Pourquoi les petites entreprises doivent-elles tirer parti des atteintes à la sécurité des données

Auteur: Roger Morrison
Date De Création: 17 Septembre 2021
Date De Mise À Jour: 1 Juillet 2024
Anonim
Pourquoi les petites entreprises doivent-elles tirer parti des atteintes à la sécurité des données - La Technologie
Pourquoi les petites entreprises doivent-elles tirer parti des atteintes à la sécurité des données - La Technologie

Contenu



Source: Mbolina / Dreamstime.com

À emporter:

Les petites et moyennes entreprises ne prennent souvent pas la sécurité autant au sérieux.

Dans un rapport récent, McAfee a déclaré 2014 «l’année de la violation» et il est facile de comprendre pourquoi. Depuis janvier, plusieurs entreprises et sociétés de premier plan ont été victimes de violations de données paralysantes, passant de plus de 50 millions de personnes chez Home Depot à plus de 70 millions chez JPMorgan. Entre-temps, Staples, PF Chang, Goodwill et bien d’autres sont devenus des proies de la cybercriminalité.

Selon le SafeNets Breach Level Index du troisième trimestre de 2014, 320 violations de données ont été signalées entre juillet et septembre, dont 46% étaient liées à un vol d'identité.

Toute une panoplie d’informations sur les violations majeures est le flot de violations de données de moindre importance qui se produisent chaque semaine et dont on a moins de chances d’entendre parler. Une cible comme Home Depot offre la possibilité de gagner beaucoup d’argent, mais elle présente également un risque plus élevé et une planification minutieuse. Ainsi, il n’est pas surprenant de voir des pirates se lancer dans des activités faciles comme des petites entreprises (PME). Celles-ci donneront des jours de paie plus petits, mais peuvent être généreuses si plusieurs sont retirées successivement.

Pendant ce temps, les cybercriminels utilisent de nouveaux outils pour cibler les PME, explique Trend Micro dans l'un de ses derniers rapports sur les enregistreurs de frappe, que les pirates peuvent utiliser pour siphonner les données de l'entreprise.

"Les PME ont ce faux sentiment de sécurité, pensant qu'une telle attaque ne leur arrivera jamais", a déclaré Gary Davis, évangéliste en chef de la sécurité des consommateurs chez McAfee. "Les menaces à la sécurité ne font pas de distinction en fonction de la taille de l'entreprise et des PME dont les employés utilisent plusieurs périphériques, il devient de plus en plus crucial de disposer de solutions de sécurité performantes."

Il n'est pas nécessaire de creuser trop loin pour trouver des exemples de violations de petite à moyenne taille. L’hôtel Houstonian de Houston, au Texas, a vu la carte de crédit de 10 000 clients exposée lors d’une atteinte à la sécurité au début de l’année. En juillet 2014, Backcountry Gear, un magasin d’équipement de sport pour le plein air basé à Oregon, qui expédie des marchandises aux États-Unis, a découvert sur son système des logiciels malveillants qui pourraient avoir altéré les données des clients.

"Le problème est que bon nombre de ces entreprises ne considèrent tout simplement pas la sécurité comme une chose qu’elles doivent faire, mais plutôt quelque chose qu’elles doivent faire", déclare Marcus Ranum, responsable de la sécurité chez Tenable Network Security. "En toute honnêteté, ils adoptent au mieux une approche au strict minimum, externalisant et essayant de différer leur responsabilité."

Adopter les bonnes attitudes

La sécurité fonctionne mieux lorsqu'elle est traitée comme un "processus métier central", selon le Guide de sécurité SMB, un site qui conseille les petites entreprises sur les meilleures pratiques en matière de sécurité.

Une formation de base de base est nécessaire pour toute petite entreprise afin de protéger ses actifs numériques. Les employés doivent être formés à l'utilisation de mots de passe difficiles et uniques, a déclaré Davis, et les propriétaires d'entreprise doivent connaître leurs données de l'intérieur à l'extérieur, où tout est stocké et qui a exactement accès à ces données. Avoir un livre ouvert sur les données parmi les employés est susceptible de provoquer une fuite de données, qu'elle soit délibérée ou accidentelle.

