Guide des petites entreprises sur la prévention de la fraude et de la cybercriminalité
Ce n’est un secret pour personne : chaque entreprise doit se méfier de la fraude et de la cybercriminalité, quelle que soit sa taille et le secteur dans lequel elle est impliquée. Rapport Symantec nous apprend que 43 % des cyberattaques affectant les entreprises dans le monde ciblent en réalité les petites organisations.
De toute évidence, l’époque où l’on croisait les doigts et espérait que cela ne vous arriverait pas est révolue. Les propriétaires d’entreprise doivent prendre des mesures préventives pour endiguer les pertes résultant de la fraude et de la cybercriminalité. Heureusement, il existe un certain nombre de mesures que vous pouvez prendre pour sécuriser votre entreprise,
Dans ce guide, nous discutonscertains des risques majeurs auxquels sont confrontées les petites entrepriseset fournir des recommandations pour sécuriser votre organisation.
Types de cybercriminalité affectant les petites entreprises
Les petites entreprises sont confrontées aux mêmes risques que les grandes organisations. Voici quelques-uns des principaux types de fraude et de cybercriminalité dont il faut être conscient :
- Hameçonnage
- Rançongiciel
- Autres types de logiciels malveillants
- Attaques DDoS
- Violations de données
- Fraude aux comptes créditeurs
- Fraude au crédit
- Rétrofacturations
- Autres types de fraude
- Attaques de l'homme du milieu
- Escroqueries au support technique
- Vol physique ou attaques
Examinons chacun d’eux pour découvrir quels sont les risques :
Hameçonnage
Schémas de phishing utiliser l’ingénierie sociale pour persuader les victimes d’effectuer un certain type d’action ou de transmettre des informations. La communication peut se faire par e-mail, SMS, message sur les réseaux sociaux ou par téléphone. Un fraudeur se fera généralement passer pour quelqu'un d'autre, par exemple un représentant d'une entreprise associée à l'entreprise ou un employé interne. Les attaques de phishing contre les entreprises sont souvent très ciblées » hameçonnage » attaque.
Fraude au PDG est un type de stratagème de phishing dans lequel l'attaquant se fait passer pour un cadre supérieur, souvent pour persuader un employé de virer une grosse somme d'argent. Il existe également le whaling, un autre type de phishing qui cible les dirigeants eux-mêmes. Dans certains cas, les attaquants parviennent à détourner de véritables comptes de messagerie, une tactique appelée Compromis de messagerie professionnelle (BEC).
Les stratagèmes de phishing peuvent se dérouler de différentes manières, mais ilsimpliquent généralement que l'attaquant tente de glaner des informations personnelles ou financièresou persuader la victime de remettre de l'argent. Par exemple, un employé peut se retrouver sur une site de phishing où ils saisissent les informations de connexion au compte. Ou encore, ils pourraient être amenés à divulguer des informations sur des clients (de nombreuses violations de données proviennent d'attaques de phishing), des secrets commerciaux ou des informations financières de l'entreprise. Dans d’autres cas, les employés auront pour instruction d’envoyer de l’argent sur un compte qui s’avère frauduleux.
Symantec a constaté que les petites organisations reçoivent des e-mails malveillants deux fois plus vite que les grandes entreprises reçoivent des messages similaires.
Rançongiciel
Rançongiciel est un type de malware. Cela fonctionne généralement en cryptant des fichiers ou des dossiers et en les gardant en otage jusqu'à ce qu'une rançon soit payée. En règle générale, les victimes verront un message contextuel sur leur écran expliquant ce qui s'est passé, le montant des frais et comment ils doivent être payés (souvent en crypto-monnaie).
Petites et moyennes entreprises représentent 62 pour cent d’attaques de ransomwares. Et un Rapport de données nous dit que les ransomwares constituent la principale menace de malware pour les PME. Une personne sur cinq déclare avoir été victime d’une attaque de ransomware.
Autres types de logiciels malveillants
Autre types de logiciels malveillants tels que les chevaux de Troie, les virus et les logiciels espions peuvent également présenter un risque pour votre entreprise. Les logiciels malveillants peuvent pénétrer dans les systèmes par divers moyens, notamment des e-mails malveillants, des publicités malveillantes (publicités malveillantes) ou du matériel tel qu'un disque ou une clé USB infecté.
