Le guide des petites entreprises sur les principes essentiels de la sécurité réseau
De nombreuses PME font l’erreur de penser que la cybersécurité n’est qu’un problème réservé aux grandes organisations. En pratique, cela ne pourrait être plus éloigné de la vérité. En 2016, une enquête Poneman rapportait que 55 % des entreprises de moins de 1 000 salariés avaient subi une cyberattaque en 2016. . L’avenir s’annonce également sombre, puisque les dommages causés par la cybercriminalité devraient atteindre 6 000 milliards de dollars par an d’ici 2021.
Les petites entreprises restent la cible d'un nombre important d'attaques malveillantes. Les organisations qui ne parviennent pas à mettre en œuvre des plans stratégiques contre de futures attaques seront forcément affectées par celles-ci. Depuis malware Aux vers et aux virus, 101 problèmes de sécurité doivent être résolus pour éviter les temps d'arrêt.
Cependant, dans le domaine de la cybersécurité, mieux vaut prévenir que guérir. La mise en œuvre d’une stratégie à l’échelle de l’organisation pour faire face aux menaces futures contribuera grandement à rester opérationnel. Cela permet également de minimiser les dommages éventuels. Dans cet article, nous examinons comment une petite entreprise peut être protégée contre les attaques malveillantes.
Voir également: Plus de 30 outils gratuits pour la sécurité des sites Web
Éduquez vos employés sur les meilleures pratiques de sécurité
Avant de mettre en œuvre de nouvelles procédures ou de nouveaux outils, vous devez vous assurer que vos employés possèdent une connaissance de base des menaces potentielles. Après tout, la mise en place de procédures de sécurité élaborées ne vous protégera pas si le personnel ne sait pas ce qu’il fait. Afin d’empêcher qu’une menace de sécurité ne s’enracine, la meilleure façon de commencer est d’enseigner à vos employés une série de bonnes pratiques.
Gestion des mots de passe
Pensez à utiliser un outil de gestion de mots de passe
Gestion des mots de passe est l’une des meilleures pratiques les plus importantes à suivre par le personnel. Il fournit au personnel un moyen fondamental de restreindre l'accès aux systèmes, comptes et services clés.
Même si la plupart des employés connaissant l’informatique connaissent l’importance de choisir des mots de passe forts, nombreux sont ceux qui ne le feront pas ou ne le feront pas. Cela signifie qu’il est avantageux de prendre les devants et de rédiger des directives organisationnelles sur les exigences en matière de mots de passe.
Former le personnel sur la sélection du mot de passe
En faisant cela, la première chose que vous voulez préciser est que le personnel doit utiliser un mot de passe unique qui n’est utilisé nulle part ailleurs. Le mot de passe lui-même doit comprendre un mélange de lettres majuscules, de lettres minuscules, de chiffres et de symboles. Cela vous offrira une protection substantielle contre une tentative de piratage par force brute.
C'est également une bonne idée de fournir des informations sur le stockage des mots de passe. Les mots de passe complexes sont bons pour la cybersécurité, mais ils sont souvent très difficiles à mémoriser. Pour faciliter la mémorisation des mots de passe, il peut être judicieux de les stocker dans une solution logicielle ou une application de gestion de mots de passe cryptés.
Mettre régulièrement à jour les mots de passe
Le dernier ingrédient d’une gestion réussie des mots de passe consiste à s’assurer que les mots de passe sont régulièrement mis à jour. Cependant, il existe une bonne et une mauvaise manière d’encourager cela. Si vous incitez le personnel à mettre à jour trop souvent, vous vous retrouverez avec des mots de passe faibles, car le personnel sera à court d'idées (ou de motivation !) pour continuer à générer de nouveaux mots de passe.
En règle générale, deux à trois changements chaque année devraient constituer le minimum. Cependant, un mot de passe doit toujours être modifié si vous pensez qu'il a été compromis ou si vous ou un membre du personnel utilisez actuellement un mot de passe faible.
