WASHINGTON, D.C., 15 oct. 2018 ‒ Aujourd’hui, tous les lieux de travail sont confrontés au risque croissant de cyberattaques. Quel que soit votre lieu de travail – que ce soit au siège d’une entreprise, dans un restaurant du centre-ville, un hôpital, une agence gouvernementale ou une école ‒ la sécurité en ligne et la cybersécurité sont une responsabilité que nous partageons tous. Selon la Small Business Administration américaine, il existe plus de 30 millions de petites entreprises à travers le pays. Ces organisations ont un impact considérable sur l’économie américaine grâce à la création d’emplois et à l’emploi.

En octobre 2017, la National Cyber Security Alliance (NCSA) a lancé CyberSecure My Business™. Le programme ‒ dont FedEx est un partenaire fondateur et Trend Micro un sponsor vedette – a été créé pour aider à protéger la cybersécurité de la communauté des petites et moyennes entreprises (PME). Il le fait en proposant des formations interactives basées sur le Cadre de cybersécurité du National Institute of Standards and Technology (NIST). Sur une période de 12 mois, NCSA a touché plus de 6 840 personnes très impliquées grâce à CyberSecure My Business, via des événements en personne, des webinaires mensuels et des visionnages de webinaires sur YouTube.

Quelle que soit la taille d’une entreprise, il est essentiel de prendre des mesures pour aider à prévenir les attaques et de disposer d’un plan d’action prêt à être mis en œuvre si une attaque se produit. De manière générale, NCSA recommande une approche descendante pour créer une culture de la cybersécurité sur le lieu de travail. Les étapes suivantes ‒ élaborées par le NIST ‒ vous aideront grandement à formuler un plan pour garder votre entreprise cybersécurisée :

• Identifier: Établissez un inventaire de vos actifs les plus précieux – les « joyaux de la couronne » les plus importants pour votre entreprise et les plus intéressants pour les criminels – tels que les données des employés, des clients et des paiements.

• Protéger: Évaluez les mesures de protection à mettre en place – comme maintenir vos logiciels à jour ou suivre ces conseils – pour défendre l’organisation autant que possible contre un incident cyber.

• Détecter: Mettez en place des systèmes qui vous alerteront si un incident se produit, y compris la possibilité pour les employés de signaler des problèmes.

• Répondre: Élaborez et entraînez-vous à appliquer un plan de réponse aux incidents pour contenir une attaque et maintenir les opérations de l’entreprise à court terme.

• Récupérer: Sachez quoi faire pour reprendre des opérations normales après un incident ou une violation, y compris l’évaluation des obligations légales éventuelles.

En tant que leader technologique, Intel a mis en place certaines des meilleures pratiques du secteur pour s’assurer que ses employés et ses travailleurs temporaires savent comment jouer un rôle actif pour aider à protéger le lieu de travail et les données de l’entreprise. Consciente que les employés constituent la première ligne de défense en matière de sécurité d’entreprise, Intel cultive une culture où la sécurité est une priorité et établit des attentes en matière de bonne hygiène de sécurité en aidant les employés à savoir quelles actions entreprendre afin de contribuer à protéger les informations d’Intel. Quelques exemples :

1. Proposer plus de 150 formations en sécurité de l’information adaptées aux rôles de l’entreprise et offrir une formation annuelle de sensibilisation à la sécurité de l’information à plus de 100 000 employés ainsi qu’aux travailleurs temporaires dans plus de 45 pays.

2. Mener régulièrement des campagnes de sensibilisation à la sécurité de l’information à l’échelle de l’entreprise pour mobiliser les employés et les maintenir connectés aux politiques d’Intel en matière de sécurité de l’information et de confidentialité, ainsi qu’à l’évolution du paysage de la sécurité.

3. Faire respecter la conformité et gérer le changement au moyen de communications internes ciblées.

Dans une autre initiative destinée à aider les PME, NCSA s’est associée à Facebook et MediaPRO pour produire la trousse de sensibilisation à la cybersécurité. Elle regorge de techniques et de conseils présentant des moyens simples et concrets permettant aux organisations de secteurs variés de mieux se protéger, ainsi que leurs entreprises, contre toute compromission. Au premier plan figure Hacktober de Facebook, qui est la campagne interne de l’entreprise pour le NCSAM et souligne le rôle que chacun joue pour rendre Internet plus sûr et plus sécurisé. Les infographies de MediaPRO et un lien vers leur précieux Guide des meilleures pratiques pour des programmes complets de sensibilisation du public des employés sont également mis en avant, aux côtés de la fiche de conseils Quick Wins de NCSA et d’une longue liste de ressources pratiques. En outre, découvrez la dernière infographie NCSAM pour des conseils faciles à suivre que toute entreprise peut appliquer. NCSA encourage tout le monde à télécharger l’infographie et à la partager sur les réseaux sociaux en utilisant #CyberAware.