Attaques DDoS
Dans un Attaque par déni de service (DoS) , les systèmes d’une organisation (réseaux ou serveurs) sont inondés de trafic. Le résultat est que la bande passante et les ressources sont épuisées et que le système est incapable de traiter les demandes régulières (légitimes). Une attaque par déni de service distribué (DDoS) implique plusieurs appareils compromis (un botnet) unissant leurs forces pour submerger le système cible.
Violations de données
Une violation de données se produit lorsqu’une personne met la main sur des informations qui auraient dû être sécurisées. Il existe un large éventail de causes de violations de données, notamment le phishing, le piratage, une mauvaise configuration et l'abus de privilèges. UN Rapport Verizon nous dit que 30 % des violations impliquent des acteurs internes.
Selon Verizon,plus d'un quart (28 %) des violations de données affectent les petites entreprises. Quoi de plus, résultat des violations de données des coûts par employé plus élevés pour les petites entreprises que pour les grandes organisations. Les petites entreprises perdent généralement 3 533 $ par employé, tandis que les grandes entreprises perdent 204 $ par employé.
Les violations de données peuvent avoir de graves conséquences à court et à long terme sur les entreprises, telles qu'une perte de revenus, des amendes et une réputation ternie.
Fraude aux comptes créditeurs
Les escroqueries liées aux comptes créditeurs sont celles qui impliquent les paiements sortants d’une entreprise. Il existe de nombreux types de fraudes internes et externes aux comptes créditeurs, notamment les systèmes de facturation (tels que la surfacturation ou les faux fournisseurs), la fraude à la paie, les escroqueries aux pots-de-vin, la fraude par chèque, la fraude à la chambre de compensation automatisée (ACH) et les escroqueries au remboursement des dépenses.
Un rapport trouvé que 14 pour cent des fraudes professionnelles impliquent les services des comptes créditeurs.Les dossiers de fraude durent en moyenne 14 moiset entraînent une perte moyenne de 8 300 $ par mois. Beaucoup de ces projets peuvent durer des années sans être remarqués.
Selon le rapport, les petites organisations sont deux fois plus susceptibles que les grandes entreprises d'être la cible de fraudes en matière de facturation et de paie. Ils sont quatre fois plus susceptibles d’être impliqués dans des falsifications de chèques et de paiements.
Fraude au crédit
Un autre type de fraude qui touche à la fois les particuliers et les entreprises est la fraude au crédit. C'est là qu'un fraudeur utilise la solvabilité d'une personne ou d'une entreprise pour demander des cartes de crédit ou contracter des prêts. Ces types de stratagèmes passent souvent inaperçus pendant des années. Il s’agit d’une forme d’usurpation d’identité et elle est malheureusement assez courante. Les entreprises américaines perdent des milliards à la fraude et au vol d'identité chaque année.
Rétrofacturations
Une rétrofacturation se produit lorsqu'un client contacte sa banque pour obtenir le remboursement d'un paiement. Ceci est souvent aux frais du commerçant et dans de nombreux cas, le produit n’est pas retourné. Les rétrofacturations sont souvent légitimes, par exemple si un commerçant a envoyé un produit erroné ou défectueux mais refuse de prendre des mesures.
Cependant, les rétrofacturations sont souvent utilisées à mauvais escient. Cela se produit lorsqu'il n'y a aucun problème avec l'article (ou le service) maisle client demande une rétrofacturation et conserve l'article. D'autres cas concernent des cartes de crédit volées. Allen Watson de Spy Guy voit cette situation un lot dans lequel une carte de crédit volée est utilisée pour acheter des marchandises. Le titulaire de la carte d’origine fait alors une demande légitime de rétrofacturation, mais c’est souvent le commerçant qui est perdant.
Autres types de fraude
Bien que la fraude aux comptes créditeurs couvre bon nombre des types de fraude les plus courants affectant les petites entreprises, il existe de nombreux autres stratagèmes à surveiller. Il s’agit notamment des stratagèmes de fausses devises, des escroqueries au retour, de l’indemnisation des accidents du travail, des escroqueries par virement bancaire, du détournement de cartes de débit et de crédit, de la fraude aux nouveaux comptes, et bien plus encore.
Attaques de l'homme du milieu (MitM)
Une attaque MitM implique qu’un attaquant écoute les communications d’une organisation. Le but est généralement de voler des données ou de tenter de les filtrer ou de les modifier. Par exemple, une attaque MitM pourrait être utilisée pour voler des informations de connexion ou des données personnelles ou financières, espionner les victimes, corrompre des données ou rediriger des fonds.