Voir aussi : Meilleurs gestionnaires de mots de passe
Utiliser l'authentification à deux facteurs
Même si les mots de passe sont très importants, ils ne sont pas à l’abri des violations. Un attaquant dédié peut parcourir des milliards de mots de passe en quelques minutes. De nombreuses organisations se sont tournées vers l’authentification à deux facteurs comme barrière supplémentaire pour empêcher ces attaques de gagner du terrain.
Authentification à deux facteurs C'est lorsque vous vous connectez à votre compte et que vous êtes ensuite invité à fournir une deuxième information pour confirmer votre identité. Dans la plupart des cas, il s'agira d'un code envoyé par SMS à votre numéro de téléphone portable ou à une autre adresse e-mail, bien qu'il puisse également s'agir d'une empreinte digitale.
De nombreuses entreprises choisissent plutôt d’utiliser des appareils physiques tels que des porte-clés qui sont hors de portée des pirates. L’authentification à deux facteurs rend le travail du pirate informatique dix fois plus difficile et constitue un ajout bienvenu à la sécurité des mots de passe. Les services en ligne comme Google ont commencé à utiliser l'authentification à deux facteurs afin de sévir contre les utilisateurs non autorisés.
Verrouiller les ordinateurs et les appareils
Une façon pour le personnel de rendre immédiatement une entreprise plus sûre est de verrouiller son ordinateur une fois qu'il s'en va. Cela semble simple, mais il existe de nombreux cas de vol ou de violation d'informations confidentielles au sein d'une organisation. Par exemple, dans le passé, Fellowes a découvert que plus de 250 millions de documents commerciaux avaient été déclarés perdus ou volés sur une période de deux ans. .
Garder les ordinateurs verrouillés est l’un des meilleurs moyens d’assurer la sécurité physique de vos données. Même si de nombreux employés sont conscients de l'importance des mots de passe, les menaces liées au fait de laisser un appareil ouvert peuvent facilement être négligées. Afin de prévenir la perte, le vol ou la destruction de données, il est important de sensibiliser le personnel aux dangers.
Dans votre politique de cybersécurité, précisez que les ordinateurs et les téléphones mobiles doivent rester verrouillés lorsqu'ils ne sont pas utilisés. Même si la plupart des employés ne sont pas des criminels, il existe une minorité qui n’hésiterait pas à accéder à des données privées. Vous pouvez également configurer des appareils pour verrouiller les utilisateurs après avoir été inactifs pendant un certain temps.
Signaler et nettoyer les appareils perdus
Le contrôle de l'accès aux appareils est extrêmement important, mais, en cas de disparition d'un appareil, vous devez vous assurer que le personnel le signale. Recherche de EE indique que les employés perdent plus de 10 millions d'appareils chaque année . Ceci est problématique étant donné que ces appareils contiennent des informations importantes qui peuvent être utilisées par les cybercriminels.
La réponse idéale à ce scénario est qu’un membre du personnel signale la disparition d’un appareil afin que ses données puissent être détruites à distance. Il existe une variété de produits logiciels différents qui permettent de suivre ou d'effacer à distance les données des appareils perdus. Toutefois, ces mesures ne sont efficaces que si la perte de l’appareil est signalée rapidement.
Il est connu que des cybercriminels avisés mettent un appareil en mode avion pour empêcher l’effacement des données. Par conséquent, vos employés doivent réagir immédiatement afin de minimiser les dégâts. La clé du bon déroulement de ce processus est de sensibiliser le personnel à l’importance de signaler rapidement la perte des appareils.
En installant sur tous les appareils un logiciel de destruction ou de suivi des données à distance et en encourageant le personnel à signaler rapidement, vous serez moins vulnérable aux attaques futures. L’inclusion de ces informations dans votre politique de cybersécurité fournira également au personnel une ressource qu’il pourra consulter pour référence future. Une politique de cybersécurité permettra de mieux mémoriser les démarches à entreprendre à l’avenir.
