Meilleures pratiques pour renforcer la défense et la résilience contre les cyberattaques
SMBs need a cybersecurity strategy to protect their own business, their customers, and their data from growing cybersecurity threats.
Les petites et moyennes entreprises (PME) font face aux mêmes types de menaces pour la sécurité que celles de plus grande taille. Les dommages peuvent également être plus dévastateurs pour une PME en raison de son manque relatif de ressources. En 2021, par exemple, le paiement moyen pour une attaque par rançongiciel s’élevait à 200 000 $, une fraction minuscule des revenus pour une grande société, mais une somme potentiellement dévastatrice pour une petite entreprise1. Les dommages causés par une cyberattaque vont souvent au-delà des problèmes de sécurité et de disponibilité des systèmes; la réputation de l’entreprise en souffre également. De plus, même si elles ne disposent pas des mêmes ressources que les grandes entreprises, de nombreuses PME sont tenues de se conformer à plusieurs réglementations relatives à la confidentialité des données, dont le non-respect entraîne de lourdes amendes.
Toutefois, cela ne signifie pas que tout espoir est perdu. Voici 12 conseils qui peuvent vous aider à protéger votre entreprise :
1. Rester à jour : Les meilleurs moyens de défense contre les menaces en ligne consistent à disposer des logiciels de sécurité, du navigateur web et du système d’exploitation les plus récents. Assurez-vous d’utiliser un logiciel antivirus et de lancer une analyse après chaque mise à jour de logiciel. De plus, installez les mises à jour aussitôt qu’elles sont à votre disposition.
2. Mettre en place un pare-feu : Un pare-feu est un programme qui empêche les personnes extérieures d’accéder aux données de votre réseau privé. La plupart des ordinateurs sont équipés de pare-feu. Assurez-vous qu’il est activé et, s’il ne l’est pas, téléchargez le logiciel depuis une source fiable. Faites-le pour l'ensemble des membres de votre équipe, même pour les personnes qui travaillent à domicile.
3. Offrir une formation en matière de sécurité : Établir des pratiques et des politiques de sécurité de base pour les membres du personnel, comme exiger des mots de passe forts, prescrire un comportement sur la façon de traiter les données et de protéger les renseignements sur la clientèle, et créer des directives appropriées sur l’utilisation d’Internet. Créez et partagez les politiques avec le détail des sanctions en cas de violation des politiques de cybersécurité de l’entreprise.
4. Créer un plan d’action pour les appareils mobiles : Les appareils mobiles peuvent représenter des défis importants en matière de sécurité et de gestion. Demandez aux membres du personnel qui utilisent des appareils mobiles de les protéger au moyen d’un mot de passe, de chiffrer leurs données et d’installer des applications de sécurité. Définissez également des procédures de signalement des appareils perdus ou volés.
5. Faire des copies de sauvegarde : Sauvegardez régulièrement les données critiques et sensibles de tous les ordinateurs de l’entreprise. Si possible, sauvegardez les données automatiquement, ou au moins une fois par semaine, et conservez les copies hors site ou dans le nuage.
6. Contrôler l’accès : Empêchez l’accès ou l’utilisation des ordinateurs de l’entreprise par des personnes non autorisées en surveillant l’utilisation de vos réseaux. Créez des comptes d’utilisateur distincts pour chaque personne et exigez des mots de passe forts. Les privilèges administratifs ne doivent pas être accordés à tout le monde, mais uniquement au personnel de confiance des TI et aux personnes clés.
7. Limiter l’accès et l’autorité des membres de l'équipe : Ne donnez pas à une seule personne l’accès à tous les systèmes de données. Les membres du personnel doivent avoir accès uniquement aux systèmes de données particuliers dont ils ou elles ont besoin. De plus, personne ne devrait être en mesure d’installer un logiciel sans autorisation.
8. Utiliser des mots de passe et mettre en place des mesures d’authentification : Demandez aux membres du personnel d’utiliser un mot de passe unique pour accéder aux systèmes, et de le modifier tous les trois mois. Envisagez également de mettre en place une authentification multifacteur pour sécuriser davantage l’accès.
9. Sécuriser les réseaux WiFi : Assurez-vous que votre réseau WiFi est sécurisé, chiffré et caché. Cachez votre réseau WiFi et protégez le routeur au moyen d’un mot de passe. Pour ce faire, il suffit d’entrer dans les paramètres de votre routeur, et de le configurer de manière à inclure un mot de passe et à ne pas diffuser le nom du réseau. En outre, envisagez de fournir à vos équipes qui travaillent à domicile un routeur chiffré et préconfiguré afin que leurs réseaux résidentiels soient tout aussi sécurisés.
10. Adopter les meilleures pratiques en matière de cartes de paiement : Travaillez avec vos partenaires de paiement pour vous assurer que vous adoptez les meilleures pratiques de traitement des paiements et que vous avez accès aux dispositifs les plus sécuritaires. Isolez les systèmes de paiement des autres programmes moins sécuritaires, et n’utilisez pas le même ordinateur pour traiter les paiements et naviguer sur Internet.
11. Évaluer la sécurité des partenaires externes : Assurez-vous que vos partenaires externes travaillent de manière sûre et disposent de protocoles de sécurité à jour. N’hésitez pas à vous renseigner sur les mesures prises par vos partenaires pour garantir une sécurité et une sauvegarde des données solides.
12. Faire appel à des experts externes : Si vous ne disposez pas du budget nécessaire pour embaucher du personnel et gérer un programme de cybersécurité à l’interne, il est judicieux d’envisager de faire appel à des experts externes. Cela peut s’avérer moins coûteux que de le faire à l’interne.
Si vous pensez que ce processus est trop laborieux, vous pouvez également consulter un cadre en 5 étapes sur la manière d’élaborer une stratégie de cybersécurité efficace. Quoi qu’il en soit, une fois que vous aurez commencé à essayer de mettre en œuvre les mesures qui précèdent, vous vous rendrez compte que la plupart sont assez simples.
Chez Rogers Affaires, nous proposons une variété de solutions adaptées aux PME comme la vôtre. Nous avons établi un partenariat avec l’Université métropolitaine de Toronto pour lancer Simply Secure, une ressource de cybersécurité pour les PME. Vous pouvez également communiquer avec nous, et nous vous aiderons à déterminer les solutions adaptées à votre entreprise.
Communiquez avec nous dès aujourd’hui pour en savoir plus et découvrir comment nous pouvons vous aider.
Sources (en anglais, à l’exception de la première) :
1. Gouvernement du Canada : https://cyber.gc.ca/fr/orientation/bulletin-sur-les-cybermenaces-la-menace-des-rancongiciels-en-2021
2. Cisco, The 2021 Security Outcomes Study – Small and Midsize Business Edition, 2021
3. Cisco, IDG, The Cybersecurity Playbook for Midsize Companies, 2021
4. Cisco, SMB Cybersecurity Report, 2021
5. Cisco, Five tips to enable a remote workforce securely, 2020
6. Cisco : https://blogs.cisco.com/security/big-security-in-a-small-business-world-10-myth-busters-for-smb-cybersecurity, 2020