Top 5 erreurs de cybersécurité mettant en danger votre startup et comment les résoudre
Simon Hughes, vice-président et directeur général de la branche britannique de Cowbell, un fournisseur d’assurance cybernétique leader pour les PME, passe en revue les erreurs de cybersécurité les plus courantes commises par les startups, révélant comment les résoudre avant que les pirates ne les repèrent. Une des idées fausses les plus courantes parmi les petites et moyennes entreprises (PME) est qu’elles sont moins vulnérables aux cyberattaques que leurs homologues plus grands. C’est une croyance qui découle très probablement de l’idée que les cybercriminels ciblent principalement les organisations de grande envergure pour des gains financiers ou une notoriété accrue. Cependant, ce n’est pas tout à fait vrai. Il est vrai que des entreprises telles que Microsoft, Google et d’autres grandes entreprises technologiques ont été victimes de cyberattaques à de multiples reprises. Les attaques cybernétiques “Opération Aurora” de Google en 2009 et l’attaque par rançongiciel “WannaCry” de Microsoft en 2017 viennent à l’esprit. Cependant, la raison pour laquelle on s’en souvient n’est pas que les effets de ces attaques étaient plus dévastateurs que ceux que les PME ont subis, mais en raison de la couverture médiatique extensive qu’elles ont suscitée. Lorsque les PME sont ciblées, il est peu probable que cela fasse les gros titres, mais cela ne rend pas les effets moins dévastateurs. En fait, c’est souvent tout le contraire ; les mêmes événements qui affectent une entreprise PME – pertes financières suite à un événement cybernétique, dommages à la réputation, coûts juridiques, interruption des activités – auront un impact bien plus fort sur une petite ou moyenne entreprise par rapport à une organisation plus grande et plus établie. À cela s’ajoute la probabilité qu’une organisation PME consacre considérablement moins à sa sécurité informatique qu’une organisation beaucoup plus grande et est donc plus susceptible de devenir la victime d’un événement cybernétique malveillant en premier lieu. Les organisations criminelles sont également bien conscientes de ces faits. Par conséquent, la clé pour les entreprises PME est de réfléchir non seulement à leur propre exposition cybernétique, mais aussi à la manière de réduire la probabilité qu’un événement se produise en premier lieu. Si un incident se produit, il s’agit de garantir un transfert de risque efficace et l’accès aux capacités d’intervention nécessaires. Une récente étude de cas montre que les entreprises dont les facteurs de risque, basés sur le modèle de risque exclusif de Cowbell, étaient supérieurs de 8 points à la moyenne de l’industrie ont une probabilité de 1 % de subir une attaque ou un événement cybernétique, alors que les entreprises dont les facteurs de risque étaient inférieurs de 7 points à l’agrégat de l’industrie ont près de 16 % de chances de subir un événement. Cela signifie qu’une bonne hygiène cybernétique peut en effet réduire la probabilité que des événements cybernétiques se produisent. Quelles sont donc les erreurs de cybersécurité les plus courantes commises par les PME et que peuvent-elles faire pour les résoudre ? Ne pas mettre en œuvre l’authentification multifactorielle (MFA) L’une des plus grandes erreurs que les PME peuvent commettre en matière de cybersécurité est de ne pas mettre en œuvre l’authentification multifactorielle (MFA), également appelée authentification à deux facteurs (2FA). L’AMF est une méthode d’authentification électronique qui n’accorde l’accès aux utilisateurs aux sites web ou aux logiciels que s’ils présentent deux preuves ou plus à un mécanisme d’authentification. Cela implique généralement un mot de passe, une notification push et/ou un code d’authentification à l’aide d’une application d’authentification telle que Google Authenticator, Okta ou similaire. Selon Microsoft, la mise en œuvre de l’AMF peut bloquer jusqu’à 99,9 % des attaques de compromission de compte. La bonne nouvelle est que la mise en œuvre de l’AMF est facile et généralement gratuite pour les logiciels les plus couramment utilisés et les applications Cloud (Google Drive, Zoom, logiciels de paie, etc.), et elle peut généralement être appliquée à l’ensemble de l’entreprise par l’administrateur du logiciel. Pour un logiciel de paie tel que QuickBooks ou ADP, par exemple, il suffit de suivre ces étapes : Étape 1 : Connectez-vous à votre compte de logiciel de paie. Étape 2 : Recherchez une option dans les paramètres de votre compte ou les paramètres de sécurité liés à l’authentification à deux facteurs ou à l’authentification multifactorielle. Étape 3 : Suivez les