Utilisez un VPN
Lorsque vous travaillez en ligne, chaque connexion que vous établissez constitue une menace potentielle. L'utilisation d'un réseau privé virtuel (VPN) est une méthode éprouvée pour protéger vos données contre les pirates. Un VPN crypte vos données d'utilisation et masque votre adresse IP afin que vous puissiez naviguer de manière anonyme. Dans un environnement de petite entreprise, un VPN peut protéger vos données lors de leur transfert entre employés.
Vous n’avez pas non plus besoin de dépenser beaucoup d’argent pour payer votre propre VPN, car il existe de nombreux fournisseurs de services VPN disponibles à un prix compétitif. Encourager le personnel à utiliser des VPN réduira considérablement le potentiel des cybercriminels d’accéder à des informations confidentielles et les empêchera de les utiliser pour commettre une violation.
Voir aussi : Meilleurs services VPN
Passer au SASE
Secure Access Service Edge (SASE) est une avancée sur la sécurité de connexion offerte par les VPN car il intègre la gestion des droits d'accès (ARM). Avec cette combinaison dans une seule application, vous pouvez contrôler l'accès des utilisateurs à des applications spécifiques. Cela ouvre une nouvelle option de sécurité qui fournit une protection réseau unifiée pour les systèmes hybrides. Ce terme désigne l'utilisation de services cloud hors site parallèlement à des ressources sur site.
Même les très petites entreprises se retrouvent aujourd’hui confrontées à la difficulté de tenter de protéger les connexions aux services cloud : si vous disposez d’un abonnement à Microsoft 365 ou à Google Workspace, vous exploitez un réseau hybride.
Heureusement, assurer la sécurité du réseau face à la complexité des systèmes hybrides n’est pas très difficile. De nombreux nouveaux services SASE émergent qui proposent des consoles cloud et des configurations guidées afin que vous puissiez facilement mettre en œuvre ce système de cybersécurité de pointe. Jeter un coup d'œil àPérimètre 81, qui a créé une série de plans idéaux pour les petites entreprises.
Coupon Périmètre 81Économisez 20 % sur les forfaits annuels Obtenez une offre > Coupon appliqué automatiquementVoir également: Guide ultime du SASE et des meilleurs outils SASE
Appliquer les paramètres de confidentialité
Au cours de la dernière décennie, de nombreuses organisations ont commencé à utiliser les réseaux sociaux et d’autres services en ligne pour améliorer leurs processus quotidiens. Cela entraîne une nouvelle série de vulnérabilités. Chaque membre du personnel qui mène des activités en ligne laisse une trace numérique d'informations personnelles qui peuvent être exploitées à des fins attaques de phishing et d'autres raisons malveillantes.
Il convient de conseiller à tout membre du personnel utilisant LinkedIn, Facebook, Twitter ou Google+ de maintenir ses paramètres de confidentialité aussi élevés que possible. Plus précisément, vous voulez qu’ils s’assurent que seuls les amis peuvent consulter des informations telles que leur date de naissance ou leur lieu. Limiter la quantité d'informations disponibles aux non-amis permet de minimiser la quantité de données pouvant être extraites par les cyber-attaquants.
Tenez-vous-en aux transferts de fichiers sécurisés
Toute organisation qui traite des informations sensibles telles que des adresses e-mail et des numéros de carte de crédit doit utiliser un système de transfert de fichiers sécurisé. Un système de transfert de fichiers sécurisé cryptera les informations sensibles et garantira qu’aucun utilisateur non autorisé n’y aura accès.
De nombreuses organisations utilisent le courrier électronique comme service de transfert de fichiers. C’est loin d’être idéal car ceux-ci ne sont pas cryptés. De même, les protocoles de transfert de fichiers tels que FTP sont également non cryptés et vulnérables aux accès extérieurs. Il existe plusieurs façons d'éviter ces menaces, notammentProtocole de transfert de fichiers sécurisé SFTPet le cryptage des e-mails, mais le plus populaire consiste à utiliser untransfert de fichiers géré(MFT) service.