Les attaques MitM impliquent généralement un pirate informatique interceptant le trafic réseau d’une entreprise. Ils peuvent par exemple compromettre le routeur Wi-Fi du bureau ou les connexions VPN des employés.
Escroqueries au support technique
Programmes de support technique ciblent souvent les particuliers, mais ils peuvent également affecter les entreprises. Dans ce stratagème, un fraudeur se fera passer pour un technicien informatique, généralement par téléphone. Ils utiliseront des tactiques d’ingénierie sociale pour persuader la victime (un employé de l’entreprise) de transmettre des informations sur l’entreprise ou d’autoriser le contrôle à distance d’un ordinateur ou d’un autre appareil de l’entreprise.
Vol physique ou attaques
Bien entendu, le vol physique constitue toujours un risque. De nos jours, nous pouvons conserver l’ensemble des informations d’une entreprise sur une clé USB, ce qui fait qu’il est extrêmement facile que ces données tombent entre de mauvaises mains.
Les criminels pourraient avoir intérêt à voler toute une gamme de matérieltels que des ordinateurs, des disques, des clés USB, des disques durs ou d'autres appareils pouvant contenir des informations sensibles. Ils peuvent même tenter d’accéder physiquement à un appareil pour installer des logiciels malveillants tels que des logiciels espions.
D’autres attaques physiques pourraient cibler les véhicules de l’entreprise, par exemple pour installer un dispositif de localisation GPS.
Comment prévenir la fraude et d'autres types de cybercriminalité
Après avoir pris connaissance des menaces, vous pourriez être très inquiet. Cependant, vous pouvez prendre de nombreuses mesures pour sécuriser votre entreprise. Il y a beaucoup de outils de confidentialité et de sécurité disponible pour aider les petites entreprises, avec des options adaptées à un large éventail de budgets.
Voici quelques-unes des façons dont vous pouvez contribuer à protéger votre entreprise contre la cybercriminalité :
- Investir dans le personnel et la formation
- Adoptez une bonne hygiène des mots de passe
- Utilisez un pare-feu et un logiciel antivirus solides
- Utilisez un VPN
- Gardez le logiciel à jour
- Avoir des mesures anti-fraude en place
- Exécuter des tests d'intrusion
- Chiffrer les e-mails et les messages
- Implémenter HTTPS
- Sauvegarder les données
- Utiliser la gestion des appareils mobiles
- Envisagez un bureau virtuel hébergé
- Mettre en œuvre des outils de contrôle d'accès au réseau
- Utiliser un logiciel de prévention contre la perte de données
- Renforcer la sécurité physique
- Pensez à la cyberassurance
Ci-dessous, nous examinerons chacun d’eux plus en détail :
1. Investissez dans le personnel et la formation
L’une des étapes les plus importantes à prendre pour sécuriser votre entreprise est de créer une culture de sensibilisation à la sécurité. Des erreurs telles qu’une mauvaise configuration du logiciel ou une tentative de phishing peuvent entraîner des pertes massives. Sensibiliser les employés à la sécurité est l’une des principales priorités en matière de prévention de la cybercriminalité. Cela signifie avoir les protocoles appropriés en place et garantir que le personnel est correctement formé. Cela peut même impliquer l’embauche de personnel supplémentaire possédant une expertise en cybersécurité pour piloter les initiatives.
Vous devez égalements'assurer que les employés se sentent à l'aise de se manifesteravec des informations pertinentes. De nombreux cybercrimes, notamment de nombreuses violations de données et cas de fraude, impliquent des actions intentionnelles de la part d’acteurs internes. Et le revue de Harvard business nous dit que les employés sont les meilleurs pour lutter contre la fraude. Il est important de favoriser une culture dans laquelle les lanceurs d’alerte se sentent en sécurité. Vous pouvez même envisager des protections d’emploi et des récompenses pour les employés qui communiquent des informations.
Les statistiques du rapport de l’ACFE montrent la valeur de la formation des employés et les possibilités de reporting. 43 pour cent des stratagèmes ont été découverts suite à une dénonciation, dont la moitié provenait de salariés. Dans 33 % des cas, les lanceurs d’alerte ont utilisé le courrier électronique ou une ligne d’assistance téléphonique. Les employés formés à la sensibilisation à la fraude étaient plus susceptibles d'envoyer des informations via un mécanisme de signalement formel.
