Tout comme les données, le périmètre de cybersécurité ne doit plus être confiné aux limites physiques de l'organisation. Les données sont partout, tout comme vos contrôles de cybersécurité. Spams, malwares, Pishing, escroqueries par hameçonnage et l'ingénierie sociale... les pirates vont épuiser toutes les techniques pour exfiltrer les données sensibles et les utiliser contre vous. Et un seul appareil d'extrémité non protégé ou un logiciel non corrigé suffit. Avec règles de confidentialité des données et le RGPD, les conséquences monétaires et de réputation des violations de données sont devenues monumentales. Il est dans le meilleur intérêt des entreprises et des petites et moyennes entreprises de mettre en œuvre les meilleures pratiques de cybersécurité pour la protection des données.
Adopter un cadre de cybersécurité
Vous pouvez améliorer la capacité de votre organisation à gérer les cybermenaces en adoptant un certains nombres de règles. Un cadre de cybersécurité (CSF) est un ensemble de normes, de directives et de bonnes pratiques pour créer une politique de cybersécurité efficace et améliorer la posture globale de cybersécurité d'une organisation. Il fournit une stratégie de base et structurée pour votre équipe de cybersécurité. Les cadres de cybersécurité évoluent continuellement pour faire face aux dernières menaces et mettre en œuvre des programmes d'intervention adéquats. Selon le secteur dans lequel vous opérez, vous devrez peut-être de toute façon mettre en œuvre l'un des cadres de cybersécurité. Les cadres de cybersécurité permettent de garantir plus facilement la conformité aux lois et aux normes spécifiques
.
Fournir une sensibilisation à la cybersécurité
Votre stratégie de cybersécurité ne peut vous protéger autant que si vos employés ne sont pas pleinement conscients des cybermenaces qui les entourent et de leurs conséquences. Presque 40% des incidents de sécurité impliquent des utilisateurs naïfs ou négligents. Le seul moyen de lutter contre cette menace interne est de sensibiliser vos employés à l'importance de respecter des politiques de sécurité telles que l'utilisation de mots de passe forts et d'éviter le Wi-Fi public lors de l'accès aux actifs et aux données internes.
Organisez régulièrement des programmes de formation et des ateliers sur le dernier paysage des menaces et sur la façon d'identifier et d'éviter les risques de sécurité potentiels comme les escroqueries par hameçonnage. En fin de compte, il est beaucoup plus facile d'éduquer vos employés que de laisser un seul employé négligent mettre vos données sensibles en danger.
Corrigez les défaillances et restez à jour
Des attaques mondiales comme WannaCry et Not Petya auraient pu être évitées simplement en corrigeant l'exploit Eternalblue qui avait été identifié bien avant le lancement de ces attaques. Travailler avec des systèmes et des outils informatiques obsolètes est une autre cause majeure de violations de données. Bien sûr, un pare-feu est votre première ligne de défense contre les cybercriminels, mais vous devez le mettre à jour dès qu'une mise à jour ou un correctif est publié. Il en va de même pour toutes les applications logicielles - y compris le système d'exploitation et le navigateur - et d'autres systèmes de sécurité des terminaux, tels que les programmes antivirus et anti-malware.
Parfois, il peut être difficile de garder une trace de tous les composants logiciels dans les nombreuses applications en cours d'utilisation. Le moyen le plus pratique de s'assurer qu'aucune mise à jour logicielle ou correctif de sécurité n'est manquée est d'utiliser un logiciel de gestion des correctifs qui assure le suivi de l'ensemble de l'inventaire informatique et automatise le déploiement et l'installation des correctifs logiciels de différents fournisseurs.
Mots de la fin
La cybercriminalité est omniprésente en 2021 et avec le confinement et le travail à distance les serveurs sont de plus en plus sollicités par les cybermenaces. Dans 80% des cas la cyberattaque réussit à cause d'une défaillance humaine. Sensibilisez vos équipes, à la cybersécurité via notre formation d'une journée ou consultez le site web de l'ANSSI, ou télécharger le guide de la DGCCRF sur les arnaques en lignes pour vous familiariser avec les pratiques douteuses