Il existe une variété de fournisseurs de solutions MFT différents sur le marché. Il est conseillé d'utiliser MFT car il vous offre l'un des moyens les plus efficaces et les plus simples d'effectuer des transferts de fichiers sécurisés.
Gardez votre logiciel à jour
L’un de vos plus grands atouts contre les cybermenaces est votre logiciel. Garder votre logiciel à jour contre les menaces externes est essentiel pour protéger votre service sur le long terme. En 2017, le Le rançongiciel WannaCry Cette attaque a frappé des organisations du monde entier en exploitant une vulnérabilité précédemment corrigée dans Windows. Les organisations auraient pu empêcher l’attaque simplement en disposant d’un logiciel à jour.
Malheureusement, il est peu probable que l’attaque WannaCry soit la dernière du genre. De nombreuses attaques de logiciels malveillants exploitent les vulnérabilités laissées par des logiciels non corrigés pour accéder à un système. Les mises à jour logicielles agissent comme une barrière contre cela en corrigeant les bogues connus, les problèmes de sécurité et les vulnérabilités générales afin d'améliorer les performances et d'éviter la perte ou la destruction de données.
Il est essentiel que les petites entreprises encouragent leur personnel à maintenir régulièrement à jour leurs logiciels. Le téléchargement d'un nouveau correctif logiciel et le redémarrage de votre ordinateur peuvent faire la différence entre conserver vos données ou les perdre au profit d'un cyber-attaquant. Le personnel doit être informé de la nécessité de tout corriger, des navigateurs Web aux mises à jour du système d'exploitation.
La plupart des logiciels installés sur votre ordinateur devront être approuvés manuellement avant de pouvoir être implémentés, mais dans de nombreux cas, vous pouvez configurer la mise à jour automatique pour vous tenir au courant lorsqu'un nouveau correctif apparaît. Il est important de rappeler au personnel qu’il doit également s’assurer que ses applications mobiles sont à jour, car celles-ci peuvent également être vulnérables aux menaces externes.
En rapport:
Statistiques sur les ransomwares 2017-2018
Comment prévenir les ransomwares
Exécuter un test d'intrusion
Même si la mise en place de mesures de sécurité est une excellente idée, vous ne savez jamais si votre organisation peut résister à une cyberattaque jusqu'à ce qu'elle se produise. C’est pourquoi de plus en plus d’entreprises travaillent avec des « hackers éthiques » pour pirater leurs systèmes clés. Ces pirates sont des professionnels de la sécurité qui simulent des attaques de logiciels malveillants et de ransomwares pour tester la robustesse des mesures de cybersécurité d’une organisation.
Un test d'intrusion peut vous indiquer dans quelle mesure vous êtes protégé contre une attaque et vous indiquer des moyens d'améliorer la sécurité globale de votre entreprise. Il testera vos défenses actuelles et mettra en évidence un nouveau lot de vulnérabilités dont vous ignoriez totalement. Ceci est important car ce pourraient être précisément ces vulnérabilités qu’un cyber-attaquant décide de cibler lors d’une attaque réelle.
Une fois partest de pénétrationUne fois terminé, vous recevrez un aperçu de toutes vos vulnérabilités actuelles ainsi qu'une liste de recommandations à mettre en œuvre afin de les protéger à l'avenir. Généralement, ces risques sont hiérarchisés afin que vous puissiez vous attaquer en premier aux problèmes les plus urgents.
Un test d'intrusion vous indiquera non seulement les problèmes à résoudre, mais vous mettra également dans une meilleure position en matière de conformité réglementaire. Si vous faites partie d’une organisation touchée par laNorme de sécurité des données du secteur des cartes de paiement(PCI DSS) alors vous devrez mettre en place un test d’intrusion afin de vous y conformer.
