Cybersécurité pour les petites entreprises : un guide complet

This post is also available in:

Vous entendez beaucoup parler de fuites de données et de piratages de sécurité dans les actualités. La plupart du temps, ceux dont vous entendez parler sont de grandes entreprises ou des agences gouvernementales. Vous n’entendez pas souvent parler du salon de coiffure local ou de l’école primaire ayant une fuite de données ou une attaque de pirate informatique. Malgré la prévalence digne d’intérêt des brèches de cybersécurité à grande échelle, les petites entreprises peuvent constituer des cibles attrayantes.

Les petites entreprises sont exposées aux mêmes menaces de sécurité en ligne que n’importe quelle grande entreprise. Cependant, la petite ou moyenne entreprise est rendue plus vulnérable par les obstacles supplémentaires à la création d’un environnement en ligne sécurisé pour ses données.

Pourquoi les petites entreprises font des cibles attrayantes

C’est une pensée horrible, mais lorsqu’il s’agit de petites entreprises dotées de systèmes en ligne, elles apparaissent comme des fruits mûrs et faciles à saisir pour quiconque souhaite en profiter.

Lorsque vous avez une petite entreprise, vous n’avez généralement pas les ressources pour allouer une équipe spécialisée, voire une personne dédiée, au métier de la cybersécurité. Cela signifie généralement que les petites entreprises ont des protocoles de sécurité moins stricts et moins de ressources pour rechercher les fuites et les menaces. Ce n’est la faute de personne, mais cela rend les petites entreprises plus vulnérables.

Quand quelqu’un crée une entreprise, il le fait pour sa passion et son expertise dans ce domaine. À moins que vous ne bâtissiez une entreprise de cybersécurité, votre domaine d’expertise n’est pas la sécurité en ligne, et personne ne se lance en affaires pour passer des heures en dehors de sa spécialité. Cela conduit les gens à faire des erreurs, à ne pas prendre leurs mesures de sécurité au sérieux, et tout le monde sait que l’erreur humaine est l’une des menaces de sécurité les plus importantes pour toute entreprise .

Un autre élément qui rend les petites entreprises plus attrayantes pour les menaces en ligne est leur lien avec les grandes entreprises . Avec des systèmes moins robustes et des menaces importantes pour les données humaines, les petites entreprises peuvent représenter un point d’accès facile aux grandes entreprises, avec des données beaucoup plus précieuses.

Un autre élément qui rend les petites entreprises plus attrayantes pour les menaces en ligne est leur lien avec les grandes entreprises . Avec des systèmes moins robustes et des menaces importantes pour les données humaines, les petites entreprises peuvent représenter un point d’accès facile aux grandes entreprises, avec des données beaucoup plus précieuses.

Un facteur surprenant expliquant pourquoi les petites entreprises sont plus sensibles aux cyberattaques est que beaucoup ne prennent pas la cybersécurité aussi au sérieux qu’elles le devraient. Il existe une croyance répandue et erronée selon laquelle les petites entreprises ne sont pas aussi attrayantes que les grandes entreprises. Par conséquent, la direction n’est pas aussi rigoureuse dans la mise en œuvre des contrôles et des politiques de cybersécurité.

Qu’est-ce qui est à risque dans une faille de cybersécurité ?

Vous conservez beaucoup de données sur le cloud et sur des serveurs Web. Lorsque vos protocoles de cybersécurité ne sont pas robustes, vous risquez tout ou partie de ces données stockées. De plus, vous risquez d’accéder à tous les systèmes internes liés à votre stockage Web. L’argent, les données, l’équipement et votre réputation courent un risque grave d’infiltration et de divulgation.

• informations clients
• coordonnées bancaires de l’entreprise
• détails de paiement du client
• conceptions de produits
• plans de développement
• processus
• structure tarifaire

Toutes ces données sont une cible pour les personnes souhaitant vendre les informations ou profiter de votre perte. Ce ne sont pas seulement les détails et la stabilité de votre entreprise qui sont menacés si votre entreprise divulgue ces données à partir de protocoles de cybersécurité inadéquats. Vos clients, partenaires et même vos fournisseurs pourraient devenir des cibles à cause des fuites de données de votre entreprise. Ne mentionnons pas que vous pourriez être légalement coupable si un vol de données de votre entreprise endommageait fondamentalement une autre partie.

