Comment les petites entreprises peuvent (facilement) rester au top.
Alors qu'une grande attention est accordée aux grandes cyberattaques contre les entreprises - pensez à Wonga, Talk Talk et Tesco - les petites entreprises sont tout aussi sensibles à la cybercriminalité. Selon une étude du gouvernement britannique, près de la moitié (48 %) des petites entreprises ont déclaré avoir été touchées par une cyber-violation ou une attaque au cours des douze derniers mois. Dans le même temps, une étude de la Fédération des petites entreprises (FSB) révèle que 65 % des PME ne sont pas préparées à de telles attaques.
Ce qui rend les petites entreprises vulnérables, c'est leur manque d'infrastructures et de ressources, notamment par rapport à celles que les grandes entreprises peuvent consacrer à la sécurité informatique. Cela dit, il existe des mesures simples mais efficaces que les petites entreprises peuvent prendre pour se protéger face à une surface d'attaque en constante expansion. Mais d'abord, un bref aperçu des défis auxquels les petites entreprises sont confrontées.
La menace unique à laquelle sont confrontées les petites entreprises
Comme mentionné ci-dessus, les petites entreprises sont particulièrement vulnérables à la cybercriminalité en raison des contraintes de dépenses de sécurité informatique et des limitations de personnel. Cette conclusion de bon sens se confirme dans les données. Selon un récent rapport de la société américaine de sécurité informatique Barracuda Networks, un employé moyen d'une petite entreprise de moins de 100 employés recevra 350 % plus d'attaques d'ingénierie sociale que l'employé moyen d'une grande entreprise. En cherchant à inciter les gens à divulguer des données qui peuvent s'avérer matériellement ou socialement bénéfiques (informations de carte de crédit, informations bancaires, numéros de passeport), les cybercriminels orientés vers l'ingénierie sociale savent probablement que le matériel et les logiciels protégeant les entreprises ne sont pas toujours financièrement accessibles aux petites entreprises. . Exemple : bien que la cybercriminalité soit en hausse, dans son rapport 2022 sur la préparation à la cybercriminalité, Hiscox UK a indiqué que les dépenses informatiques globales des petites entreprises étaient en baisse - peut-être une victime des pressions financières induites par la pandémie, y compris les fluctuations du marché mondial et les problèmes de la chaîne d'approvisionnement.
Stratégies pour minimiser les risques de sécurité des données
Dans le même rapport Hiscox, un répondant sur cinq a déclaré qu'il "risquait l'insolvabilité en raison d'un cyberincident". Bien qu'il soit facile de se sentir découragé par cette statistique - et les pressions financières et liées à la sécurité croissantes auxquelles les petites entreprises doivent faire face - il existe quelques bonnes pratiques de sécurité simples et directes que les petites entreprises peuvent immédiatement mettre en œuvre afin de minimiser les risques pour leurs résultats.
Les rouages et les boulons : 2FA et mots de passe forts
Pour commencer, les petites entreprises peuvent protéger leurs appareils en mettant toujours à jour la dernière version du logiciel de l'appareil, en mettant à jour les navigateurs et les systèmes d'exploitation et en installant un logiciel antivirus (AV) réputé. Ils peuvent renforcer davantage la sécurité des appareils avec l'authentification à deux facteurs (2FA), une approche technologique qui oblige les utilisateurs à utiliser deux méthodes distinctes pour vérifier leur identité afin d'accéder à un compte. Une définition utile pour 2FA est que la connexion à un service implique quelque chose que vous connaissez, comme un mot de passe, et quelque chose que vous avez, comme votre téléphone, un jeton matériel ou un autre code d'authentification. Selon une enquête du Cyber Readiness Institute, 54 % des petites entreprises n'ont pas mis en place l'authentification multifacteur (une autre façon de se référer à 2FA et la façon la plus courante de décrire le processus au-delà de l'utilisation d'une seule étape pour se connecter à un compte ). C'est un résultat assez lamentable si l'on considère que 2FA est la meilleure stratégie pour lutter contre les risques associés aux mots de passe compromis. Tant que nous parlons de mots de passe, la création de mots de passe forts et uniques n'est pas négociable. Les mots de passe sont la première ligne de défense des données. Ils ne doivent pas être faciles à deviner et ne doivent pas être réutilisés d'un site à l'autre. Bien que la réutilisation des mots de passe soit tentante – la plupart des gens comptent sur la mémoire pour « gérer » leurs mots de passe, ce qui rend la réutilisation courante – cela rend les données encore plus vulnérables.
La meilleure stratégie, et la plus simple, pour gérer les mots de passe consiste à utiliser un gestionnaire de mots de passe. Les gestionnaires de mots de passe permettent aux utilisateurs de générer de nouveaux mots de passe uniques qui sont ensuite stockés dans un coffre-fort virtuel. Lorsqu'un utilisateur visite un site ou ouvre une application liée au gestionnaire de mots de passe, le gestionnaire de mots de passe remplit automatiquement le nom de connexion et le mot de passe de l'utilisateur.
La plupart des gestionnaires de mots de passe sont intuitifs et conçus pour être intégrés dans les flux de travail existants avec peu de perturbations. Ils nécessitent également très peu de formation. En bref, ils offrent beaucoup pour leur argent, surtout si l'on considère qu'il existe un certain nombre de bons gestionnaires de mots de passe professionnels abordables disponibles sur le marché. En fin de compte, les gestionnaires de mots de passe permettent aux organisations d'économiser du temps, de l'argent et de la tranquillité d'esprit à long terme.
Savoir quand jeter un second regard
Savoir comment détourner les menaces de phishing est également très utile. Le phishing fait référence aux stratégies psychologiques utilisées par les escrocs pour inciter les humains à cliquer sur des liens compromis ou à divulguer des informations sensibles. Cela peut se faire par le biais d'e-mails, d'appels téléphoniques et de SMS, et relève du parapluie « l'ingénierie sociale » mentionné précédemment.
Il existe quelques étapes simples pour se protéger des attaques de phishing. Pour commencer, les employés des petites entreprises doivent vérifier que les e-mails qu'ils reçoivent semblent légitimes et proviennent d'une institution appropriée. Ils doivent survoler les liens pour confirmer qu'ils se dirigent vers le bon site Web et éviter de cliquer sur les liens dont ils ne sont pas sûrs, du moins jusqu'à ce qu'ils soient confirmés par des recherches supplémentaires. Alternativement, ils peuvent se connecter directement au compte en question pour confirmer la véracité. Ils doivent également éviter d'ouvrir des pièces jointes de personnes qu'ils ne connaissent pas ou des pièces jointes inattendues de personnes qu'ils connaissent sans avoir vérifié au préalable. Les gestionnaires de mots de passe eux-mêmes contribuent également à atténuer les attaques de phishing.
Aucune de ces recommandations n'implique l'achat de technologies qui font sauter la banque ou la constitution d'une caisse noire pour la cyberassurance. Ils ne nécessitent pas AI, l'apprentissage automatique, les équipes de gestion des menaces ou l'embauche d'un directeur de la sécurité. Juste un peu d'effort initial (prendre le temps pour les mises à jour du système, mettre en œuvre 2FA/MFA et un gestionnaire de mots de passe à l'échelle de l'entreprise, et une prise de conscience des risques) sera payant
en dividendes.
