Comment protéger votre petite entreprise contre les cyberattaques nuisibles

Protéger votre petite entreprise

Octobre a été désigné Mois national de la sensibilisation à la cybersécurité par le Department of Homeland Security. Et même si vous pensez que votre entreprise est trop petite pour s'inquiéter de la cybersécurité, vous vous trompez.

J'ai récemment parlé à Stephanie Benoit-Kurtz, responsable de la faculté de cybersécurité à l'Université de Phoenix et consultante principale en sécurité chez Trace3, de la meilleure façon pour les propriétaires de petites entreprises de protéger leur entreprise contre les cyberattaques.

De nombreux propriétaires de petites entreprises et startups pensent que leurs entreprises sont trop petites pour que les cybercriminels se donnent la peine de les pirater. Je sais que c'est faux. À quel danger les petites entreprises sont-elles confrontées ?

Stephanie Benoit-Kurtz : Les petites entreprises sont une cible pour plusieurs raisons. Les acteurs malveillants sont conscients qu'ils ne disposent peut-être pas d'équipes ou de systèmes informatiques importants pour répondre ou prévenir un incident. Selon le FBI, la cybercriminalité a coûté aux entreprises plus de 2,7 milliards de dollars en 2020. Avec plus de 791 000 plaintes, les mauvais acteurs vont là où ils peuvent monétiser leurs efforts.

À quels risques de cybersécurité les petites entreprises doivent-elles faire attention ?

Benoit-Kurtz : À mesure que les organisations, grandes et petites, sont attaquées, les attaques des PME sont de plus en plus fréquentes, réduisant désormais l'écart avec les grandes organisations. Selon Verizon, dans le rapport DBIR , les violations des petites organisations ont augmenté en fréquence d'année en année. L'intrusion dans le système reste l'un des principaux contributeurs aux incidents. C'est à ce moment que les mauvais acteurs accèdent aux données et aux systèmes.

Quelles sont les cybermenaces les plus courantes pour les petites entreprises ? Celles-ci diffèrent-elles si vous exploitez une entreprise virtuelle/à distance ?

Benoit-Kurtz : Les escroqueries par e-mail et par ingénierie sociale continuent de faire des ravages dans toutes les entreprises. PWC a effectué une simulation de phishing sur plusieurs institutions financières, et 70 % des e-mails ont été livrés avec un taux de clics de 7 % de l'utilisateur final. Il suffit d'un clic pour exposer votre organisation à un mauvais acteur. Un grand nombre de charges utiles arrivent encore par e-mail. La CISA propose d'excellents conseils pour éviter d'être victime d'hameçonnage et d'ingénierie sociale.

Ces problèmes ne diffèrent pas significativement entre les entreprises virtuelles ou distantes et les entreprises sur site. Les organisations doivent fournir des formations régulières sur le phishing et l'ingénierie sociale pour réduire les incidents. Plusieurs experts partagent qu'environ 70 % des risques peuvent être réduits par des organisations qui forment leurs employés à identifier les situations de phishing et d'ingénierie sociale. Ce problème n'a fait qu'augmenter de façon exponentielle pendant la pandémie de COVID-19. Dans le rapport Phishing and Fraud Report 2020 , F5 rapporte que les attaques de phishing ont augmenté de 220 % pendant la pandémie.

La meilleure défense est une bonne attaque, et les petites entreprises devraient investir dans la formation des employés au phishing et à l'ingénierie sociale. Les services sont relativement peu coûteux et peuvent fournir une couche supplémentaire de protection pour une petite entreprise.

Y a-t-il une politique de mot de passe que vous recommandez ?

Benoit-Kurtz : L'autre menace majeure est le vol d'identifiants. Les identifiants et les mots de passe sont exposés via une connexion non sécurisée ou parce qu'ils ont été utilisés dans une organisation antérieure qui a été piratée. Supposons que tous vos médias sociaux, vos e-mails personnels et autres identifiants et mots de passe ont été divulgués quelque part dans le cadre d'une violation. Pour vos comptes professionnels, ne réutilisez pas les identifiants ou les mots de passe.

Souvent, lorsqu'une organisation est piratée, les identifiants et les mots de passe sont mis en vente sur le Darkweb, où les pirates achètent les listes, puis recherchent des victimes dans une approche de type harponnage. La deuxième recommandation est de rendre votre mot de passe un peu plus complexe. Par exemple, n'utilisez pas le nom de votre enfant ou de votre animal domestique, mais une phrase de passe contenant des caractères spéciaux et des chiffres. Parfois, les employés souffrent de fatigue liée aux mots de passe. Un coffre-fort de mots de passe pourrait être une meilleure solution. Cela crée des mots de passe uniques et donne aux employés un outil pour les aider à gérer leurs comptes. PC Magazine a publié un excellent article sur les «Meilleurs gestionnaires de mots de passe pour 2021», où ils décomposent les avantages des différentes solutions.