C’est très bien de savoir quelles données sont à risque si vous ne maîtrisez pas vos protocoles de cybersécurité internes et externes. Pourtant, il s’agit d’identifier les enjeux si votre entreprise est victime d’une cyberattaque en raison d’une mauvaise préparation.

• Perte financière (via plusieurs voies)
  • par le biais de coordonnées bancaires compromises
  • perturbation des affaires
  • recours en responsabilité à votre encontre
• Atteinte à la réputation
  • Perdre des clients en raison de la fuite de leurs données
  • Mauvaises critiques
• Répercussion juridique
  • violation de la confidentialité des clients
  • non-respect des lois sur la confidentialité et la sécurité des données (GDPR, HIPAA, etc.)

La plupart des petites entreprises n’ont pas pu se remettre de ces pertes. De plus, les petites et moyennes entreprises qui ont subi une cyberattaque sont plus susceptibles d’être ciblées à nouveau. Selon une étude réalisée en 2012 par la National Cyber Security Alliance, 60 % des petites entreprises font faillite dans les six mois suivant une violation de données.

Les menaces les plus courantes pour les petites entreprises

Les pirates et les cybercriminels utilisent plusieurs méthodes courantes pour accéder aux systèmes. Ils peuvent causer plus de dommages aux petites entreprises qu’ils le feraient pour une entité massive comme Facebook ou Amazon. Malheureusement, ils ciblent presque toujours l’élément humain plutôt que d’essayer de pirater directement les logiciels de sécurité.

Hameçonnage

Les attaques de phishing se produisent lorsque l’expéditeur prétend être un contact de confiance, un collègue interne ou, plus souvent, un membre de la direction. Les maîtres de l’escroquerie par hameçonnage font leurs recherches. Ces acteurs en ligne s’assurent que leurs e-mails ressemblent à un e-mail envoyé par la personne qu’ils prétendent être, potentiellement jusqu’à avoir une différence d’un seul caractère dans l’adresse e-mail. La signature est la même, tout comme le ton, mais ils vous demanderont de télécharger quelque chose, d’envoyer des informations sensibles ou d’envoyer de l’argent.

Les e-mails de phishing sont monnaie courante depuis longtemps et de nombreuses personnes ont appris à les ignorer et à les signaler. Cependant, ils sont encore largement répandus car leurs techniques et leur mode de livraison sont devenus beaucoup plus sophistiqués.

Logiciels malveillants

Malware est un terme général utilisé pour décrire divers types de codes malveillants qui peuvent infecter vos systèmes. Les virus ou chevaux de Troie sont conçus pour accéder aux machines et aux réseaux ou voler et détruire des données. Les logiciels malveillants peuvent pénétrer dans votre infrastructure informatique par des téléchargements de sites Web malveillants, des spams ou des e-mails de phishing, ou par la connexion à d’autres appareils concernés.

Les logiciels malveillants peuvent être particulièrement dangereux pour les petites entreprises car ils peuvent endommager le matériel, voler des données et prendre le contrôle des réseaux. La plupart des petites entreprises ne peuvent pas se permettre de dépenser des milliers d’euros pour remplacer le matériel endommagé d’un système infecté.

Ingénierie sociale

Bien que l’ingénierie sociale ne conduise pas toujours à une infection par un logiciel malveillant, de nombreuses escroqueries par hameçonnage et logiciels malveillants comportent un élément d’ingénierie sociale dans leur exécution. C’est là que la recherche entre en jeu.
Les cybercriminels qui maîtrisent l’art de l’ingénierie sociale contre savent jouer sur la dualité de l’engagement émotionnel et du risque.
La peur, la curiosité, la cupidité, l’urgence et la serviabilité sont tous des aspects de l’intrigue d’ingénierie sociale.
Les ingénieurs sociaux utilisent vos réponses émotionnelles à leurs pop-ups malveillants, e-mails et sites Web infectés pour susciter votre peur du risque. Peu importe qu’il s’agisse du risque d’être inutile, de manquer une « bonne affaire » ou des conséquences négatives de ne pas télécharger leur « logiciel essentiel » en ce moment.

Parfois, cela peut être aussi simple que d’envoyer une publication amusante sur les réseaux sociaux conçue pour collecter des informations personnelles. Vous avez probablement déjà vu quelque chose comme ça sur votre flux.