Ailleurs, les chefs d'entreprise doivent veiller à ce que leurs applications et leurs systèmes d'exploitation soient également mis à jour, mais la cybersécurité comporte plusieurs facettes et peut également revêtir une présence physique. Qui a accès aux salles où sont stockés les disques durs, par exemple?

"Ne laissez pas les étrangers errer dans les couloirs et limiter l'accès physique avec des portes verrouillées et des systèmes d'accès gérés", a déclaré Davis. "Assurez-vous de bien vérifier vos antécédents et vos références avant d'embaucher de nouveaux employés."

Apportez votre propre appareil ... ou apportez votre propre violation de données?

Le Guide de réponse aux violations de données d’Experian 2014/2015 et le Ponemon Institute plaident en faveur de l’élaboration d’une politique de réponse rigide aux violations. Des politiques efficaces à tous les niveaux aideront toutes les entreprises à mieux gérer leurs violations de données, en particulier dans le cas d’entreprises utilisant des pratiques BYOD, qui créent de plus en plus de possibilités de violation.

Le BYOD au bureau devient inévitable, déclare le conseiller en sécurité de F-Secure, Sean Sullivan.

"Du point de vue de l'utilisateur, le BYOD est une excellente idée, mais du point de vue de la sécurité, c'est une idée terrible", a-t-il déclaré. "Vous jouez à la loterie de la malchance; les chances sont faibles, mais le premier prix est une perte d'argent substantielle."

L’appareil appartient à l’individu, ce qui soulève des problèmes de responsabilité. C’est pourquoi l’élaboration d’une politique irréprochable est essentielle et doit compléter la formation de vos employés aux protocoles de sécurité.

"Nous recommandons aux entreprises de donner à leurs employés une formation supplémentaire sur les périphériques physiques eux-mêmes", ajoute Sullivan. "En offrant aux employés une expérience utilisateur exceptionnelle, les directives de la société en matière de sécurité risquent moins d'être ignorées."

Les PME peuvent être laissées pour compte

Les petites entreprises sont encouragées à adopter une approche proactive en matière de sécurité et à adopter les mentalités des grandes entreprises, car personne d'autre ne vous surveillera.

"En réalité, le secteur de la sécurité a laissé tomber les petites et moyennes entreprises", a déclaré Paul Lipman, PDG d'iSheriff, une entreprise de sécurité dans le cloud basée à Redwood City, en Californie. Les PME peuvent se perdre dans la conversation et ne pas recevoir la même attention en matière de sécurité, les laissant souvent se débrouiller seules.

Les PME n'ont peut-être pas autant à offrir un cybercriminel qu'un Home Depot ou une cible, mais les entreprises ont encore beaucoup à perdre.

"Ne sont pas intéressés par le vol de secrets ou de propriétés intellectuelles telles que les pirates informatiques qui ciblent les grandes entreprises", explique Lipman. Toutefois, s’il ya une entreprise, il ya de l’argent et les cybercriminels ciblent tout ce qu’ils savent qu’ils peuvent pénétrer.

Certaines entreprises sont de plus en plus férues de technologie, mais le point crucial est que les PME ne peuvent pas prendre leur temps avec cela. La technologie - et les cybermenaces - évoluent à un rythme effarant.

Le rapport sur les propriétaires de petites entreprises de Bank of America indique que 80% des petites entreprises ont incorporé "un certain type de méthode numérique" dans leur entreprise, mais cela peut inclure les médias sociaux ainsi que la sécurité. Quelle attention accorde-t-on à renforcer la sécurité tout comme à élargir la portée des médias sociaux?

La société de sécurité BitSight a publié une nouvelle étude en novembre 2014 qui corrobore de nombreuses inquiétudes concernant la sécurité des entreprises, en particulier la vente au détail, et note que l’intégrité de la sécurité a diminué dans ces entreprises.

"Il est encourageant de constater que la majorité des détaillants violés ont amélioré l'efficacité de leur sécurité, mais il reste encore beaucoup à faire, en particulier dans le domaine de la gestion des risques des vendeurs", a déclaré Stephen Boyer, CTO de BitSight, lors de l'annonce de la recherche.

Cela soulève plusieurs questions. Si vous êtes un propriétaire de petite entreprise, avez-vous vérifié les pratiques de sécurité de votre entreprise et évalué la sécurité dans votre hiérarchie? À mesure que les cybermenaces évoluent, les petites entreprises devront faire de même.