Les dégâts mondiaux de la cybercriminalité ont atteint en moyenne 11 millions de dollars américains par minute, soit un coût de 190 000 dollars par seconde.
60% des petites et moyennes entreprises qui ont une violation de données finissent par fermer leurs portes dans les six mois parce qu’elles ne peuvent pas se permettre les coûts. Les coûts d’être victime d’une cyberattaque peuvent inclure la perte d’activité, les pertes de temps d’arrêt/de productivité, les coûts de réparation pour les clients dont les données ont été volées, etc.
Vous pensez peut-être que cela signifie investir davantage dans la cybersécurité, et il est vrai que vous devez mettre en place des protections de sécurité informatique appropriées (anti-malware, pare-feu, etc.). Cependant, bon nombre des violations les plus dommageables sont dues à des erreurs de cybersécurité courantes commises par les entreprises et leurs employés.
Le rapport Sophos 2021 sur les menaces, qui a examiné des milliers de violations de données dans le monde, a révélé que ce qu’il a appelé les « menaces quotidiennes » étaient parmi les plus dangereuses. Le rapport indique : « Un manque d’attention à un ou plusieurs aspects de l’hygiène de sécurité de base s’est avéré être à l’origine de bon nombre des attaques les plus dommageables sur lesquelles nous avons enquêté.
Votre entreprise commet une dangereuse erreur de cybersécurité qui vous expose à un risque élevé de violation de données, de prise de contrôle de compte cloud ou d’infection par un ransomware ?
Voici quelques-uns des faux pas les plus courants en matière de bonnes pratiques de base en matière de sécurité informatique.
Ne pas implémenter l’authentification multifacteur (MFA)
Selon IBM Security, le vol d’identifiants est devenu la principale cause de violation de données dans le monde. La plupart des processus et des données de l’entreprise étant désormais basés sur le cloud, les identifiants de connexion détiennent la clé de plusieurs types d’attaques sur les réseaux d’entreprise.
Ne pas protéger les identifiants de vos utilisateurs avec une authentification multifacteur est une erreur courante qui expose les entreprises à un risque beaucoup plus élevé d’être victime d’une violation.
MFA réduit les tentatives de connexion frauduleuses de 99,9 %.
Ignorer l’utilisation du Shadow IT
Le Shadow IT est l’utilisation d’applications cloud par les employés pour des données d’entreprise qui n’ont pas été approuvées et peuvent même ne pas être connues d’une entreprise.
L’utilisation du Shadow IT expose les entreprises à des risques pour plusieurs raisons :
-Les données peuvent être utilisées dans une application non sécurisée
-Les données ne sont pas incluses dans les stratégies de sauvegarde de l’entreprise
-Si l’employé part, les données pourraient être perdues
-L’application utilisée peut ne pas répondre aux exigences de conformité de l’entreprise
-Les employés commencent souvent à utiliser des applications par eux-mêmes parce qu’ils essaient de combler une lacune dans leur flux de travail et ne sont pas conscients des risques liés à l’utilisation d’une application qui n’a pas été approuvée par l’équipe informatique de leur entreprise.
Il est important de mettre en place des politiques d’utilisation du cloud qui précisent aux employés les applications qui peuvent et ne peuvent pas être utilisées pour le travail.
Penser que vous êtes bien avec seulement une application antivirus
Quelle que soit la taille de votre entreprise, une simple application antivirus ne suffit pas à vous protéger. En fait, de nombreuses menaces d’aujourd’hui n’utilisent pas du tout de fichier malveillant.
Les e-mails de phishing contiendront des commandes envoyées à des systèmes PC légitimes qui ne sont pas signalés comme virus ou malware. De nos jours, le phishing utilise également massivement des liens plutôt que des pièces jointes pour envoyer les utilisateurs vers des sites malveillants. Ces liens ne seront pas interceptés par de simples solutions antivirus.
Vous devez mettre en place une stratégie à plusieurs niveaux qui comprend des éléments tels que :
-Anti-malware de nouvelle génération (utilise l’IA et l’apprentissage automatique)
-Pare-feu nouvelle génération
-Filtrage des e-mails
-Filtrage DNS
-Politiques de sécurité automatisées des applications et du cloud
-Surveillance de l’accès au cloud
Ne pas avoir de gestion des appareils en place
La majorité des entreprises du monde entier ont des employés travaillant à distance depuis la pandémie, et elles prévoient de continuer ainsi. Cependant, la gestion des appareils pour les appareils distants des employés ainsi que les smartphones utilisés pour les affaires n’a pas toujours été mise en place.
Si vous ne gérez pas la sécurité ou l’accès aux données pour tous les points de terminaison (propriétaires de l’entreprise et des employés) de votre entreprise, vous courez un risque plus élevé de violation de données.
Si vous n’en avez pas déjà, il est temps de mettre en place une application de gestion des appareils, comme Intune dans Microsoft 365.
Ne pas fournir une formation adéquate aux employés
Un étonnant 95% des failles de cybersécurité sont causées par une erreur humaine. Trop d’entreprises ne prennent pas le temps de former continuellement leurs employés et les utilisateurs n’ont donc pas développé les compétences nécessaires à une bonne culture de la cybersécurité.
La formation de sensibilisation à la sécurité informatique des employés doit être dispensée tout au long de l’année, et pas seulement une fois par an ou lors d’un processus d’intégration. Plus vous gardez la sécurité informatique au premier plan, mieux votre équipe sera équipée pour identifier les attaques de phishing et suivre les procédures de traitement des données appropriées.
Voici quelques façons d’intégrer la formation à la cybersécurité dans la culture de votre entreprise :
-Courtes vidéos de formation
-Affiches de sécurité informatique
-Webinaires
-Séances d’entraînement en équipe
-Conseils de cybersécurité dans les newsletters des entreprises
Quand avez-vous passé un dernier bilan de cybersécurité ?
Ne restez pas dans l’ignorance de vos vulnérabilités en matière de sécurité informatique. Planifiez un audit de cybersécurité pour découvrir les vulnérabilités afin qu’elles puissent être renforcées pour réduire vos risques.
Article utilisé avec la permission de The Technology Press.