Certaines cybercriminalités internes peuvent être évitées en améliorant le processus de recrutement. Assurez-vous d'effectuer une vérification des antécédents (y compris un audit des médias sociaux) de tous les employés potentiels et envisagez exiger un rapport de crédit à exécuter sur les nouvelles recrues.
2. Adoptez une bonne hygiène des mots de passe
L’utilisation de mots de passe forts est vitale pour les particuliers comme pour les entreprises. Il est important que les employés utilisent un mot de passe fort et unique pour chaque compte. Les propriétaires d'entreprise peuvent encourager l'utilisation de mots de passe forts en fournissant à leurs employés un gestionnaire de mots de passe tel que Dashlane ou LastPass. Ceux-ci stockeront les mots de passe en toute sécurité et les rempliront automatiquement afin que l'utilisateur n'ait qu'à se souvenir d'un seul mot de passe principal.
Pour une sécurité supplémentaire de votre compte, vous pouvez utiliser authentification à deux facteurs (2FA) ou vérification en deux étapes (2SV) si disponible. Ceux-ci ajoutent une étape supplémentaire au processus de connexion, par exemple un code SMS ou email, une authentification biométrique ou une clé USB (telle que Clé Yubi ).
D'autres domaines qui pourraient nécessiter une attention particulière sontcomptes de réseaux sociaux et outils de collaboration en ligne. Ces plateformes sont de plus en plus utilisées pour des tâches professionnelles, mais peuvent également être utilisées pour des activités personnelles. Il est important que les employés connaissent clairement les pratiques de confidentialité et de sécurité qu’ils doivent maintenir sur toute plateforme utilisée pour des tâches professionnelles ou pour discuter d’activités professionnelles. Par exemple, les paramètres de confidentialité sur les plateformes sociales devront peut-être être modifiés et il pourrait même être conseillé de créer des comptes distincts pour les activités personnelles et professionnelles.
3. Utilisez un pare-feu et un logiciel antivirus solides
Un pare-feu fournit une première couche de défense pour vos systèmes en surveillant le trafic entrant et sortant des ports. Les pare-feu logiciels sont ceux qui sont généralement intégrés au système d'exploitation d'un appareil, tandis que les pare-feu matériels peuvent être trouvés dans votre routeur. Si vous comptez sur ceux-ci, il est important de vous assurer qu’ils sont activés.
Si vous n'avez pas de pare-feu intégré ou si vous souhaitez une protection supplémentaire,il existe des pare-feu tiers disponibles. Leur prix varie avec de nombreuses options gratuites et payantes disponibles.
Un logiciel antivirus solide fournira une couche de défense supplémentaire et vaut généralement la peine d’être payé. Un antivirus détectera les menaces connues et pourra peut-être les supprimer de votre système. Encore une fois, de nombreux outils antivirus de qualité sont disponibles.
4. Utilisez un VPN
Un VPN peut jouer un rôle crucial dans la sécurité de votre réseau en protégeant les données en transit. Un VPN crypte toutes les informations circulant vers et depuis votre réseau, aidant ainsi à le protéger des espions.Les VPN peuvent permettre aux employés d'accéder à Internet en toute sécurité et également de se connecter à un serveur d'entreprise.pour accéder en toute sécurité aux ressources de l'entreprise telles que les dossiers partagés et les applications.
Il existe un certain nombre d'options pour les VPN professionnels, avec une configuration optimale en fonction de vos ressources et de la structure de votre entreprise. Il existe même des outils gratuits, tels qu’OpenVPN, donc avec le bon savoir-faire, il peut être peu coûteux d’en installer un.
La plupart des grandes entreprises exploitent leur propre VPN. Cependant, la plupart des petites entreprises ne disposent pas de l’expertise et des ressources informatiques nécessaires pour en faire une option efficace et feraient mieux de s’inscrire auprès d’un fournisseur VPN professionnel. Vous pouvez consulter notre liste des meilleurs VPN pour les petites entreprises pour plus d’informations sur les principaux fournisseurs.
Les entreprises disposant de plusieurs sites peuvent opter pour un VPN de site à site. Des logiciels open source sont disponibles pour les configurer, mais encore une fois, ils peuvent être assez complexes. Des fournisseurs comme Palo Alto et Cisco sont des options populaires pour les solutions payantes, mais peuvent être coûteuses.
