#GoToGetsIT : Cet article fait partie d'une série en cours proposée par les têtes pensantes de GoTo sur le terrain. Nos consultants en solutions disposent d'une compréhension avancée des défis particuliers rencontrés par nos clients et leur proposent les solutions qui répondent à leurs besoins à l'aide de la technologie GoTo. Ici, ils partagent leurs connaissances du secteur et expliquent ce qu'il faut mettre en place pour prospérer dans un environnement à distance ou hybride.
Dans le paysage numérique actuel, la cybersécurité est essentielle pour les organisations de toutes tailles. Si les grandes entreprises font souvent la une des journaux pour des atteintes à la cybersécurité, les petites et moyennes entreprises (PME) sont tout aussi vulnérables aux cyberattaques, si ce n'est plus.
En effet, le rapport Spear Phishing: Top Threats and Trends (Harponnage : principales menaces et tendances) du site Barracuda révèle que les employés des entreprises en expansion subissent 350 % d'attaques d'ingénierie sociale de plus que les employés des grandes entreprises. Ces types d'attaques, tels que l'hameçonnage, la publicité mensongère et l'usurpation d'identité, ne reposent pas sur des exploits techniques sophistiqués, mais visent plutôt à manipuler les individus pour qu'ils divulguent des données confidentielles, effectuent des actions ou prennent des décisions qui profitent à l'auteur de l'attaque. Comme l'explique un responsable de la sécurité des systèmes d'information, « les adversaires motivés par des raisons financières considèrent les petites et moyennes entreprises comme une cible facile en raison du manque de contrôles de sécurité et de la pénurie de ressources qualifiées à leur disposition ».
Cependant, au-delà des attaques d'ingénierie sociale, il existe une multitude d'autres menaces qui peuvent représenter des risques importants pour votre entreprise en expansion. Parmi ces menaces, on trouve les attaques par rançongiciel, qui retiennent vos données importantes en otage jusqu'au paiement d'une rançon, et les infections par des logiciels malveillants, qui peuvent perturber vos activités et compromettre vos informations sensibles.
Pour vous aider à protéger votre PME, nous avons établi une liste de contrôle pratique en matière de cybersécurité. Ces mesures concrètes renforceront vos défenses numériques et protégeront vos actifs importants contre les cybermenaces potentielles.
La liste de contrôle indispensable en matière de cybersécurité pour les petites et moyennes entreprises
1. Mettre en place une formation de sensibilisation à la sécurité
La sensibilisation à la sécurité consiste à former vos employés aux bonnes pratiques en matière de cybersécurité. Cette formation les aide à comprendre les menaces courantes telles que les e-mails d'hameçonnage et à savoir comment réagir. Par exemple, les employés peuvent apprendre à identifier les e-mails suspects en repérant les adresses d'expéditeur inhabituelles ou les demandes d'informations sensibles. Des sessions de formation régulières et des exercices de simulation d'hameçonnage peuvent renforcer la vigilance de votre équipe face aux cybermenaces. Des plates-formes telles que KnowBe4 ou SANS Security Awareness proposent des modules de formation conviviaux et des tests de simulation d'hameçonnage qui aident les employés à reconnaître les menaces en ligne et à réagir efficacement.
2. Contrôler l'accès aux données sensibles
Le contrôle d'accès garantit que seul le personnel autorisé peut accéder aux données et systèmes sensibles. Pour renforcer la posture de sécurité de votre organisation, mettez en place un outil de gestion des mots de passe afin d'encourager l'utilisation de mots de passe forts et le stockage des informations d'identification en toute sécurité. Vous devez également adopter un système de contrôle d'accès basé sur les rôles dans lequel les privilèges d'accès sont attribués aux utilisateurs en fonction de leur rôle et de leurs responsabilités professionnelles. Cette approche garantit que les individus ont uniquement accès aux ressources et aux informations nécessaires à leurs fonctions spécifiques. Par exemple, seuls les gestionnaires des ressources humaines devraient avoir accès aux données relatives à la paie des employés, tandis que les autres employés ne devraient pas avoir accès à ces informations sensibles.
3. Appliquer l'authentification multifacteur (MFA)
L'authentification multifacteur (MFA) ajoute une couche supplémentaire de sécurité en requérant une deuxième forme de vérification, par exemple via une application mobile ou un code par SMS, en plus d'un mot de passe. Il peut s'agir de quelque chose que vous connaissez (comme un mot de passe), de quelque chose dont vous disposez (comme une application mobile ou un jeton matériel) ou de quelque chose qui vous est propre (données biométriques telles que les empreintes digitales ou la reconnaissance faciale). Sélectionnez une solution d'authentification multifacteur adaptée à la taille, au budget et à la pile technologique de votre organisation. Google Authenticator et Microsoft Authenticator sont des choix populaires, mais d'autres options sont également disponibles.
