Dans un monde où les informations se répandent rapidement et où la réputation en ligne est primordiale, les cyberattaques et les violations de données constituent une menace massive pour les organisations du monde entier. Les violations de données sont parmi les trois principales menaces à la stabilité mondiale et le coût moyen d’une violation de données est de 3,86 millions de dollars. Mis à part les coûts financiers, la réputation en pâtit et certains ne se rétablissent jamais vraiment. Lorsque les coûts globaux d’une sécurité insuffisante sont présentés, il est clair qu’une stratégie de cybersécurité solide est cruciale pour chaque organisation et un budget de cybersécurité sain vaut l’investissement.

Donc, si vous êtes prêt à améliorer votre sécurité, l’un des points de départ les plus importants est avec vos employés et leur connaissance et utilisation des meilleures pratiques de cybersécurité. Les conseils ci-dessous sur la cybersécurité couvrent la sensibilisation, la sécurité de base, la sécurité en ligne, les médias sociaux, la sécurité des données, les conseils pour les travailleurs à distance, les petites entreprises et les considérations que les PDG et les CISO doivent garder à l’esprit.

cybersecurite

 

La sensibilisation est la clé: comment faire en sorte que les employés prennent soin

 

La première étape pour une meilleure sécurité dans votre organisation est de sensibiliser les employés. Ils sont votre plus grand atout en matière de sécurité et votre plus grande responsabilité. Faire en sorte que les employés considèrent la cybersécurité comme une priorité absolue est plus facile à dire qu’à faire lorsqu’ils doivent faire leurs propres listes et délais. Utilisez les conseils ci-dessous pour donner votre meilleur coup – ceux-ci aideront à former, informer et faire en sorte que vos employés se soucient davantage du rôle qu’ils jouent dans la cybersécurité de votre organisation.

  1. Montrez-leur ce qu’il y a pour eux. Une grande partie de ce que les employés apprennent pendant la formation à la sécurité au travail peut être appliquée à la sécurité de leur compte personnel. Montrez-leur la valeur des informations en ce qui concerne leur sûreté et leur sécurité, et pas seulement les intérêts de l’entreprise.
  2. Expliquez clairement que personne n’est à l’abri d’une attaque. Il ne s’agit pas de savoir si mais quand cela se produit, alors à quelle vitesse et avec quelle efficacité les membres de l’équipe peuvent-ils réagir pour bloquer l’attaque ou minimiser les dégâts?
  3. Commencez une formation de sensibilisation lors de l’intégration. Il n’est jamais trop tôt pour apprendre de bonnes habitudes. Il est très logique d’intégrer la cybersécurité dans le processus d’intégration, car les nouveaux employés ont probablement accès aux comptes, créent leurs mots de passe et apprennent les processus de l’entreprise.
  4. Créez un plan de formation officiel sur la cybersécurité. Pour suivre le conseil ci-dessus, il devrait y avoir un plan de formation organisé pour les employés qui est mis à jour si nécessaire et accessible.
  5. Parlez de l’éthique des données. «Lorsque les employés pensent aux données de manière éthique, comme penser à l’humain, à la personne ou à la famille que les données représentent, les violations de données sont moins probables et leur impact pourrait être réduit.»

 

  1. Renseignez-vous sur les politiques de confidentialité des données. Enseignez aux employés que, simplement parce que certaines données sont disponibles, l’utilisation de ces données peut être restreinte. Par exemple, la plupart des entreprises tiennent des listes de contacts qui ont choisi de ne plus recevoir d’e-mails de vente supplémentaires. Les personnes qui leur envoient un courrier électronique violent cette politique.
  2. Faites appel à des professionnels de la sensibilisation à la cybersécurité et de la formation d’experts. Ces professionnels formés peuvent engager les employés et exposer les bases et les détails qu’ils doivent connaître pour leur travail.
  3. Réalisez des simulations «d’urgence» de cybersécurité mises en place par votre équipe de sécurité interne ou une source extérieure. Ces simulations doivent être adaptées à des rôles professionnels spécifiques et se concentrer sur les attaques que les employés pourraient recevoir afin qu’ils puissent apprendre des points à retenir spécifiques et des domaines à améliorer.
  4. Envoyez des mises à jour régulières sur le protocole, les menaces, les nouveaux arnaques et virus, les mises à jour logicielles et d’autres informations importantes sur la cybersécurité.
  5. Communiquez de façon claire et concise. «Essayez d’éviter les longs courriels et notes de service que de nombreux employés parcourent les deux premières phrases avant de les supprimer. Au lieu de cela, essayez de créer des vidéos, ou peut-être accrocher des infographies dans les zones principales du bureau, comme la salle de pause ou près de la fontaine d’eau… Même si vos employés ne sont pas si intéressés par la sécurité, lisant à plusieurs reprises des phrases et des actions sous forme visuelle les aidera à se souvenir desdits messages lorsqu’un événement hors du commun se produit. »
A lire Aussi  Stratégie de cybersécurité pour protègent les opérations commerciales aujourd'hui et demain

 

  1. Organisez régulièrement une formation en sécurité. «À mesure que de nouvelles menaces et de nouveaux schémas de menaces émergent, une formation régulière en matière de sécurité doit être mise en œuvre à l’échelle de l’entreprise, afin de s’assurer que les types de failles de sécurité qui permettent aux activités malveillantes de pénétrer dans l’entreprise ne sont pas exposés.