« Comme nous l’avons constaté au cours des dernières années, n’importe quelle organisation peut être victime d’un cybercrime, ce qui pourrait entraîner le vol d’informations personnelles ou de propriété intellectuelle et de graves perturbations pour les entreprises et leurs clients », a déclaré Russ Schrader, directeur exécutif de NCSA. « Et à mesure que la frontière entre notre travail et notre vie quotidienne devient de plus en plus floue, il est plus important que jamais de s’assurer qu’une cybersécurité intelligente s’applique dans les deux cas. » 

Recherches récentes portant sur les pratiques de cybersécurité et de confidentialité au travail

Rapport LastPass
La plupart des entreprises ont encore du travail à faire pour surmonter des identifiants faibles, réutilisés, anciens et potentiellement compromis. Un nouveau rapport de référence sur la sécurité des mots de passe de LastPass a révélé que le score de sécurité moyen de plus de 43 000 entreprises utilisant LastPass est de 52 sur 100, ce qui signifie que, même si davantage d’entreprises investissent dans la gestion des mots de passe, la plupart se situent dans la moyenne en matière de sécurité des mots de passe. Le rapport présente plusieurs autres constats notables, notamment :

• Plus l’entreprise est grande, plus le score de sécurité moyen est faible. Les organisations de 25 employés ou moins affichent le score de sécurité moyen le plus élevé, avec 50, et la moyenne diminue à mesure que la taille de l’entreprise augmente. Davantage d’employés signifient davantage de mots de passe et d’applications non autorisées, ainsi que des occasions supplémentaires d’adopter des comportements à risque en matière de mots de passe. Dans les grandes organisations, il est tout simplement plus difficile pour l’informatique d’imposer à tous les employés des normes strictes de sécurité des mots de passe.

• En moyenne, un employé donné partage désormais environ six mots de passe avec ses collègues. À mesure que les équipes deviennent plus réparties et plus dépendantes de la technologie, la capacité à protéger, suivre et auditer les mots de passe partagés est plus importante que jamais. Les employés n’ont pas besoin d’arrêter de partager – ils ont simplement besoin d’un moyen sûr de le faire.

• Au cours de la première année d’investissement dans un gestionnaire de mots de passe, une entreprise gagne près de 15 points de sécurité. Cela représente une amélioration significative de la posture de sécurité et constitue une mesure tangible pour valider l’investissement dans LastPass et la formation à la sécurité.

Enquête MediaPRO
Dans l’ensemble, 75 % des répondants au rapport État 2018 de la sensibilisation à la confidentialité et à la sécurité de MediaPRO avaient du mal à identifier les meilleures pratiques en matière de cybersécurité et de confidentialité des données, soit une augmentation de cinq pour cent par rapport à l’année précédente. L’étude a révélé plusieurs autres constats notables :

• Quatorze pour cent des employés n’étaient pas capables d’identifier correctement les e-mails de phishing. Il s’agit d’une augmentation notable du nombre de répondants ayant montré des comportements à risque face aux tentatives de phishing dans l’enquête 2017 de MediaPRO, dans laquelle huit pour cent des employés avaient des difficultés dans ce domaine.

• Seulement 58 pour cent des répondants dans leur ensemble savaient définir la compromission de messagerie professionnelle (BEC), ce qui suggère un manque inquiétant de sensibilisation à cette tactique spécifique d’ingénierie sociale.

• Les employés occupant des postes de management ou supérieurs ont montré des comportements plus à risque que les employés débutants ou de niveau intermédiaire. Soixante-dix-sept pour cent des répondants en management ont montré un manque général de sensibilisation, tandis que 74 pour cent de ceux occupant des postes subalternes ont obtenu le même score.

