11 Conseils de cybersécurité pour les petites entreprises
Bien que ce soient les violations de données à grande échelle qui font les manchettes, les petites entreprises sont également vulnérables aux attaques. Les cybercriminels qui ciblent ces petites entreprises sont après les numéros de carte de crédit, numéros de sécurité sociale, et toute autre information personnellement identifiable qui pourrait être vendu sur le Dark Web à des fins lucratives. Pour compliquer les choses, les petites entreprises disposent de moins de ressources pour s’engager dans la sécurité des données et des réseaux que les organisations d’entreprise, mais avec certains niveaux de base de cyber-hygiène et de sécurité en place, les petites entreprises peuvent réduire considérablement leur risque d’attaque.
Comme toujours, il est important de lire sur les tendances de la cybersécurité, mais ne pas sauter les bases. Ici, nous avons dressé une liste des 11 meilleures choses qu’une petite entreprise peut faire aujourd’hui pour réduire leur cyberfifion.
Au fil du temps, "Password" est devenu un terme erroné. Cela devrait vraiment être considéré comme un "passphrase". Plutôt qu’un mot singulier, construisez votre mot de passe comme une courte phrase ou une phrase, comme "OneSpanprotectstheworldfr0mdigitalfraud!" est un mot de passe beaucoup plus fort tout en restant facile à mémoriser.
En outre, rappelez à vos employés qu’il devrait s’agir d’un mot de passe unique qui n’est pas utilisé sur d’autres sites. L’une des plus grandes vulnérabilités dans les mots de passe sont la tendance des gens à réutiliser leurs mots de passe sur tous les comptes qu’ils ont. Cela signifie que si même une entreprise dans laquelle l’utilisateur a un compte est violée, les ressources de l’entreprise sont maintenant vulnérables.
Au fil du temps, "Password" est devenu un terme erroné. Cela devrait vraiment être considéré comme un "passphrase". Plutôt qu’un mot singulier, construisez votre mot de passe comme une courte phrase ou une phrase, comme "OneSpanprotectstheworldfr0mdigitalfraud!" est un mot de passe beaucoup plus fort tout en restant facile à mémoriser.
- Appliquer le chiffrement de l’appareil
Lors de l’accès aux ressources réseau à distance, en plus d’utiliser la sécurité des applications mobiles,il est très important d’utiliser un réseau privé virtuel (VPN) tout en le faisant. Un VPN crypte les données en transit du réseau vers l’appareil, ce qui signifie que si un cybercriminel interceptait les données alors qu’elle est en route vers l’appareil, elle n’aura acquis que des données chiffrées. Il sera illisible à moins qu’ils aient la clé de cryptage ainsi. En outre, vous devez assurer des canaux de communication sécurisés entre le côté client et le serveur. -
Soyez prudent avec les informations sur le paiement et les transactions
En tant que personne ou en tant qu’entreprise, il est important d’assurer la sécurité de vos systèmes de paiement avant de soumettre des informations de carte de crédit. Travaillez avec vos banques ou vos processeurs pour vous assurer que des solutions antifraude sophistiquées sont utilisées.
-
Garder les machines propres
Par propre, nous voulons mettre à jour vos navigateurs Web, systèmes d’exploitation et logiciels de sécurité. Réglez votre programme antivirus pour numériser le système après chaque mise à jour, et assurez-vous que le système reste aussi actuel que possible.
Les mises à jour périodiques publiées par ces développeurs comprennent des correctifs de code pour s’assurer des vulnérabilités connues dans le système. Ces vulnérabilités ne sont parfois pas découvertes jusqu’à ce qu’elles soient exploitées, il est donc important que vos appareils soient mis à jour pour fermer ces vulnérabilités rapidement.
-
Avoir un plan d’action pour appareils mobiles
Les appareils mobiles ont mis les équipes de sécurité informatique dans une position difficile. Les appareils mobiles sont essentiels dans le monde des affaires d’aujourd’hui, mais ils peuvent poser un risque de sécurité important. Ils peuvent être volés, piratés, l’utilisateur pourrait télécharger des applications compromises, et ainsi de suite. Pour atténuer ces risques, établir un plan d’action pour les appareils mobiles. Ces plans comprennent l’élaboration d’une liste des solutions de sécurité requises et des politiques appliquées à l’appareil avant que l’employé puisse l’utiliser.
Ensuite, élaborer une procédure de déclaration, afin que les utilisateurs puissent signaler tout équipement perdu ou volé. Cela aidera votre équipe de sécurité informatique à répondre aux risques à leur arrivée.
En outre, envisagez d’adopter ces politiques :
-
N’autorisez pas les dispositifs jailbreaké ou enracinés
-
Assurer le cryptage de l’appareil
-
Ne permettent que les applications à télécharger à partir des marchés officiels des applications
-
Demandez aux utilisateurs de signer une politique d’utilisation acceptable qui détaillera la façon dont les employés sont autorisés à utiliser un appareil d’entreprise.
-
-
Limiter l’accès aux systèmes de données
Appliquer les autorisations à différents utilisateurs en fonction de leurs besoins. Par exemple, le directeur financier aura besoin d’avoir accès à toutes les informations financières sur le réseau d’entreprise pour remplir leur rôle au sein de l’entreprise, mais pas la réceptionniste. En veillant à ce que seuls certains utilisateurs aient accès à certaines ressources limite les dommages potentiels si un cyber-attaquant détourne l’un des comptes de l’utilisateur. Si cet utilisateur ne peut pas accéder à des informations sensibles, l’attaquant non plus.