Certains fournisseurs de VPN se diversifient pour étendre leurs services et leur offreAccès zéro confiancesystèmes.Nord Sécurité, le fournisseur deNordVPNest un exemple de ce phénomène. LeurNordLayerLe service combine la protection VPN avec la gestion des identités et des accès (IAM) pour protéger l'accès aux applications sur une base individuelle plutôt que de contrôler l'accès à un réseau ou à un serveur. Cette solution de « microsegmentation » permet aux entreprises d'unifier la gestion de la sécurité des logiciels sur site et basés sur le cloud et simplifie la vie de la communauté des utilisateurs en créant un environnement d'authentification unique (SSO).
Coupon NordLayerÉconomisez 22 % sur le forfait annuel ! Obtenir une offre > Remise appliquée automatiquementUn autre exemple de système de sécurité basé sur VPN pour les petites entreprises estPérimètre 81. Cette startup de cybersécurité a été créée par l'équipe qui a lancé Safer VPN. L’équipe a vendu son fournisseur VPN pour se concentrer sur le nouveau domaine de pointe du Secure Access Service Edge. Ce nouveau domaine innovant de la sécurité des réseaux hybrides allie la protection de l'accès à distance aux ressources de l'entreprise et la nécessité pour les employés sur site d'accéder en toute sécurité aux packages SaaS basés sur le cloud.
Bien que le concept semble compliqué, il est réalisé en ajoutant la gestion des identités et des accès (IAM) au client VPN standard. Perimeter 81 propose une tarification raisonnable par utilisateur, qui est à peu près la même que celle de n'importe quel compte VPN d'équipe.
Coupon Périmètre 81Économisez 20 % sur les forfaits annuels Obtenez une offre > Coupon appliqué automatiquement5. Gardez le logiciel à jour
Garder les logiciels à jour est crucial pour la sécurité. Les vulnérabilités des logiciels peuvent être exploitées par les cybercriminels qui les utilisent pour accéder aux systèmes ou installer des logiciels malveillants. Les mises à jour incluent généralement des correctifs pour les failles connues, il est donc important que vous les installiez peu de temps après leur publication.
90 pour cent des applications Web sont vulnérables aux attaques de pirates informatiques, mais 80 pour cent des attaques utilisez des vulnérabilités datant de deux ans ou plus, donc l’installation de mises à jour peut réduire considérablement vos risques.
6. Mettre en place des mesures antifraude
Les activités frauduleuses sont souvent très difficiles à repérer. Les propriétaires d’entreprise et les employés doivent connaître les signes à surveiller pour détecter la fraude interne et externe. Le vol par les employés peut être particulièrement difficile à détecter, mais les signes courants d'une fraude aux comptes créditeurs peuvent avoir lieu :des chèques manquants et des employés qui sont soudainement remplis d'argent liquide.
La mise en place de politiques et de processus appropriés peut non seulement aider à détecter la fraude, mais également à la dissuader. Voici quelques suggestions :
- Surveiller les chèques volés
- S'assurer que les nouveaux fournisseurs et les modifications d'informations sont vérifiés
- Réaliser des audits internes et externes non programmés
- Utiliser la technologie automatisée de détection des fraudes
- Utiliser logiciel de surveillance des employés
- Demandez à plusieurs employés de gérer des tâches sensibles telles que les détails des factures, la paie, les dépôts et les relevés de rapprochement.
- Former les employés à détecter les e-mails et messages malveillants pouvant faire partie de stratagèmes frauduleux
- Mettez une alerte de fraude sur votre rapport de solvabilité d'entreprise
- Enquêtez sur les rétrofacturations et envisagez d’utiliser un logiciel de gestion des rétrofacturations
Les stratégies que vous mettrez en œuvre dépendront de la taille et de la nature de votre entreprise ainsi que de la manière dont les tâches individuelles sont habituellement gérées. Encore une fois, une culture de sensibilisation et un moyen sûr de signaler les employés sont essentiels.
7. Exécutez des tests d’intrusion
Il est toujours bon d’avoir un benchmark qui vous montre les domaines clés dans lesquels vos pratiques de sécurité pourraient être améliorées. Tests de pénétration évalue vos applications, systèmes et réseau pour vous indiquer exactement où se situent vos failles de sécurité. Des tests continus vous diront ensuite dans quelle mesure vous vous améliorez et sur quoi vous devez encore travailler.