Logiciels de rançon

Ransomeware fait exactement ce qu’il dit. Il prend les données de votre entreprise et de vos clients et les conserve contre une rançon – tout en les cryptant pour que vous ne puissiez pas les voir même si vous y aviez accès. Cette menace est beaucoup plus dommageable pour les petites entreprises car elles sont moins susceptibles d’avoir des sauvegardes de données rigoureuses et fréquentes. Par conséquent, ces petites entreprises sont plus susceptibles de payer la rançon pour récupérer l’accès à leurs précieuses données.

Dans le même temps, les rançongiciels sont particulièrement nocifs pour la profession médicale, où l’accès immédiat aux dossiers des patients et aux systèmes informatiques est essentiel et peut même être un cas de vie ou de mort.

Menaces internes

Que ce soit intentionnellement ou par laxisme en matière de sécurité, vos employés internes et anciens membres du personnel constituent la plus grande menace pour la cybersécurité de votre entreprise.

« Les gens affectent les résultats de sécurité plus que la technologie, les politiques ou les processus. »

Gartner Magic Quadrant for Security Awareness Computer-Based Training, Joanna Huisman, 18 juillet 2019

C’est vrai; les gens sont votre plus grande menace.

Meilleures pratiques de cybersécurité pour les petites entreprises

Utiliser un pare-feu

Un pare-feu est la première ligne de défense contre la cybercriminalité. Alors que de nombreuses entreprises utilisent un pare-feu externe pour protéger leurs données, d’autres ont commencé à utiliser un pare-feu interne pour une couche supplémentaire de protection contre les cyberattaques.

Documenter les politiques

Ne laissez pas la politique glisser sous le radar. Documentez les politiques dont vous avez besoin pour maintenir la cybersécurité. La négligence délibérée de la sécurité des employés pourrait constituer un motif de licenciement si votre personnel ne respecte pas les procédures que vous mettez en œuvre.

Il ne s’agit pas seulement de s’assurer que votre personnel respecte les règles, mais cela signifie également que vous pouvez établir une liste de contrôle des actions nécessaires pour assurer la sécurité de vos données.

Compte pour les appareils externes

De nombreuses petites entreprises autorisent ou même encouragent leurs employés à utiliser leurs propres appareils, tels que les téléphones portables et les tablettes. Cela réduit les coûts pour l’entreprise et l’employé est tenu responsable de son entretien. Cependant, les périphériques externes peuvent être un point d’entrée commun pour que les logiciels malveillants pénètrent dans un système sans même s’en rendre compte.

Assurez-vous d’avoir mis en place une politique BYOD (apportez votre propre appareil) qui dicte les mesures nécessaires requises pour utiliser leurs propres appareils. Voici quelques exemples : L’appareil doit se verrouiller dans les x minutes après avoir été inactif. L’appareil doit se verrouiller avec un mot de passe connu de vous seul.

Éducation pour le personnel

Ne vous contentez pas de remettre le document de sécurité en ligne et d’espérer le meilleur. Il est essentiel que votre personnel comprenne l’importance de vos mesures de cybersécurité et pourquoi tout le monde est responsable. Investissez du temps pour former votre personnel sur vos protocoles de sécurité et assurez-vous de les tenir à jour au moins une fois par an.

Utilisez des technologies cloud certifiées

Le pare-feu protège votre infrastructure, mais pas de votre entreprise sera en cours d’exécution sur les systèmes internes. Depuis l’aube de « en tant que service », vous pouvez utiliser un système de planification basé sur le Web (SaaS) ou des services Web Amazon (IaaS). Chaque service Web que vous utilisez doit avoir des certifications et des politiques qui soutiennent votre cybersécurité. Quelques exemples sont la conformité GDPR, SSL (TLS), HIPAA, la certification ISO , parmi beaucoup d’autres.

Politiques de mot de passe sécurisé

Créer un mot de passe complexe pour empêcher les pirates de force brute et est également facile à retenir est difficile (au moins pour certains). Cependant, cela en vaut finalement la peine. Dans le cadre de vos politiques de cybersécurité, vous pouvez implémenter des exigences de complexité des mots de passe sur la plupart des systèmes sur lesquels vous avez le contrôle ultime.