 

  1. Reconnaissez et récompensez les employés qui signalent des e-mails malveillants ou d’autres attaques. Avec tant d’autres choses en tête, cela contribuera à maintenir la sécurité au premier plan.
  2. Créez une culture favorable à la cybersécurité en nommant des défenseurs et en gardant les employés motivés dans l’ensemble pour maintenir l’intégrité de vos meilleures pratiques de cybersécurité.
  3. Donnez le ton en haut. «Les propriétaires d’entreprise sont responsables de définir la culture d’entreprise. Les propriétaires qui prennent la cybersécurité au sérieux inciteront leurs employés à faire de même. Intégrez la cybersécurité à la conversation sur le lieu de travail. »

– Peter Purcell, expert en cybersécurité et co-fondateur de EVAN

Conseils de cybersécurité pour le lieu de travail

Nous avons rassemblé les conseils de sécurité en cybersécurité les plus efficaces et les plus importants à garder à l’esprit pour la prévention et l’atténuation des risques. Sont inclus quelques conseils de sécurité de base, ainsi que des conseils de sécurité en ligne, y compris les meilleures pratiques de navigation, de sécurité des e-mails et d’autres activités en ligne. Nous incluons également des conseils sur la sécurité des médias sociaux qui se concentrent spécifiquement sur les pratiques des médias sociaux et les meilleures façons de protéger ces comptes, ainsi que des considérations spéciales pour les travailleurs à distance, les PDG, les CISO et les petites entreprises.

Conseils de base sur la cybersécurité

 

  1. Verrouillez virtuellement et physiquement les appareils, les actifs et le stockage des données. Assurez-vous de verrouiller votre appareil chaque fois que vous le laissez sans surveillance et assurez-vous également que les appareils se verrouillent automatiquement lorsqu’ils sont inactifs et que les services sont configurés pour expirer de manière agressive lorsqu’ils ne sont pas utilisés. Cela s’applique également aux pièces ou aux emplacements de stockage contenant des informations ou des appareils sensibles.
  2. Utilisez un gestionnaire de mots de passe. Les gestionnaires de mots de passe génèrent des mots de passe complexes uniques pour chaque site et service. N’utilisez pas le même mot de passe pour plusieurs sites et utilisez toujours un mélange unique de lettres majuscules et minuscules, de chiffres et d’autres caractères. «Bien sûr, il y a généralement une recommandation minimale de huit caractères – mais si vous suivez cette règle, vous facilitez la tâche des pirates informatiques pour déchiffrer ce mot de passe. En règle générale, utilisez toujours le double du nombre minimum de caractères ou même plus. »

– Joe Flanagan, développeur d’applications de sécurité chez GetSongbpm

  1. Utilisez l’authentification multifacteur pour des couches de sécurité supplémentaires et pour vous assurer que les comptes importants ne sont pas facilement piratés si les mots de passe sont piratés. Utilisez de préférence les options MFA non basées sur SMS.
  2. Cryptez vos données, cela ajoute une couche de sécurité supplémentaire en cas de compromission de vos données.
  3. Sauvegardez souvent les données. Si le stockage des données est compromis, vous aurez les meilleures chances de conserver ces données si vous disposez d’une sauvegarde sécurisée.
  4. Surveillez votre réseau pour détecter toute activité suspecte, afin de pouvoir détecter une attaque suffisamment tôt pour réduire les dégâts.
  5. Méfiez-vous des périphériques externes, tels que les disques durs, les lecteurs flash et les smartphones, car ils peuvent infecter votre ordinateur lorsqu’ils sont branchés.
  6. Ne partagez jamais d’informations sensibles avec une partie non autorisée. Cela peut sembler évident, mais trop souvent, les employés ressentent une sorte de pression sociale lorsque quelqu’un leur demande des informations (cela s’applique également aux personnes au sein de votre organisation). En cas de doute, dites non et consultez un responsable pour obtenir l’autorisation.
  7. Ne sous-estimez pas l’intérêt des pirates pour votre entreprise, car elle est plus petite ou commence tout juste – les violations et les attaques affectent les organisations de toutes tailles, y compris les start-ups et les petites entreprises. De nombreux outils de sécurité offensants recherchent sans discernement sur Internet les vulnérabilités des services, des accès à distance et des applications Web.
A lire Aussi  Comment détecter les caméras cachées dans votre téléphone 2020