Nous vous recommandons fortement d’effectuer un test d’intrusion car c’est le seul moyen de voir si votre cybersécurité résiste à la pression d’une attaque réelle. Bien que les coûts puissent être importants, ils peuvent être dérisoires en comparaison des coûts générés par une faille de sécurité et tout temps d'arrêt ou perte de données ultérieur que vous subissez.
Voir également: Tutoriel Wireshark
Restez vigilant !
Il peut être facile de négliger cette étape, mais encourager le personnel à rester vigilant ajoute un autre niveau de protection. Il y aura des moments où même les meilleures fonctionnalités de cybersécurité ne suffiront pas à prévenir une attaque. Le personnel vigilant agira comme dernière ligne de défense pour arrêter les problèmes avant qu'ils ne surviennent ou pour prendre cette première réponse une fois qu'une menace est devenue apparente.
Cela signifie que si une activité suspecte est repérée localement ou virtuellement, elle doit être signalée au membre de l'équipe concerné ou au service informatique. Être proactif face aux menaces potentielles peut faire la différence entre une menace qui passe inaperçue et une attaque qui cause des dégâts minimes.
En fin de compte, l’efficacité de cette étape dépend de l’exécution de votre personnel. Cependant, si vous fournissez au personnel une formation en matière de cybersécurité et que vous l’informez sur les meilleures pratiques générales, il disposera des bases nécessaires pour pouvoir diagnostiquer lorsqu’un problème survient.
Le plus important est de faire comprendre au personnel qu’il a la responsabilité d’assurer la cybersécurité de l’entreprise. Une équipe gardant un œil collectif sur la cybersécurité du bureau peut faire une différence monumentale en matière de réponse aux menaces.
Voir également:
Instituts et associations de cybersécurité
Ressources de cybersécurité : une grande liste d'outils et de guides
Répondre aux commentaires des employés
Enfin, l’un des facteurs les plus importants à prendre en compte est la réponse aux commentaires des employés. L’efficacité de vos politiques de cybersécurité dépend de la manière dont elles sont exécutées par votre personnel. Si le personnel se sent frustré parce que les orientations actuelles lui prennent beaucoup de temps, il est alors important de répondre à ces commentaires.
Bien entendu, vous souhaitez maintenir un niveau élevé de mesures de sécurité en place, mais il est important d’être ouvert aux suggestions sur la manière dont les processus pourraient être améliorés. Cela contribuera non seulement à accroître la satisfaction du personnel, mais conduira également à une politique de cybersécurité plus nuancée.
Travailler aux côtés de votre personnel garantit que la cybersécurité est prise au sérieux et que votre plan ne devient pas obsolète et ignoré. La pire chose que vous puissiez faire est de mettre en œuvre un plan de cybersécurité sans répondre aux commentaires des employés et sans l'affiner au fil du temps.
Sécurité des réseaux : une question de politique et de mise en œuvre
Suivre les conseils et les meilleures pratiques ci-dessus contribuera grandement à garantir que votre entreprise et votre équipe sont prêtes à répondre aux cybermenaces. Cependant, il est important de réaliser que même avec toutes ces mesures en place, les menaces peuvent toujours passer. Qu’il s’agisse d’une erreur humaine ou d’une défaillance du système, des erreurs se produisent.
La mise en œuvre d’une stratégie globale aidera à réduire ces risques au minimum, mais vous ne pourrez pas les empêcher complètement. Tout ce que vous pouvez faire est de vous assurer que votre personnel est informé des meilleures pratiques et politiques en matière de cybersécurité ; de cette façon, ils seront plus conscients de la manière de prévenir et de répondre aux cyberattaques. En fin de compte, une cybersécurité efficace est une question de politique et de mise en œuvre.
Ne commettez surtout pas l’erreur de négliger aucun aspect de votre politique de cybersécurité. Vous ne savez jamais comment ni quand une attaque pourrait survenir, alors ne soyez pas tenté de négliger un quelconque élément de votre sécurité physique ou virtuelle. Vos données et votre réputation reposent dessus.