Table des matières:
- Adopter les bonnes attitudes
- Apportez votre propre appareil ... ou apportez votre propre violation de données?
- Les PME peuvent être laissées pour compte
Dans un récent rapport, McAfee a déclaré 2014 "l'année de la violation", et il est facile de comprendre pourquoi. Plusieurs sociétés et sociétés de premier plan ont subi des violations de données paralysantes depuis janvier, passant de plus de 50 millions de personnes chez Home Depot à 70 millions de personnes chez JPMorgan. Pendant ce temps, Staples, PF Chang's, Goodwill et une flopée d'autres ont tous été la proie de la cybercriminalité.
Selon l'indice de niveau de violation de SafeNet pour le troisième trimestre de 2014, 320 violations de données ont été signalées entre juillet et septembre, dont 46% impliquaient un vol d'identité.
Sous la surface de ces notifications de violation majeures, une avalanche de violations de données de moindre envergure se produit chaque semaine dont vous êtes moins susceptible d'entendre parler. Un objectif comme Home Depot offre une opportunité pour un jour de paie massif, mais c'est aussi un risque plus élevé et implique beaucoup de planification. Il n'est donc pas surprenant de voir des pirates opter pour des fruits bas comme les petites entreprises (PME). Celles-ci donneront des jours de paie plus petits, mais peuvent être abondantes si plusieurs sont retirées successivement.
Pendant ce temps, les cybercriminels utilisent de nouveaux outils pour cibler les PME, explique Trend Micro dans l'un de ses derniers rapports sur les enregistreurs de frappe, que les pirates peuvent utiliser pour siphonner les données de l'entreprise.
«Les PME ont ce faux sentiment de sécurité, pensant qu’une telle attaque ne leur arrivera jamais», explique Gary Davis, évangéliste en chef de la sécurité des consommateurs chez McAfee. "Les menaces de sécurité ne sont pas discriminatoires en fonction de la taille de l'organisation et pour les PME dont les employés utilisent plusieurs appareils, il devient de plus en plus crucial d'avoir des solutions de sécurité hors pair."
Vous n'avez pas besoin de creuser trop loin pour trouver des exemples de brèches de petite à moyenne taille. L'Hôtel Houstonian à Houston, au Texas, a vu 10 000 détails de carte de crédit de clients exposés lors d'une faille de sécurité plus tôt cette année. À plus petite échelle mais non moins grave, le magasin d'équipements de sports de plein air Backcountry Gear, basé dans l'Oregon, qui expédie des marchandises à travers les États-Unis, a découvert des logiciels malveillants sur son système en juillet 2014 qui pourraient avoir compromis les données des clients.
«Le problème est que beaucoup de ces entreprises ne considèrent tout simplement pas la sécurité comme quelque chose qu'elles doivent faire, mais plutôt comme une chose qu'elles doivent faire», explique Marcus Ranum, responsable de la sécurité chez Tenable Network Security. "Étant francs, ils adoptent souvent une approche minimale, au mieux, et externalisent et tentent de différer leur responsabilité."
Adopter les bonnes attitudes
La sécurité fonctionne mieux lorsqu'elle est traitée comme un «processus métier de base», selon SMB Security Guide, un site qui conseille les petites entreprises sur les meilleures pratiques en matière de sécurité.
Une formation de base de base est nécessaire pour toute petite entreprise dans la protection de ses actifs numériques. Les employés doivent être formés à l'utilisation de mots de passe uniques et difficiles, a déclaré Davis, et les propriétaires d'entreprise doivent connaître leurs données à l'intérieur comme à l'extérieur, où tout est stocké et qui y a exactement accès. Le fait d'avoir un livre ouvert sur les données parmi les employés est susceptible d'entraîner une fuite de données, qu'elle soit délibérée ou accidentelle.
Ailleurs, les propriétaires d'entreprise doivent également s'assurer que leurs applications et leurs systèmes d'exploitation sont mis à jour, mais la cybersécurité est multiforme et peut également prendre une présence physique. Qui a accès aux pièces où sont stockés les disques durs, par exemple?