-
Maintenir un logiciel antivirus solide
Le logiciel antivirus, à côté d’un pare-feu, est un élément fondamental d’une stratégie de cybersécuté. Le logiciel antivirus analyse la base de données interne à la recherche de fichiers potentiellement hostiles dans le système. Sans un tel système, il serait très difficile de repérer une violation après qu’elle se soit produite.
-
Protéger et sauvegarder les données sensibles
L’une des formes les plus importantes de cyber-attaques est appelée une attaque ransomware. Après qu’un attaquant a infiltré le réseau d’entreprise, ils installent du code qui crypte toute la base de données. Ensuite, ils extorquent à l’entreprise de leur verser une somme d’argent en échange de la clé pour déchiffrer leurs données. En règle générale, ces offres ont un délai. Après leur expiration, ils effacent toute la base de données. Pire encore, parfois l’attaque refusera de fournir la clé de décryptage après le paiement est reçu.
La meilleure défense contre ces types d’attaques est une stratégie de sauvegarde forte et fiable. Qu’il s’agisse d’utiliser du ruban adhésif, d’un disque ou un stockage de sauvegarde en nuage, il est essentiel d’avoir une sauvegarde de vos systèmes.
Enfin, assurez-vous qu’il existe différents informations d’identification pour accéder à votre environnement de sauvegarde. Cela empêchera une cyberattaque d’infiltrer la sauvegarde ainsi.
-
Fournir l’authentification multifactorite
L’authentification multifactorite exige qu’un utilisateur effectue deux ou plusieurs de factos d’authentification afin d’accéder aux ressources de l’entreprise. Ces facteurs d’authentification peuvent prendre la forme de quelque chose que vous connaissez (comme un mot de passe), quelque chose que vous avez (comme un mot de passe unique ou un appareil de confiance), et quelque chose que vous êtes (comme une empreinte digitale ou un balayage du visage).
En tirant parti de l’authentification multifactorite, vous pouvez améliorer considérablement la sécurité de votre organisation. Il est possible de reproduire une seule forme d’authentification, mais en demandant des formes multiples et variées, la probabilité de fraude est considérablement réduite.
-
Définir des mots de passe forts
Relativement parlant, les mots de passe sont la forme d’authentification la moins sécurisée. Si les mots de passe sont votre seule méthode de sécurité, nous vous encourageons fortement à envisager l’authentification à deux facteurs, des solutions d’authentification multifactores ou à utiliser des authentificateurs matériels. Cela étant dit, un mot de passe bien construit va encore être beaucoup plus efficace qu’un mot faible. Suivez ces directives lors de la construction d’un mot de passe :
-
10 caractères et plus
-
Lettre Uppcercase
-
1 lettre Lowercase
-
Numéro 1
-
1 caractère spécial (!, ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' '
Au fil du temps, "Password" est devenu un terme erroné. Cela devrait vraiment être considéré comme un "passphrase". Plutôt qu’un mot singulier, construisez votre mot de passe comme une courte phrase ou une phrase, comme "OneSpanprotectstheworldfr0mdigitalfraud!" est un mot de passe beaucoup plus fort tout en restant facile à mémoriser.
En outre, rappelez à vos employés qu’il devrait s’agir d’un mot de passe unique qui n’est pas utilisé sur d’autres sites. L’une des plus grandes vulnérabilités dans les mots de passe sont la tendance des gens à réutiliser leurs mots de passe sur tous les comptes qu’ils ont. Cela signifie que si même une entreprise dans laquelle l’utilisateur a un compte est violée, les ressources de l’entreprise sont maintenant vulnérables.
-
-
Former les employés à la cybersécurité
Le maillon faible d’un système de sécurité est celui de l’homme. Les cybercriminels ont mis au point des systèmes sophistiqués d’hameçonnage et d’ingénierie sociale pour inciter les utilisateurs à renoncer à des informations sensibles sur les comptes menant à une violation. Il est important de s’entraîner et de rappeler habituellement aux employés d’être à l’affût de signes révélateurs de tentatives d’hameçonnage. Voici d’autres sujets de formation en matière de sécurité :
-
Fabrication de mots de passe forts
-
Repérer les e-mails d’hameçonnage
-
Pratiques de navigation sécuritaires
-
Protéger les informations sensibles de l’entreprise
-
Refuser les téléchargements suspects
Mais les rappels et la formation régulière ne suffisent toujours pas. En outre, vous devez implémenter des tests aléatoires et inopinés. Envoyez de faux courriels d’hameçonnage à vos employés à la suite d’éléments traditionnels d’un courriel d’hameçonnage. Ensuite, identifiez ceux qui ont cliqué sur votre faux e-mail et offrez des cours de formation. Cela vous aidera à diffuser l’information sur la formation aux employés qui en ont le plus besoin.
-
-
Utiliser les pare-feu réseau
Un pare-feu est un groupe de programmes de sécurité qui empêchent les utilisateurs externes d’accéder aux données de l’entreprise lorsqu’ils sont sur le réseau d’entreprise. Il s’agit d’une composante fondamentale de la sécurité Internet et d’un must-have pour tout environnement informatique. Cependant, le pare-feu n’est pas un système de sécurité jusqu’à lui-même. Vous devez compléter le pare-feu avec les autres pratiques de sécurité énumérées ici.
En savoir plus sur la cybersécurité
Il y a toujours quelque chose de nouveau à lire dans l’industrie de la cybersécurité. La course aux armements entre les professionnels de la sécurité et les cybercriminels ne cesse de s’intensifier. Abonnez-vous au blog OneSpan pour vous tenir au courant des mises à jour de l’industrie et des nouvelles tendances.