10 façons dont les PME peuvent renforcer la sécurité de l'information

Alors que la cybercriminalité devient de plus en plus sophistiquée, les atteintes à la sécurité dans les grandes entreprises du monde entier deviennent de plus en plus courantes. L'année dernière seulement, les informations privées de 143 millions de consommateurs d'Equifax ont été compromises . Et si une grande entreprise ne peut pas protéger ses informations, comment une petite ou moyenne entreprise a-t-elle une chance?

La plupart des organisations modernes, grandes ou petites, s'appuient fortement sur des systèmes d'information pour mener leurs activités, de sorte que toute faiblesse en matière de sécurité de l'information toute l'organisation en danger. Les organisations victimes d'une atteinte à la sécurité subissent non seulement des perturbations internes, mais peuvent également être sanctionnées par des sanctions gouvernementales, des amendes, des poursuites en matière de consommation et, pire encore, des atteintes à leur réputation. Pour les petites et moyennes entreprises, ces conséquences peuvent être particulièrement dommageables.

Bien qu'il n'existe pas de solution miracle pour protéger votre organisation contre toutes les cybermenaces, le renforcement de la sécurité de l'information repose sur la mise en œuvre de contrôles et de politiques pouvant être modifiées à mesure que la nouvelle sécurité s'en trouve renforcée. des risques se présentent.

Nous examinons ici dix moyens par lesquels les petites et moyennes entreprises peuvent renforcer la sécurité de l'information.

Faites l'inventaire de vos données. Chaque entreprise doit savoir et avoir correctement documenté ses informations, l'endroit où elles sont stockées et précisément comment elles sont protégées. Parmi les informations exclusives, confidentielles ou protégées, figurent les informations personnelles identifiables (PII) ou les informations de santé personnelles (PHI), ainsi que les propriétés intellectuelles et les données uniques susceptibles de compromettre l'avantage concurrentiel de l'entreprise si elles sont divulguées.

] Identifiez les menaces du jour zéro et mettez à jour les correctifs de sécurité. Le phénomène de la menace du jour zéro est un exemple de la nature en constante évolution des menaces à la cybersécurité. Toute menace auparavant inconnue tomberait dans cette classification. Un exemple de ceci est les attaques de ransomware. Souvent, dans une telle attaque, un utilisateur non averti clique sur un lien, généralement dans un courrier indésirable, qui lance un logiciel malveillant (malware) qui crypte les fichiers de l’utilisateur, les rendant ainsi inaccessibles. Le créateur du logiciel malveillant propose ensuite de décrypter les fichiers de l’utilisateur moyennant des frais. De nombreuses grandes entreprises ont été victimes de ce type d’attaque. Les praticiens doivent valider que l'organisation a pour pratique d'identifier les menaces zéro jour et qu'elle dispose d'une stratégie pour mettre à jour ses bibliothèques antivirus et anti-programme malveillant de manière constante.

logiciels antivirus et anti-malware. En 2015, des recherches effectuées par les équipes de sécurité Internet de Symantec et Verizon ont révélé qu'un million de nouvelles menaces de programmes malveillants avaient été publiées chaque jour de l'année précédente . Compte tenu de la nécessité de disposer de logiciels antivirus et antimalware à jour, les entreprises doivent vérifier non seulement que les logiciels sont constamment mis à jour, mais également qu’ils sont correctement mis à jour et déployés sur tous les périphériques de l’entreprise. Pour diverses raisons, il est possible que la version actuelle du logiciel ne soit pas installée sur les appareils de l'entreprise ou que le logiciel n'ait pas été correctement mis à jour. L'audit interne doit vérifier un échantillon de périphériques dans divers emplacements afin de s'assurer que le logiciel antivirus est correctement installé et constamment mis à jour sur tous les périphériques.

Cryptez vos données. Les données secrètes, confidentielles, propriétaires et autres types de données sécurisées doivent être cryptées, au minimum, lorsqu’elles sont en transit hors du pare-feu de la société et stockées dans n’importe quel environnement en nuage. Même lorsque les pirates informatiques ne peuvent pas accéder au réseau interne de l'entreprise, ils peuvent intercepter le trafic Internet. Il est donc important que les informations de l'entreprise soient cryptées en transit, ainsi que lorsqu'elles sont stockées dans un emplacement non contrôlé par l'entreprise. [19659002] Décrivez les spécifications de sécurité pour le cloud computing dans un contrat de niveau de service. Le nuage fait référence à une combinaison massive de centres de données, serveurs, routeurs, connexions et commutateurs situés dans le monde entier, pour héberger et exploiter des applications logicielles de tous types. À l'heure actuelle, de nombreuses organisations utilisent d'innombrables centres de données et applications logicielles dans le cloud. De nombreuses applications logicielles sont proposées exclusivement sous forme de logiciel en tant que service (SaaS), ce qui permet des économies d'échelle considérables, un peu comme un réseau électrique.

La gestion des opérations de cloud computing est normalement automatisée. l'échelle actuelle de l'informatique en nuage est insondable. Cela présente un ensemble unique de risques pour l’organisation utilisant le cloud computing et la capacité de l’auditeur interne à garantir la sécurité des informations. Pour commencer, il y a le risque de sécurité physique. Étant donné que la plupart des entreprises ne savent même pas où leurs données sont stockées, il est difficile de garantir que les centres de données sont physiquement inaccessibles à une personne susceptible de voler les serveurs de données physiques.