Benoit-Kurtz : Comment protégez-vous les données si les employés travaillent dans des cafés, des aéroports, des chambres d'hôtel, etc. ?

Les réseaux gratuits dans les cafés, les hôtels, les restaurants et les aéroports ne sont pas sécurisés. Ces services pratiques et faciles à connecter ne sont pas gérés et attaquent les pirates qui s'attaquent aux utilisateurs sans méfiance. Même si vous devez entrer le numéro de votre chambre d'hôtel ou un certain type de code d'accès, il s'agit probablement d'un réseau non protégé où vos données personnelles et celles de votre entreprise pourraient être en danger. Envisagez de fournir aux employés des forfaits de données sur leurs téléphones portables ou des points d'accès permettant un accès sécurisé au réseau. C'est là que vous reliez votre ordinateur à une connexion réseau sécurisée à un téléphone portable ou à un autre appareil LTE. Ce type de connectivité fonctionne également pour les équipes qui ont besoin de collaborer. ComputerWorld, dans l'article "Comment utiliser votre téléphone intelligent comme point d'accès mobile", fournit des détails sur la façon dont cette pratique simple peut améliorer la sécurité des petites entreprises.

Qu'est-ce qu'un VPN et comment une petite entreprise en crée-t-elle un ?

Benoit-Kurtz : Si vous devez utiliser l'accès public à Internet pendant le télétravail ou le travail à distance, un réseau privé virtuel (VPN) est une excellente solution pour créer une couche de sécurité supplémentaire. Considérez un VPN comme un emballage autour d'un bonbon. L'emballage maintient les bonbons à l'intérieur et les autres contaminants à l'extérieur. Le logiciel VPN fournit une protection par cryptage autour de votre connexion à Internet, ce qui rend beaucoup plus difficile pour les pirates d'intercepter la communication. De plus, le logiciel/service est relativement peu coûteux et les petites entreprises n'ont pas besoin de créer leur propre VPN. Au lieu de cela, ils peuvent se procurer un produit sur le marché qui offre une sécurité sans coûts énormes.

Comment amener les employés à suivre ces directives ?

Benoit-Kurtz : Une partie d'un programme de sécurité solide comprend une formation de sensibilisation, des outils et des mesures d'utilisation. Les petites entreprises doivent être vigilantes. La gestion de la configuration peut être mise en œuvre pour forcer les machines des employés à disposer d'une protection des terminaux. Les clients VPN doivent être utilisés lorsque vous êtes à distance et n'autorisent pas les connexions à des réseaux aléatoires. Vous pouvez également rendre cela amusant, comme récompenser les employés avec des cartes-cadeaux et des cadeaux d'entreprise pour rester en conformité. Reconnaître les utilisateurs qui font un effort.

Quel est le coût d'une violation ?

Benoit-Kurtz : En termes simples, les failles coûtent cher. En tant que petite entreprise, votre réputation et la confiance de vos clients pourraient être menacées. Small Business Trends estime que le coût moyen d'une violation dans une petite entreprise est de 25 000 $. Et IBM, dans son rapport annuel sur le coût d'une violation de données , indique qu'au cours des deux dernières années, ces coûts ont augmenté de plus de 10 %. Cependant, ce coût n'inclut pas la perte de confiance des clients et la perte d'activité associée lorsque les clients partent pour la concurrence.

Est-il coûteux de rendre votre petite entreprise cyber-sécurisée ?

Benoit-Kurtz : Non, disposer d'une solide protection en matière de cybersécurité ne doit pas nécessairement être coûteux. Pensez-y comme des couvertures sur un lit. La cybersécurité fournit des couches de technologies et de processus différents qui protègent les utilisateurs. La formation, le logiciel VPN, la protection des terminaux et les points d'accès réduisent considérablement les risques et peuvent être mis en œuvre sans un personnel informatique important. En tant que petite entreprise, recherchez un partenaire de sécurité pour vous aider avec des solutions et une échelle qui respectent votre budget.

Il existe de nombreuses ressources intéressantes pour aider les petites entreprises dans leur parcours de sécurité. La SBA publie de nombreux documents de qualité, et il existe des organisations de sécurité spécialisées dans l'aide aux entreprises dans leur parcours de sécurité. Une excellente façon de commencer consiste à inviter un partenaire de sécurité à fournir une évaluation des risques de sécurité et à vous aider à démarrer. Un excellent partenaire de sécurité vous aidera non seulement à trouver vos points faibles, mais aussi à développer votre programme de sécurité à mesure que le paysage des menaces change. Si vous n'avez pas de partenaire de sécurité, faites vos devoirs et interrogez plusieurs organisations pour trouver la bonne personne.

Bien sûr, votre mentor SCORE peut vous aider à faire le bon choix. Trouvez-en un aujourd'hui.