Theft Help pour accéder à des conseillers, des ressources, un journal de dossier et bien plus encore.