Heureusement, un cadre a été développé pour le achat de SaaS assurant la sécurité physique, virtuelle et des données. Ces spécifications de sécurité sont décrites dans un contrat de niveau de service. Un accord de niveau de service signé par l’organisation doit prévoir la sécurité de l’emplacement, la sécurité de la transmission, le chiffrement et toutes les autres préoccupations de sécurité des informations liées au cloud computing. Les praticiens doivent examiner les contrats de niveau de service pour toutes les solutions de cloud computing de l’entreprise. Tous les problèmes de sécurité des informations doivent être traités dans le contrat de niveau de service.

Implémentez des contrôles pour la perte de données. Si un pirate informatique parvient à accéder au système de votre entreprise, il tentera alors d’exfiltrer (c’est-à-dire de supprimer) des actifs de données. Le système de détection d'intrusion (IDS), le système de prévention d'intrusion (IPS), le pare-feu et les autres outils utilisés par l'entreprise doivent être configurés pour surveiller tout le trafic Internet sortant. Les contrôles de perte de données incluent également d'autres techniques, telles que l'interdiction d'utiliser des supports amovibles, ainsi que le cryptage et le filtrage du courrier électronique sortant. L'organisation doit disposer de techniques éprouvées de prévention des pertes de données et les journaux d'alerte doivent être préparés, suivis, analysés et gérés.

Consignez les procédures de contrôle des modifications. La ​​technologie a énormément évolué au cours des 30 dernières années. Chaque modification successive d'un logiciel, du matériel (y compris l'informatique en nuage basée sur Internet) ou des processus internes utilisés pour produire, stocker ou traiter les informations financières d'une entreprise doit être soumise à des procédures documentées de contrôle des modifications. Les procédures correctes de contrôle des modifications impliquent ce qui suit:

• Spécification / demande (généralement appelée demande de modification)
• Approbation par les niveaux de gestion appropriés
• Planification
• Planification des tests, y compris des tests d'acceptation par l'utilisateur
• Planification [19659017] Communication
• Formation
• Mise en oeuvre
• Documentation
• Vérification de la mise en œuvre de l'efficacité

Explorez et documentez les précédents événements de piratage. Selon un axiome populaire, il n’ya que deux types d’organisations aux États-Unis: celles qui ont été piratées et celles qui ne savent pas qu’elles ont été piratées. L’un des meilleurs indicateurs de la faiblesse de la sécurité de l’information est que la société a connu des événements de sécurité de l’information, ou de piratage informatique, dans le passé. Le fait qu’il existe des milliers, voire des millions, de mauvais acteurs qui tentent constamment de pirater des entreprises et de voler de l’information et de l’argent devrait donner un sentiment d’urgence aux activités de toutes les entreprises en matière de sécurité de l’information. En tant que tel, les circonstances relatives à la nature d'événements de piratage antérieurs doivent être explorées et documentées.

Organisez une formation à la sécurité (au moins une fois par an). La sécurité de l'information est évidemment très détaillée et complexe. Pour ce faire, tous les participants (employés, clients, fournisseurs, etc.) doivent connaître leur part dans le programme général de sécurité de l’information de l’organisation. Pour ces raisons, pratiquement toutes les entreprises devraient obliger leurs employés – et peut-être leurs fournisseurs et autres parties prenantes – à suivre un cours de formation à la sensibilisation à la sécurité de l'information au moins une fois par an. Différents membres du personnel interne peuvent être utilisés pour dispenser une formation dans leur domaine de compétence. Alternativement, de nombreuses entreprises et organisations proposent cette formation. Il est impératif que tous les employés impliqués dans le contrôle interne comprennent les termes clés et les points de contrôle liés à la sécurité de l'information.

Faites appel à une tierce partie pour les tests de vulnérabilités internes et externes «au chapeau blanc». L’ampleur et la complexité inhérentes à la sécurité de l’information garantissent virtuellement qu’une partie de la vulnérabilité potentielle ne sera pas détectée par la société. Il est donc pratique courante pour la société, au moins une fois par an, de faire appel à une entreprise de piratage tiers (c'est-à-dire un bon gars) pour effectuer une analyse de vulnérabilité. Idéalement, le pirate à chapeau blanc utilisera toutes les techniques qui pourraient être utilisées par un pirate à «chapeau noir» (c’est-à-dire un méchant) pour identifier les faiblesses potentielles en matière de sécurité des informations. C’est le meilleur moyen de détecter les éventuelles faiblesses, de les corriger et de renforcer l’environnement de traitement des informations de la société.

N'oubliez pas: quelle que soit la taille de votre entreprise, une défaillance de tout type de la structure informatique, aussi petite soit-elle , peut compromettre l’ensemble du système et permettre à un pirate d’accéder au logiciel d’application et aux données source. Une sécurité adéquate doit inclure la formation des utilisateurs et l'application de contrôles préventifs, de détection et réactifs.

Pour plus d'informations sur la manière de renforcer la sécurité des informations de votre organisation, y compris une évaluation des risques, téléchargez notre livre blanc, . Les petites et moyennes entreprises peuvent se protéger d'une infraction de cybersécurité.

<! – Commentaires ->