Sommet sur la cybersécurité de NCSA et Nasdaq le 16 oct.
En tant qu’événement phare du NCSAM, NCSA et Nasdaq organiseront un sommet sur la cybersécurité, « Sécuriser les infrastructures critiques de l’Amérique », au Nasdaq MarketSite, à Times Square, New York. Il est essentiel de se rappeler que les 16 secteurs des infrastructures critiques de notre nation sont eux-mêmes des entreprises et qu’ils sont vitaux pour l’économie et la prospérité de notre pays. Tout, des prochaines élections de mi-mandat au réseau électrique, en passant par les centres financiers et les hubs de transport, l’agriculture et l’eau, pourrait être profondément touché par une attaque de cybersécurité.

Des dirigeants du secteur privé et du gouvernement examineront les dernières tactiques de cybercriminalité des États-nations, la manière dont l’industrie et le gouvernement contrent ces menaces, ainsi que les façons dont ils peuvent et doivent travailler ensemble pour garantir une Amérique résistante et résiliente. L’événement comprendra une série de tables rondes d’actualité et d’interventions de type TED, et se conclura par la cérémonie de clôture Nasdaq Closing Bell.

« Dans l’environnement technologique complexe d’aujourd’hui, la gestion des vulnérabilités de sécurité touchant à la fois le matériel et les logiciels est de plus en plus importante », a déclaré Audrey Plonk, directrice principale des politiques publiques au sein du groupe Product Assurance and Security d’Intel. « Nous restons déterminés à travailler avec des partenaires du secteur, le monde universitaire et les pouvoirs publics pour faire progresser des solutions technologiques et des politiques qui protègent les organisations du monde entier. »

« Nous vivons à une époque où l’intensité croissante et la créativité des cyberattaques, qu’elles proviennent d’acteurs étrangers ou nationaux, souligne l’importance de donner la priorité à la cybersécurité », a déclaré Brett Hansen, vice-président Client Software et directeur général Data Security chez Dell. « Des menaces internes aux opérations de niveau étatique, la préparation dépend du plan que votre organisation a mis en place pour arrêter une attaque avant même qu’elle ne commence. »  

Ressources

Department of Homeland Security a élaboré une trousse contenant des informations sur la manière dont vous pouvez utiliser les messages clés de la cybersécurité dans votre propre organisation pour célébrer le NCSAM. La trousse comprend des liens vers des sites web utiles, du texte pour les réseaux sociaux, des messages clés et des questions fréquemment posées pour vous aider à préparer l’initiative du 15e NCSAM de cette année. Pour télécharger la trousse NCSAM du DHS, veuillez visiter www.DHS.gov/NCSAM dès aujourd’hui.

ADP: Les petites et moyennes entreprises peuvent être ciblées par des cybercriminels parce qu’ils pensent que ces entreprises ne disposent pas des protections de sécurité dont bénéficient les grandes sociétés. L’infographie Small and Mid-Sized Business Security d’ADP comprend des conseils de sécurité pour aider à protéger les entreprises.

https://www.adp.com/-/media/Media/Trust%20Center%20Alerts/Small%20and%20Mid-Sized%20Business%20Security%20-%20What%20You%20Need%20to%20Know.ashx

ESET’s Cybersecurity Awareness Training est une formation vidéo interactive gratuite à la demande que les entreprises peuvent envoyer à leurs employés pour les aider à devenir plus conscients des enjeux cyber. Les vidéos interactives gamifiées sont un moyen amusant et efficace d’enseigner et de sensibiliser les employés aux cybermenaces sur le lieu de travail et d’aider à protéger votre entreprise. https://www.eset.com/us/cybertraining/

Symantec: La sécurité n’est pas négociable et la sensibilisation à la sécurité ne se limite pas au lieu de travail. Regardez et partagez la série gratuite de vidéos « Quick Tip » de Symantec sur la sensibilisation à la sécurité pour obtenir des informations brèves et concrètes à partager avec vos amis et votre famille ! N’oubliez pas de parler à vos amis et à votre famille des risques inhérents à leurs actions au travail, à la maison et à l’école, qu’ils soient en ligne ou non.

• Comment révéler la véritable destination cachée derrière un lien web !

• Comment empêcher la fuite de vos données

• Partage de fichiers dans le cloud

Better Business Bureau: Le BBB Institute for Marketplace Trust a lancé sa série d’articles #BBB Secure, qui sensibilise les petites entreprises à l’importance du chiffrement HTTPS et aux bases pour s’assurer que les sites web d’entreprise sont sécurisés pour les clients, et fournit des conseils aux consommateurs pour identifier les sites web qui ne sont pas sécurisés. La série d’articles a été créée avec le soutien de Facebook et Comcast.