Sauvegardes régulières et fréquentes

C’est une dépense supplémentaire, mais il est crucial de s’assurer que les données de votre entreprise et de vos clients disposent de sauvegardes régulières et hors site. Non seulement pour éviter le gel complet de votre entreprise si quelqu’un vous attaque par ransomware mais aussi en cas d’autres catastrophes qui pourraient survenir.
C’est moins cher que d’arrêter votre activité ou de payer une rançon pour récupérer vos données.

Protection des logiciels

Dans la protection de votre système matériel contre les logiciels malveillants, il est préférable d’adopter une approche proactive. Bien qu’aucun logiciel anti-malware ou anti-spyware ne soit parfait (car les pirates informatiques se développent aussi rapidement que les programmeurs de protection), leur utilisation constitue une couche supplémentaire de protection contre l’ infiltration de logiciels malveillants.

La plupart du temps, le logiciel de sécurité identifiera la source du code malveillant, ce qui vous permettra d’identifier et de bloquer cette source contre tout accès futur à votre système.

Identification et autorisation multifactorielles

Malgré l’évolution des mesures de protection, l’accès par mot de passe unique aux systèmes sécurisés n’est pas une bonne idée. Le moyen le plus simple de garantir un accès sécurisé par mot de passe consiste à ajouter un facteur supplémentaire au processus de connexion. Le moyen le plus simple et le moins coûteux de le faire est d’utiliser l’authentification à 2 facteurs de Google Authenticator, qui enverra un code à un appareil externe pour une sécurité de connexion supplémentaire.

Il existe d’autres méthodes disponibles pour créer des couches de sécurité supplémentaires. Certains nécessitent une entrée biométrique, comme les empreintes digitales ou la reconnaissance faciale, tandis que d’autres sont des porte-clés externes, comme un Yubikey.

Ressources gratuites pour la cybersécurité dans votre région

Vous pourriez penser que les protocoles de cybersécurité seraient à peu près les mêmes dans le monde entier ; Internet est partout. Cependant, plusieurs agences peuvent vous aider à concevoir et mettre en place un système pratique et fonctionnel de contrôles de cybersécurité pour votre petite entreprise. S’ils sont spécifiques à votre région ou à votre pays, il vous sera plus facile de travailler avec eux dans le cadre des directives et des lois régionales.

• Pays de l’Union européenne
  • Initiatives de l’UE en matière de cybersécurité
  • Agence de l’Union européenne pour la cybersécurité
• Etats-Unis
  • La FCC
  • Agence de cybersécurité et de sécurité des infrastructures
  • Institut national des normes et de la technologie
• Australie
  • Gouvernement australien
  • Centre australien de cybersécurité
• Royaume-Uni
  • Gouvernance informatique
  • Le Centre national de cybersécurité

Cybersécurité des petites entreprises : en résumé

Lorsque vous dirigez une petite ou moyenne entreprise, vous rencontrez des obstacles à la maintenance de votre cybersécurité que les grandes entreprises n’ont pas. Vous n’avez pas toutes les équipes de sécurité dédiées à assurer la sécurité de vos données.

Vous n’avez pas le temps de consacrer des heures aux procédures et processus de cybersécurité. Ce sont des obstacles importants à la création d’un environnement sûr pour les données des entreprises et des clients.

Il existe des ressources disponibles auprès des agences gouvernementales locales pour aider les petites entreprises à protéger leurs données, car une grande partie des cyberattaques ciblent les petites entreprises. Étant donné que les petites entreprises représentent une grande partie de l’apport économique, il est dans l’intérêt du gouvernement de les protéger.

Il n’est pas nécessaire que la mise en œuvre des meilleures pratiques soit coûteuse, mais elle ne sera pas gratuite. Il n’y a aucun moyen d’assurer la protection la plus robuste sans aucun investissement financier ; cependant, la majorité des meilleures pratiques ne coûtent rien d’autre que du temps et des efforts.

La meilleure protection consiste à former votre personnel aux dangers des cyberattaques et à les éviter. Les gens sont la menace la plus importante parce qu’ils ont toutes les émotions et réactions erratiques qui sont imprévisibles. Les former à identifier leurs déclencheurs et à repérer les faux e-mails et autres escroqueries sera l’action la plus efficace pour atténuer les risques de cybersécurité.