4. Renforcer la sécurité des terminaux sur les appareils
Au même titre que vous faites des bilans de santé réguliers pour votre bien-être, il est essentiel de garantir une protection fiable de tous les ordinateurs et appareils mobiles de votre organisation à l'aide d'un outil de protection des terminaux. Integrated Partner Solutions, Inc., entreprise spécialisée dans l'automatisation des processus d'ingénierie, illustre parfaitement cette démarche. Grâce à l'utilisation d'un logiciel de surveillance et de gestion à distance (RMM), elle a réussi à renforcer la sécurité de ses terminaux tout en respectant les délais serrés d'un projet d'ingénierie. Gene Perry, vice-président d'Integrated Partner Solutions, a souligné la valeur de cette protection, en particulier pour la gestion des données d'ingénierie propriétaires. Il a insisté sur la confiance que les clients ont ressentie grâce au logiciel de surveillance et de gestion à distance utilisé par l'entreprise et à son chiffrement des données de bout en bout, basé sur les autorisations. L'utilisation d'un logiciel de gestion des appareils mobiles en plus du logiciel de surveillance et de gestion à distance peut contribuer à garantir la sécurité et la conformité des données sur les appareils mobiles utilisés au travail. De cette manière, tous les appareils appartenant à l'entreprise et les appareils personnels sont protégés.
5. Évaluer la sécurité du fournisseur
Si votre entreprise fait appel à des services cloud ou à des fournisseurs tiers, tels que des outils de réunion à distance ou un logiciel de paie, évaluez leurs pratiques en matière de sécurité et veillez à ce qu'ils respectent vos normes de cybersécurité. Accordez une attention particulière à la manière dont ils traitent les données sensibles, à la gestion des accès et aux pratiques de chiffrement. En fonction de votre secteur, vous voudrez peut-être aussi vous assurer que vos fournisseurs respectent les réglementations spécifiques en matière de cybersécurité (par exemple, le RGPD, le HIPAA, la norme PCI DSS) s'ils traitent vos données. Recherchez des outils offrant des protocoles de sécurité avancés, tels que l'architecture Zero Trust, afin que votre organisation puisse avoir l'esprit tranquille en ce qui concerne la sécurité de l'accès à distance.
6. Élaborer un plan de réponse aux incidents
Créez un plan complet de réponse aux incidents avec des étapes claires pour les incidents de cybersécurité et attribuez les fonctions et les responsabilités pour une réponse coordonnée. Par exemple, désignez un gestionnaire des incidents qui supervisera l'ensemble de l'intervention, en veillant à ce que les actions soient coordonnées et conformes au plan. Les analystes techniques, quant à eux, sont chargés d'enquêter et d'évaluer la nature et la portée de l'incident. Un conseiller juridique doit également faire partie de votre équipe d'intervention, prêt à faire face à toutes les implications juridiques de l'incident.
7. Mettre en place un processus de radiation des employés
Lorsqu'un employé quitte votre entreprise, il est impératif de lui retirer l'accès aux systèmes et aux données. Cela revient à récupérer les clés et les cartes d'accès lorsqu'un employé quitte le bureau. Pour faciliter ce processus, il est possible de créer une liste de contrôle pour la révocation des accès. Cette liste de contrôle doit inclure tous les systèmes, applications et référentiels de données auxquels les employés qui quittent l'entreprise ont accès. Dès que le départ d'un employé est confirmé, passez systématiquement par cette liste de contrôle pour désactiver ou modifier ses identifiants d'accès. Par exemple, si votre entreprise utilise des services basés sur le cloud comme Microsoft 365 ou Google Workspace, vous pouvez facilement révoquer l'accès en désactivant ses comptes utilisateur. En outre, mettez à jour les protocoles de mots de passe afin de vous assurer que les anciens employés ne peuvent pas utiliser leurs anciens mots de passe pour obtenir un accès non autorisé.
Protéger votre PME à l'ère du numérique
La cybersécurité est un processus continu. En mettant en œuvre ces pratiques, vous améliorerez considérablement votre sécurité et protégerez votre entreprise à l'ère du numérique.
La solution tout-en-un de gestion et d'assistance informatique de GoTo Resolve contribue à réduire le risque de cybermenaces pour les entreprises en expansion et permet aux agents de protéger et de sécuriser les actifs informatiques sans perturber les clients. Elle détecte de manière proactive les correctifs nécessaires et les planifie automatiquement sur les serveurs et les postes de travail, tout en surveillant et en gérant les logiciels antivirus à partir d'un tableau de bord unique. Grâce à notre modèle de sécurité de pointe, votre PME peut répondre en toute confiance à ses exigences en matière de cybersécurité.