Retarder la cybersécurité vous expose à des risques bien plus importants que vous ne le pensez

Juin
22, 2021

7 minutes de lecture

Les avis exprimés par les contributeurs de Entrepreneur sont les leurs.

De nombreuses petites entreprises, en particulier les startups avec des budgets limités, ont tendance à considérer la sécurité de l'information comme une réflexion après coup, une cloche et un sifflet à ajouter plus tard lorsque les fonds le permettent. Cette attitude a peut-être été justifiée il y a 20 ou 30 ans, mais le paysage moderne de la cybercriminalitéde la sécurité des données et de la confidentialité rend cela impossible aujourd'hui.

La protection des informations d'entreprise, de la propriété intellectuelle, des données des clients et des les systèmes informatiques physiques sont une fonction essentielle de l'entreprise pour les entreprises modernes, petites et grandes. Les violations de données sont courantes, coûteuses et peuvent nuire à la réputation d'une entreprise pendant des années.

En tant qu'entrepreneur dans le secteur de la cybersécuritéje sais à quel point il est important pour les jeunes startups d'évaluer leur situation en matière de sécurité de l'information. dans les premiers stades de la formation pour déterminer la proportion appropriée de concentration et de budget à atteindre.

Connexe : Un casino se fait pirater par un thermomètre à aquarium

Pourquoi les entrepreneurs retardent la cybersécurité

Le monde des startups est comme le Far West. C'est chaotique, compétitif, et souvent vous vous débrouillez bien juste pour survivre. Selon la Fondation Kauffman, environ 22% des startups aux États-Unis échouent au cours de leur première année. Dans certains États, le taux d'échec de la première année atteint jusqu'à 37 %. Qu'il s'agisse d'autofinancement ou de capital-risque, chaque centime dépensé au cours de cette première année peut être essentiel à la survie à court terme de l'entreprise.

Un budget de démarrage a une composition différente du budget annuel d'une entreprise établie. Souvent, une part plus importante du budget de la première année est consacrée aux achats initiaux d'infrastructure et de TI, au recrutement d'employés, aux campagnes publicitaires, aux coûts d'emprunt et à d'autres dépenses nécessaires. Sans une idée claire du moment et du montant des bénéfices qui commenceront à être générés, les budgets sont serrés et peu de choses sont gaspillées pour quoi que ce soit d'autre.

De nombreux entrepreneurs ne considèrent pas la sécurité de l'information comme une priorité élevée dans leur budget de démarrage initial. Si cela n'est pas considéré comme une menace ou une dépense immédiate, il est facile d'y remédier plus tard. Une petite entreprise inconnue avec une clientèle limitée peut avoir l'impression de ne pas avoir besoin de beaucoup de protection contre les hackers qui se cachent dans l'ombre. Mais ce récit peut revenir mordre une jeune entreprise.

Connexe : Qu'est-ce que DARKSIDE, le groupe de cybercriminels ransomware qui met le monde en alerte ?

Le nouvel âge de la confidentialité numérique 

Le problème s'aggrave, pas s'améliore, et il pourrait continuer ainsi dans un avenir prévisible. Les mauvais acteurs profitent des nouvelles failles de sécurité créées par les blocages et l'augmentation du travail à distance résultant de la pandémie de Covid-19.

L'une des raisons pour lesquelles il est si difficile de contenir la cybercriminalité est qu'elle évolue rapidement et s'adapte à mesures de sécurité de manière imprévisible. Lorsque le nombre d'attaques de logiciels malveillants diminue en raison d'une meilleure sécurité et d'une meilleure sensibilisation, les schémas de phishing augmentent et prennent leur place. Lorsque les grandes entreprises et les agences gouvernementales commencent à renforcer leur infrastructure informatique, les pirates se tournent vers des cibles plus petites et plus vulnérables.

Selon le secteur et la nature de chaque entreprise, les budgets annuels de cybersécurité peuvent varier de 2 % seulement. jusqu'à 20 % du budget informatique global d'une entreprise. Ils se situent généralement entre 5 et 10 pour cent. Ces proportions augmentent, cependant, à la fois en dollars globaux et en proportion du budget, à mesure que les menaces évoluent. Les consommateurs victimes de violations de données commencent à exiger une sécurité et une confidentialité accrues de la part des entreprises avec lesquelles ils font affaire, ce qui rend la sécurité de l'information plus importante chaque année.