CompTIA: Les dirigeants d’entreprise ne peuvent pas se permettre de laisser à d’autres personnes au sein de l’organisation la responsabilité des programmes complets de cybersécurité. Aujourd’hui, les dirigeants et les membres du conseil d’administration doivent être très vigilants face aux vulnérabilités liées aux cyberattaques, aux risques croissants associés aux cybercrimes et à ce que fait une entreprise pour se protéger, ainsi que ses clients. Découvrez comment les dirigeants peuvent créer une culture d’entreprise qui adopte une approche proactive et globale de la cybersécurité en lisant « Building a Culture of Cybersecurity: A Guide for Corporate Executives and Board Members ». Téléchargez le livre blanc ici.

EDUCAUSE: National Student Clearinghouse, EDUCAUSE et le Research and Education Networking Information Sharing and Analysis Center (REN-ISAC) ont publié un livre blanc, « Cybersecurity: Why It Matters to Registrars, Enrollment Managers and Higher Education », pour lancer le mois d’octobre comme Mois national de Sensibilisation à la Cybersécurité. Les registraires et les responsables des inscriptions jouent un rôle central dans la posture de cybersécurité d’un établissement. Les choix qu’ils font chaque jour ont un impact direct sur la sécurité des données des étudiants.

https://studentclearinghouse.info/onestop/wp-content/uploads/Cybersecurity-Whitepaper-OneStop.pdf?utm_medium=referral&utm_source=press-release&utm_campaign=cybersecurity-white-paper

NCAD Online: Les directeurs ont besoin que les dirigeants de haut niveau comprennent et formulent les implications du cyber-risque de manière appropriée afin d’éclairer les discussions du conseil d’administration sur la cybersécurité.

https://stagestaysafe.wpengine.com/wp-content/uploads/2017/09/Communicating-with-the-Board-about-Cybersecurity-Making-the-Business-Case.pdf

 NIST: Chaque employé, du nouveau venu au directeur général, a le pouvoir de nuire à la posture de sécurité de l’organisation ou de la renforcer. « La cybersécurité est l’affaire de tous » a été rédigé par les membres du sous-groupe Workforce Management du National Initiative for Cybersecurity Education (NICE) Working Group. Ce guide fournit des conseils concrets à chacun au sein d’une organisation, quel que soit son type ou sa taille. Il est destiné au grand public et peut être lu comme un guide complet ou, pour chaque fonction de l’entreprise, comme des conseils autonomes. Il s’agit de transformer la plus grande vulnérabilité de l’organisation — ses personnes — en son plus grand atout en matière de cybersécurité. https://go.usa.gov/xUzBz

Événements en personne et virtuels

Identity Theft: The Aftermath hosted by Identity Theft Resource Center, jeudi 18 oct., Washington, D.C., de 9 h à 13 h au siège de Google avec des experts du secteur, des médias, des représentants du gouvernement et des défenseurs. Les crimes d’identité n’ont pas seulement un impact financier. Les victimes subissent des conséquences émotionnelles, comportementales et des pertes d’opportunités. Rejoignez l’ITRC pour la publication de notre analyse des tendances Aftermath. Cette session matinale de demi-journée comprendra également des témoignages de victimes et des ateliers animés par des experts. Les résultats complets de l’enquête du rapport Identity Theft: The Aftermath 2018 seront publiés au T2 2019. Site d’inscription: https://www.idtheftcenter.org/aftermath2018/

Webinaire Symantec: C’est l’affaire de tous d’assurer la sécurité en ligne au travail, jeudi 18 oct., 13 h EDT/10 h PDT
La 3e semaine sera consacrée à l’éducation, à la formation et à la sensibilisation de la main-d’œuvre à la cybersécurité, avec un accent particulier sur la compréhension des objectifs des adversaires et sur les meilleures pratiques pour contrecarrer certaines des tactiques de menace les plus courantes. Intervenant : AJ Nash, Symantec
Inscription ici: https://www.symantec.com/about/webcasts?commid=330287

Federal Trade Commission (FTC): Andrew Smith, directeur du Bureau of Consumer Protection de la FTC, discutera d’une nouvelle initiative passionnante en matière de cybersécurité pour les petites entreprises lors d’un entretien avec la National Cyber Security Alliance. L’entretien sera diffusé en direct via Facebook Live à 14 h EDT le 18 oct. Rejoignez-nous sur facebook.com/staysafeonline.