Conseils de cybersécurité pour la sécurité en ligne

 

  1. Utilisez des VPN (Virtual Private Networks). Ils étendent la protection de votre réseau au-delà de votre réseau privé lorsque vous êtes sur d’autres sites. Si quelqu’un est en mesure d’intercepter vos données en ligne, il ne lui restera que des données cryptées.
  2. Vérifiez toujours les transactions financières avec un gestionnaire ou un directeur financier avant de prendre des mesures ou d’envoyer des fonds.
  3. Vérifiez les transactions d’information avec un gestionnaire ou un CISO. N’envoyez jamais de données sensibles ni de mots de passe.
  4. Soyez prudent lorsque vous effectuez des achats ou effectuez des opérations bancaires en ligne pour l’entreprise, n’utilisez que des appareils sécurisés approuvés par l’entreprise qui vous appartiennent et sécurisez le WiFi / les réseaux lors de l’exécution de ces tâches.
  5. Faites attention à ce que vous partagez sur les réseaux sociaux. Que vous soyez sur un compte personnel ou professionnel, les criminels peuvent obtenir des informations à partir des données sensibles que vous partagez qui peuvent les aider à vous cibler.
  6. Sensibilisation à l’escroquerie par phishing. Assurez-vous que les employés sont informés des signes d’une arnaque par hameçonnage:
  7. Ralentissez et évaluez soigneusement les e-mails avant de cliquer ou de prendre des mesures.
  8. Activez les options du serveur de messagerie pour étiqueter explicitement les e-mails provenant de l’extérieur de l’entreprise.
  9. Ne cliquez jamais sur les liens d’un expéditeur inconnu avant d’avoir soigneusement vérifié l’URL. Ils peuvent se faire passer pour quelqu’un de votre entreprise ou une entreprise réputée, utiliser une URL similaire à un site bien connu, utiliser des logos et des comptes de messagerie déguisés – faites très attention aux détails.
  10. Gardez un œil sur les demandes étranges, les fautes d’orthographe et de grammaire, le contenu flashbait appétissant et d’autres choses qui peuvent sembler «éteintes».

Conseils de cybersécurité pour votre main-d’œuvre distante

 

  1. La formation spécialisée des travailleurs à distance est très importante à mesure que la popularité du travail à distance augmente. Cela inclut également les employés sur place qui travaillent occasionnellement à domicile ou en voyage.
  2. Si vous avez une politique BYOD (apportez votre propre appareil), utilisez MDM (gestion des appareils mobiles). Cela vous permettra de nettoyer à distance un appareil en cas de vol ou de perte d’un appareil.
  3. Ne fonctionne que sur des réseaux et appareils sécurisés de confiance. Le Wi-Fi gratuit ou les ordinateurs publics peuvent être séduisants, mais ce sont des billets faciles pour un pirate pour accéder à vos comptes et informations.
  4. Fournissez des hotspots WiFi cellulaires ou des plans de connexion. Fournissez aux travailleurs à distance des points d’accès WiFi portables qui peuvent être utilisés au lieu d’autoriser les connexions via les réseaux WiFi publics. Ces points d’accès peuvent aider à réguler l’accès et doivent également être protégés par mot de passe et connexion.

Propriétaires de PME, PDG et CISO

 

  1. Hiérarchisez correctement les risques de sécurité. «De nombreuses organisations ne réussissent pas à prioriser correctement les risques de sécurité de l’information. Une partie de ceci est un produit de la façon dont l’information est présentée et du contexte dans lequel elle est présentée. Les évaluations des risques de sécurité de l’information et les évaluations de maturité sont longues, trop compliquées et difficiles à distiller jusqu’à une feuille de route prioritaire… La solution tourne autour de la communication. Il est essentiel de baser le message en termes de risque pour l’organisation et d’en faire le cœur de votre reporting. »

– Christopher Gerg, CISO et vice-président de la gestion des cyber-risques chez Tetra Defense

  1. Efforcez-vous une communication ouverte entre les membres du conseil d’administration, C-Suite et l’équipe informatique. «Lorsque je suis engagé pour enquêter et signaler, il s’agit généralement d’un problème qui aurait pu être résolu sans conseil externe, mais le manque de communications claires entre les services informatiques et le Conseil a entravé cette compréhension. Dans la plupart des entreprises, il est impératif d’avoir un membre du conseil compétent dans le domaine qui peut comprendre et communiquer les problèmes liés à la sécurité informatique et avoir une voix dans un domaine que la plupart des membres du conseil ne comprennent pas. « 