"Ne laissez pas des étrangers errer dans les couloirs et limitez l'accès physique avec des portes verrouillées et des systèmes d'entrée gérés", explique Davis. "Assurez-vous d'effectuer des vérifications approfondies des antécédents et des références avant d'embaucher de nouveaux employés."
Apportez votre propre appareil … ou apportez votre propre violation de données?
Le Guide de réponse aux violations de données 2014/2015 d'Experian et le Ponemon Institute plaident en faveur de l'élaboration d'une politique de réponse rigide aux violations. Des politiques efficaces à tous les niveaux aideront toute entreprise à mieux gérer ses violations de données, en particulier dans le cas des entreprises ayant des pratiques BYOD, qui créent de plus en plus de possibilités de violations.
Le BYOD au bureau devient inévitable, explique le conseiller en sécurité de F-Secure, Sean Sullivan.
"Du point de vue d'un utilisateur, le BYOD est une excellente idée, mais du point de vue de la sécurité, c'est une idée terrible", dit-il. "Vous jouez à la loterie de la malchance; les chances sont faibles, mais le premier prix est une perte substantielle d'argent."
L'appareil appartient à l'individu et cela soulève des questions de responsabilité, c'est pourquoi l'élaboration d'une politique à toute épreuve est vitale et doit compléter la formation de vos employés aux protocoles de sécurité.
«Nous recommandons aux organisations de donner à leurs employés une formation supplémentaire sur les appareils physiques eux-mêmes», ajoute Sullivan. "En offrant aux employés une expérience utilisateur exceptionnelle, les directives de l'entreprise relatives à la sécurité sont moins susceptibles d'être ignorées."
Les PME peuvent être laissées pour compte
Les petites entreprises sont encouragées à adopter une approche proactive de la sécurité et à adopter les mentalités des grandes entreprises, car personne d'autre ne veillera sur vous.
«En réalité, le secteur de la sécurité a laissé tomber les petites et moyennes entreprises», explique Paul Lipman, PDG d'iSheriff, une société de sécurité cloud basée à Redwood City, en Californie. Les PME peuvent se perdre dans la conversation et ne reçoivent pas la même attention en matière de sécurité, les laissant souvent se débrouiller seules.
Les PME n'ont peut-être pas autant à offrir à un cybercriminel qu'un Home Depot ou une cible, mais les entreprises ont encore beaucoup à perdre.
"ne sont pas intéressés à voler des secrets ou des propriétés intellectuelles comme les pirates ciblant les grandes entreprises", explique Lipman, mais là où il y a une entreprise, il y a de l'argent et les cybercriminels ciblent tout ce qu'ils savent qu'ils peuvent pénétrer.
Certaines entreprises sont de plus en plus technophiles, mais le point crucial est que les PME ne peuvent pas prendre leur temps avec cela. La technologie - et les cybermenaces - évoluent à un rythme effarant.
Le rapport des propriétaires de petites entreprises de la Bank of America indique que 80% des petites entreprises ont incorporé "un certain type de méthode numérique" dans leur entreprise, mais cela peut inclure les médias sociaux ainsi que la sécurité. Combien d'attention est accordée au renforcement de la sécurité, tout comme à l'extension de la portée des médias sociaux?
La société de sécurité BitSight a publié de nouvelles recherches en novembre 2014 qui corroborent de nombreuses préoccupations concernant la sécurité des entreprises, en particulier la vente au détail, et note que l'intégrité de la sécurité a diminué dans ces entreprises.
"Bien qu'il soit encourageant de constater que la majorité des détaillants ayant fait l'objet d'une violation ont amélioré leur efficacité en matière de sécurité, il reste du travail à faire, en particulier dans le domaine de la gestion des risques des fournisseurs", a déclaré le directeur technique de BitSight, Stephen Boyer, lors de l'annonce de la recherche.
Cela soulève plusieurs questions. Si vous êtes propriétaire d'une petite entreprise, avez-vous vérifié les pratiques de sécurité de votre entreprise et évalué où se situe la sécurité dans votre hiérarchie? À mesure que les cybermenaces évoluent, les petites entreprises devront faire de même.