instructions pour activer l’AMF. Cela implique généralement la configuration d’une deuxième méthode de vérification, comme la réception d’un code par SMS ou par e-mail. Complaisance à l’égard de la sauvegarde des données Une fois qu’un acteur malveillant (une personne, un groupe ou une organisation qui se livre à des activités malveillantes ou non autorisées dans le domaine numérique) a accès à un système, la sauvegarde régulière des données peut éviter une interruption prolongée des activités ou un paiement coûteux de rançongiciels ; pourtant, de nombreuses petites entreprises ne sauvegardent toujours pas régulièrement et correctement leurs données. Pour garantir une stratégie de sauvegarde efficace, les entreprises devraient suivre la règle des 3-2-1 : veiller à ce que vous disposiez de trois copies de vos données (vos données de production et deux copies de sauvegarde), sur deux supports différents (disque et bande) avec une copie hors site et totalement séparée du reste (c’est-à-dire hors ligne, à l’aide d’un disque dur ou dans le cloud) pour la reprise après sinistre. Autoriser les employés à utiliser un wifi public sans réseau privé virtuel De nombreuses entreprises autorisent au moins partiellement le télétravail pour leurs employés, ce qui peut présenter un risque accru d’exposition si des réseaux privés virtuels (VPN) ne sont pas mis en place. Un VPN crée une connexion sécurisée entre un appareil informatique et un réseau, ou deux réseaux, et est nécessaire lors de l’utilisation d’un wifi public. Sans VPN, les acteurs malveillants peuvent accéder à votre appareil ou à votre réseau grâce au wifi partagé. Le wifi public est n’importe quel wifi auquel un grand groupe de personnes a accès, par exemple, dans les cafés, les aéroports ou les hôtels. Le wifi sans mot de passe est le plus dangereux, mais même un wifi protégé par mot de passe ne doit être utilisé qu’avec un VPN, si le mot de passe est facile à obtenir. Heureusement, de nombreux fournisseurs de VPN sont disponibles, et leur mise en œuvre peut être effectuée dans toute l’entreprise par un administrateur. Quelques exemples incluent : ExpressVPN, qui offre un haut niveau de sécurité avec un chiffrement performant, une politique stricte de non-conservation des journaux et une large gamme d’emplacements de serveur. Il dispose d’applications conviviales pour différentes plateformes, ce qui facilite l’installation et l’utilisation pour les employés, et fonctionne sur Windows, macOS, iOS, Android, Linux et même sur les routeurs. ExpressVPN permet aux entreprises de mettre en place une protection VPN pour l’ensemble de leur effectif grâce à un plan spécifique aux entreprises. NordVPN est un autre bon exemple. Ses fonctionnalités de sécurité avancées incluent le Double VPN, Onion Over VPN et CyberSec, qui bloque les sites web malveillants. Il dispose d’un grand réseau de serveurs répartis dans plusieurs pays, garantissant de bonnes vitesses de connexion, et comme ExpressVPN, il offre des applications conviviales pour différents appareils, ce qui le rend accessible à tous les employés. Pas de plan de réponse en cas d’incident En raison de l’idée fausse selon laquelle les petites entreprises ne sont pas visées par les acteurs malveillants, beaucoup d’entre elles n’ont pas de plan en place pour savoir comment réagir si leur entreprise est victime d’un incident. Un plan de réponse en cas d’incident (IRP) est un plan détaillé qui explique toutes les actions à prendre lorsque les entreprises subissent un incident, et il doit être mis en place avant de devenir victime, ainsi qu’être révisé et mis à jour au moins une fois par an. L’objectif d’un IRP est de donner aux entreprises la tranquillité d’esprit en sachant qu’elles sont prêtes à faire face à un incident. Elles sauront exactement ce qu’elles doivent faire si un tel événement se produit, ce qui contribuera finalement à réduire le temps et l’argent nécessaires pour relancer l’activité de l’entreprise. Il convient de noter qu’un bon fournisseur d’assurance cybernétique proposera une assistance pour la création d’un IRP, adapté à votre entreprise, ainsi que divers autres outils et services de gestion des risques qui peuvent aider à renforcer la sécurité et la sensibilisation. Police d’assurance cybernétique autonome De nombreuses petites entreprises continuent de penser à tort que les polices d’assurance cybernétique autonomes (produits d’assurance spécialisés conçus pour offrir une couverture globale à une entreprise contre divers risques et responsabilités liés à la cybersécurité) ne sont nécessaires que pour les grandes entreprises. Pourtant, plus de la moitié (54 %) des PME au
Retour à l’accueil Worldnet