Webinaire FTC Cybersecurity for Small Business: New Federal Trade Commission’s Resources, jeudi 18 oct., 15 h ‒ 16 h EDT  Découvrez la nouvelle campagne de la FTC sur la cybersécurité pour les petites entreprises. Apprenez à utiliser les nouveaux outils de la FTC pour contribuer à améliorer la cybersécurité des petites entreprises.
https://stagestaysafe.wpengine.com/event/cybersecurity-small-business-new-ftc-resources/

Sommet GRF sur le risque lié aux tiers, du 24 au 26 oct. : au Lansdowne Resort & Spa, Leesburg, VA http://grfederation.org/2018-Summit-Overview Le sommet GRF sur le risque lié aux tiers vise à accroître la sensibilisation aux meilleures pratiques de sécurité, à offrir une occasion de collaboration entre les fournisseurs tiers et les équipes de gestion des risques des organisations, et à fournir une plateforme permettant aux responsables de la sécurité de partager leur expertise et d’apprendre les uns des autres afin d’améliorer la sécurité globale. Le sommet offrira de la formation, de l’éducation et du réseautage sur les enjeux critiques de cybersécurité et de sécurité physique auxquels sont confrontées les organisations, leurs fournisseurs, ainsi que les domaines où ces deux groupes se rejoignent. L’événement est organisé par la Global Resilience Federation en partenariat avec National Health ISAC, Financial Services ISAC, Legal Services ISAO, Oil and National Gas ISAC, Retail ISAO de la National Retail Federation, Retail Cyber Intelligence Sharing Center, Energy Analytic Security Exchange et Multi-State ISAC. 

À propos du Mois national de Sensibilisation à la Cybersécurité

Le Mois national de Sensibilisation à la Cybersécurité (NCSAM) a été créé dans le cadre d’un effort de collaboration entre le gouvernement et l’industrie afin de garantir que chaque Américain dispose des ressources nécessaires pour rester plus en sécurité et mieux protégé en ligne. Aujourd’hui dans sa 15e année, le NCSAM est copiloté par le Department of Homeland Security et la National Cyber Security Alliance, le principal partenariat public-privé à but non lucratif du pays promouvant l’utilisation sûre et sécurisée d’Internet et la confidentialité numérique. Reconnu chaque année en octobre, le NCSAM implique la participation d’une multitude de leaders du secteur ‒ mobilisant les particuliers, les petites et moyennes entreprises, les organisations à but non lucratif, le monde universitaire, les multinationales et les gouvernements. En encourageant les citoyens du numérique du monde entier à STOP. THINK. CONNECT.™ Le NCSAM s’appuie sur l’impact collectif de ses programmes et ressources pour accroître la sensibilisation au paysage actuel de la cybersécurité, en constante évolution. Visitez la salle média du NCSAM : stagestaysafe.wpengine.com/about-us/news/media-room/.

À propos de la National Cyber Security Alliance

NCSA est le principal partenariat public-privé à but non lucratif du pays, promouvant l’éducation et la sensibilisation à la cybersécurité et à la confidentialité. NCSA travaille avec un large éventail d’acteurs du gouvernement, de l’industrie et de la société civile. Les principaux partenaires de NCSA sont le DHS et le conseil d’administration de NCSA, qui comprend des représentants d’ADP ; AT&T Services Inc. ; Bank of America ; CDK Global, LLC ; CertNexus ; Cisco ; Cofense ; Comcast Corporation ; ESET North America ; Facebook ; Google ; Intel Corporation ; Marriott International ; Mastercard ; Microsoft Corporation ; Mimecast ; NXP Semiconductors ; Raytheon ; Salesforce ; Symantec Corporation ; Visa et Wells Fargo. Les actions principales de NCSA comprennent le National Cyber Security Awareness Month (octobre) ; Data Privacy Day (28 janv.) ; STOP. THINK. CONNECT.™, la campagne mondiale de sensibilisation et d’éducation à la sécurité en ligne cofondée par NCSA et l’Anti-Phishing Working Group avec l’appui du gouvernement fédéral via le DHS ; et CyberSecure My Business™, qui propose des webinaires, des ressources web et des ateliers pour aider les entreprises à être résistantes aux cyberattaques et à s’en remettre. Pour plus d’informations sur NCSA, veuillez visiter stagestaysafe.wpengine.com/about-us/overview/.

Contact média

Jessica Beffa
720-413-4938
ncsa@thatcherandco.com