Vous pouvez emprunter plusieurs voies pour effectuer des tests d’intrusion. Si vous disposez d’un personnel interne chargé de la sécurité des informations, il devrait être en mesure de mettre en place des outils de test pour vous. La plupart des entreprises bénéficieront du recours à des tiers pour les tests d'intrusion.Certains proposent des simulations et des tests surprises en coursafin que vous puissiez surveiller en permanence votre exposition aux menaces telles que le phishing, les logiciels malveillants, etc. Beaucoup proposeront aux employés des programmes de formation adaptés aux résultats des tests.
Les tests d’intrusion ne sont généralement pas bon marché, mais il existe des solutions adaptées à différents budgets.
8. Crypter les e-mails et les messages
Si vous êtes préoccupé par l’interception de messages, vous souhaiterez peut-être examiner différentes méthodes de cryptage des e-mails. Il existe quelques options disponibles, allant du Web facile à utiliser des clients de messagerie comme Hushmail à plus configurations de chiffrement complexes qui impliquent des paires de clés et des certificats.
Si les employés ou les clients ont tendance à communiquer via des applications de messagerie, pensezquelles applications sont les plus sécuriséeset si leurs paramètres sont utilisés de manière appropriée. Par exemple, Telegram propose en option un cryptage de bout en bout, mais Signal l'utilise par défaut.
Il est également important de se tenir au courant des dernières modifications apportées aux politiques de confidentialité de ces applications. Par exemple, La politique de confidentialité de WhatsApp change en ce qui concerne les communications professionnelles, cela pourrait donc être pris en compte dans votre décision sur la meilleure application de messagerie à utiliser.
9. Implémentez HTTPS
De nombreuses entreprises créent un site Web sans réfléchir à la sécurité. La mise en œuvre de HTTPS sur votre site protège les informations envoyées entre vos sites et ses visiteurs, ce qui peut aider à prévenir les attaques MitM et la surveillance par les fournisseurs de services Internet. Cela signale également aux clients que vous accordez de l’importance à la sécurité et à la confidentialité des données.
La configuration de HTTPS implique obtenir un certificat SSL ; cela semble un peu compliqué, mais l'ensemble du processus est en réalité très simple.
10. Sauvegarder les données
Avez-vous une seule copie de vos données ? Si toutes les données de votre entreprise sont stockées sur un PC ou un disque dur, il existe toujours un risque qu’elles soient effacées, corrompues, perdues, volées ou physiquement endommagées, par exemple en raison d’une inondation ou d’un incendie.
En guise de sauvegarde,c'est une bonne idée d'avoir au moins deux copies de toutes les données importantes. Des sauvegardes régulières sont le meilleur moyen d’y parvenir. Vous pouvez choisir d'utiliser un système de sauvegarde dans le cloud ou préférer les sauvegardes matérielles. N'oubliez pas que si vous choisissez cette dernière solution, les sauvegardes doivent être stockées dans un emplacement distinct de l'original. De cette façon, si l’un est volé ou endommagé, il est moins probable que l’autre le soit aussi.
Les systèmes cloud sont de plus en plus populaires car ils facilitent la configuration de sauvegardes automatiques et la sécurité de vos informations. Les services de sauvegarde ne doivent pas nécessairement vous ruiner, même si les outils entièrement gratuits ont tendance à offrir un espace de stockage très limité.
La plupart des services de sauvegarde et de stockage dans le cloud chiffrent vos informations par défaut, mais vous pouvez être très prudent concernant certains fichiers ou dossiers. Dans ce cas, vous pouvez ajouter une autre couche de cryptage avec un service comme nCrypted Cloud ou Encrypto.
11. Utiliser la gestion des appareils mobiles
Gestion des appareils mobiles (MDM) est devenu un sujet de plus en plus brûlant, surtout pendant la pandémie, alors que de nombreux employés travaillent à distance. MDM vous permet de gérer efficacement les appareils à distance. Les fonctionnalités des outils MDM peuvent inclure :
- Utilitaires de suivi, de verrouillage et d’effacement
- Un tableau de bord pour surveiller les appareils
- Une vue détaillée des applications installées
- Télécommande pour le dépannage
- Configuration et gestion des politiques et des restrictions
- Déploiement de nouvelles applications et mises à jour
La fonctionnalité exacte dépendra de l’outil que vous choisirez, il vaut donc la peine de comparer soigneusement les différents fournisseurs avant de choisir celui qui convient le mieux à vos besoins.