Les coûts et les risques de l'attente

En plus des coûts accrus. de renforcer les systèmes contre les attaques, les coûts d'atténuation des conséquences d'une violation de la sécurité informatique sont en augmentation. Le prix dépend de la nature de la violation et du volume de données compromises, mais dans le pire des cas, il peut continuer à croître pendant des années. Ces dernières années, certaines entités plus importantes, publiques et privées, ont été contraintes de dépenser des millions de dollars pour des activités de réponse aux incidents après des cyberattaques majeures. Les coûts de réponse à un incident ou à une violation, la gestion des retombées de relations publiques et les coûts d'opportunité associés à la nécessité de dépenser du capital pour nettoyer un sinistre sont tous éclipsés par le coût du maintien d'un budget annuel suffisant pour la sécurité de l'information.

Les pirates n'ont pas fait de pause pour la pandémie – en fait, ils s'intensifient. Environ 214 millions d'utilisateurs de Facebook, Instagram et LinkedIn ont été exposés en janvier via une base de données chinoise partagée grattée par des pirates. Un mois plus tard, des pirates informatiques ont détourné les cartes SIM T-Mobile via l'ingénierie sociale, révélant ainsi les informations des clients. La disparité des tactiques fait de déjouer les attaques un défi constant. Les entreprises peuvent survivre à ces incidents et finalement reprendre leurs activités, mais pas avant d'avoir perdu des bénéfices, des parts de marché et une réputation, dont certaines pourraient ne jamais être récupérées.

Bien qu'aucun plan de sécurité de l'information ne soit à toute épreuve, un puissant, en hausse – une posture de sécurité à jour et bien gérée peut contrecarrer la plupart des attaques, atténuer les dommages causés par les attaques qui se produisent et réduire considérablement les futurs coûts de réponse aux incidents et de récupération. Il peut également être beaucoup plus coûteux de moderniser ou d'ajouter de la sécurité aux systèmes une fois qu'une entreprise a intensifié ses opérations. floor

L'un des meilleurs moyens de maintenir une posture de cybersécurité solide consiste à adopter une approche holistique. La sécurité doit faire partie de la mentalité et de la culture d'une entreprise dès le début, en particulier pour les entreprises davantage liées à la technologie ou celles des secteurs qui doivent traiter de gros volumes de données client. Cela ne signifie pas que la sécurité doit casser le budget d'une jeune startup, mais un peu de planification et des mesures relativement peu coûteuses peuvent tirer le meilleur parti des premières dépenses informatiques et économiser de l'argent sur toute la ligne.

Les jeunes entreprises doivent évaluer le cyber-réaliste. paysage des menaces pour leur industrie et leur infrastructure informatique particulière avant qu'ils ne commencent. Les consultants professionnels en cybersécurité peuvent aider à donner une image claire de ce qui est nécessaire à court et à long terme. Assurez-vous d'établir une culture de la sécurité et des meilleures pratiques parmi les employés et la direction, en mettant l'accent sur certaines des incursions faciles des pirates comme le phishing et d'autres techniques d'ingénierie sociale. Mettez en œuvre des formations et des évaluations régulières et donnez l'exemple aux plus hauts niveaux.

S'il n'est pas possible au départ de disposer d'une équipe ou d'un individu dédié à la sécurité informatique, envisagez un service externalisé de directeur virtuel de la sécurité de l'information (vCISO). Un vCISO est une option abordable pour de nombreuses petites entreprises et peut offrir une tranquillité d'esprit précieuse à mesure que votre entreprise se développe.

Les violations de données sont coûteuses à plusieurs niveaux. Les lettres et les courriels d'entreprises informant leurs clients que leurs informations ont été ou pourraient avoir été compromises deviennent monnaie courante. Ces communications s'accompagnent souvent d'offres pour une période gratuite de surveillance de l'usurpation d'identité ou d'autres « rameaux d'olivier » pour apaiser la douleur. Mais le mal est déjà fait. Les violations nuisent non seulement à la réputation d'une entreprise auprès des consommateurs, mais les futurs investisseurs peuvent hésiter à s'impliquer dans une entreprise perçue comme une responsabilité en matière de données. Il peut sembler difficile de justifier l'investissement dans la sécurité de l'information lorsque votre entreprise vient tout juste de démarrer, mais plus vous attendez, plus il est difficile et coûteux de l'intégrer à votre organisation lorsque vous en avez le plus besoin.