– Braden Perry, avocat en cybersécurité à Kennyhertz Perry, LLC

  1. Offrez une formation supplémentaire. Donnez aux employés, en particulier à ceux qui sont dans la ligne de tir (cyberattaque), la possibilité de poursuivre leur formation en cybersécurité et d’acquérir de nouvelles compétences préventives et défensives.
  2. Effectuez des évaluations périodiques des performances de vos logiciels ainsi que des connaissances des employés. Cela vous aidera à déterminer où se trouvent vos faiblesses et si l’entreprise a besoin d’un cours de recyclage sur les meilleures pratiques de sécurité.
  3. Définissez des mots de passe et des comptes expirants pour empêcher les comptes périmés ou les utilisateurs fantômes de compromettre votre sécurité. Le rapport sur le risque de données 2019 a montré que 61% des entreprises avaient plus de 500 comptes d’utilisateurs avec des mots de passe qui n’expirent jamais.
  4. Lorsque les employés quittent l’entreprise, assurez-vous de révoquer leur accès, leurs informations d’identification et leurs privilèges. S’ils ne sont pas contrôlés, les employés peuvent apporter des informations à un concurrent ou donner accès à une partie malveillante.
  5. Débarrassez-vous des données périmées. Il représente une menace et un risque indus d’exposition aux données sensibles en cas de violation. Purgez votre base de données des données dont vous n’avez plus besoin. Les faits saillants du rapport sur le risque lié aux données ont également montré que 53% des données des entreprises sont périmées.
  6. Mettez à jour le logiciel en temps opportun pour vous assurer que vos défenses et réseaux sont les meilleurs possible. Assurez-vous que les employés mettent à jour en cas de besoin.
  7. Déléguer la responsabilité. Nommer des experts en sécurité qui relèvent du CISO pour superviser les différents secteurs de l’entreprise.
  8. Implémentez le modèle de confiance zéro. «Zero Trust restreint l’accès à l’ensemble du réseau en isolant les applications et en segmentant l’accès au réseau en fonction des autorisations des utilisateurs, de l’authentification et de la vérification des utilisateurs. Avec Zero Trust, l’application et la protection des politiques sont faciles à mettre en œuvre pour tous les utilisateurs, appareils, applications et données, quel que soit le lieu de connexion des utilisateurs. Cette approche centrée sur l’utilisateur rend la vérification des entités autorisées obligatoire et non facultative. Cet état d’esprit «confiance, mais vérification» est absolument essentiel pour les organisations d’aujourd’hui. »
A lire Aussi  Sécurité en ligne: comprendre les hackers, les hameçonneurs et les cybercriminels 2020

– Sivan Tehila, directeur de l’architecture de solutions chez Perimeter 81 et fondateur de Leading Cyber Ladies etCyber19w

  1. Assurez-vous que les données sont classées correctement, car si ce n’est pas le cas, vous ne pourrez pas contrôler correctement qui est censé y avoir accès – la gouvernance des données est essentielle, en particulier lorsqu’il s’agit de données sensibles, comme dans des domaines comme l’éducation, les soins de santé. , finances et gouvernement.
  2. Propagez et accordez correctement les autorisations et l’accès aux fichiers et dossiers. Accordez l’accès uniquement lorsque cela est absolument nécessaire.
  3. Utilisez RBAC (contrôle d’accès basé sur les rôles). Cela rationalise le processus des autorisations en attribuant des autorisations différentes aux différents départements et secteurs. Par exemple, vous pouvez le configurer pour que le chef des finances et l’équipe qu’ils gèrent aient automatiquement accès aux fichiers et dossiers relatifs à leur travail.
  4. Collaborez et demandez la consultation d’autres experts. «Les organisations doivent adopter des informations ouvertes et partager en public ce que nous faisons pour la cybersécurité. Les méchants passent toute la journée à sonder les bons et à travailler toute la nuit pour améliorer les sondes de demain. Les bons gars doivent niveler le terrain de jeu. Mieux vaut être gêné par nos pairs que victime d’agresseurs. »

– Greg Scott, expert informatique et fondateur de Infrasupport

  1. Restez à la pointe de la sécurité pour vous préparer à tous les différents virus et aux nouvelles méthodes de piratage qui sont constamment déployés. Suivez l’actualité de la cybersécurité ou consultez des experts pour rester en tête.

 

 

Avec une meilleure sensibilisation et formation des employés, vous réduirez considérablement vos menaces internes. Lorsqu’il s’agit de scénarios hors de votre contrôle, Edge résout les menaces externes en définissant une ligne de base personnalisée d’activité normale et surveille les activités anormales. Si une anomalie est détectée, vous recevrez un lien vers un rapport d’enquête détaillé. La combinaison d’une formation appropriée et d’une technologie de sécurité de classe mondiale est un match de cybersécurité fait au paradis – essayez une évaluation des risques gratuite ou une démonstration gratuite pour voir si c’est un match fait pour vous.