12. Envisagez un bureau virtuel hébergé
Un autre outil que vous pouvez utiliser pour protéger vos systèmes contre certains risques est un bureau virtuel hébergé (HVD) tel qu'Amazon WorkSpaces (AWS). Également appelé Desktop as a Service (DaaS) ou Virtual Hosted Desktop (VHD), un HVD place un ordinateur de bureau (y compris son système d'exploitation et d'autres applications) dans le cloud, permettant un accès depuis n'importe où.
Cela présente des avantages pratiques dans la mesure oùvous n'avez pas besoin d'installer de logiciel sur de nombreux appareilset les ressources peuvent être facilement partagées entre les employés. C’est particulièrement utile du point de vue de la sécurité, car il évite les menaces au niveau de l’appareil, telles que les risques liés aux connexions Wi-Fi, aux lecteurs de disque, aux ports USB et aux caméras.
13. Mettre en œuvre des outils de contrôle d'accès au réseau
Le contrôle d’accès est un élément crucial de la sécurité du réseau, mais c’est un domaine difficile à gérer. Une approche populaire est celle du moindre privilège, dans laquelle les employés ont accès au minimum d'informations et d'outils dont ils ont besoin pour exercer leurs fonctions.
Ceci est particulièrement important lorsque vous avez des employés en poste Programme Apportez votre propre appareil (BYOD) ou travailler à distance. Contrôle d'accès au réseau (NAC) les outils peuvent vous aider à contrôler qui a accès à quoi. Ils vous permettent même de préciser où et quand les employés peuvent accéder à des applications ou à des données spécifiques.
14. Utilisez un logiciel de prévention contre la perte de données
L'erreur humaine est inévitable, mais vous pouvez atténuer l'impact de ces erreurs sur votre entreprise. Le logiciel Data Loss Prevention (DLP) vous permet d'appliquer des règles aux données afin que les employés ne puissent pas les partager, accidentellement ou intentionnellement. Par exemple, vous pouvez appliquer des filtres pour empêcher les employés d'envoyer un e-mail contenant un certain mot-clé ou empêcher le partage de fichiers spécifiques.
15. Renforcer la sécurité physique
La sécurité numérique est d’une importance capitale, mais vous devez également vous assurer de ne pas laisser passer la sécurité physique. Les appareils perdus, volés ou endommagés peuvent entraîner des problèmes importants pour une entreprise.
Chiffrement complet du disque C'est une bonne idée pour protéger les informations stockées sur un appareil réel, et c'est particulièrement important pour les ordinateurs portables qui peuvent être utilisés dans des espaces publics et facilement volés. Vous pouvez également utiliser des verrous physiques pour empêcher quelqu’un de glisser un ordinateur portable ou une tablette en premier lieu. Par exemple, Kensington propose une gamme de solutions pour plusieurs types d’appareils.
Une autre chose que vous pouvez faire poursécuriser les appareils en cas de perte ou de volest d'activer le logiciel d'effacement à distance. Par exemple, les utilisateurs iOS peuvent activer Find My iPhone et les utilisateurs Android peuvent installer Find My Device. Ces outils peuvent vous aider à localiser un appareil perdu ou volé et vous permettent de verrouiller ou d'effacer l'appareil à distance. MacOS propose une option d'application similaire et vous pouvez trouver des outils d'effacement à distance pour les PC Windows. De nombreux outils MDM mentionnés ci-dessus offrent également ces fonctionnalités.
Vous devez également signaler tout appareil perdu ou volé à la police. Il n’y a généralement qu’une faible chance qu’ils puissent les récupérer, mais c’est mieux que pas de chance du tout. De plus, vous devrez probablement signaler la perte ou le vol à des fins d’assurance.
16. Envisagez la cyberassurance
En parlant d'assurance, avez-vous cyberassurance inclus dans votre couverture ? Cela existe depuis un certain temps, mais à la suite de violations massives de données et d’attaques coûteuses de ransomwares, il devient de plus en plus courant que les assureurs l’associent à des forfaits d’assurance professionnels.
La cyberassurance vous couvre généralement contredommages financiers causés par des éléments tels que des virus et autres logiciels malveillants, la perte et le vol de données et les dommages au réseau. Idéalement, les entreprises devraient évaluer leur risque de différents types d’attaques et disposer d’une police d’assurance cyber adaptée à ces risques. Notez que vous n’êtes pas obligé de faire appel au même fournisseur qui gère votre assurance entreprise standard et que vous devez magasiner et comparer les différentes offres.