Protégez votre entreprise contre les menaces internes

Tandis que le monde observait les détails de la violation de données intervenue chez Equifax l’année dernière, l’un des plus grands scandales de piratage jamais survenus aux États-Unis, nous avons récemment appris que l’ancien PDG de la société, Richard Smith, avait reporté l’entière responsabilité du fiasco sur un seul technicien informatique qui avait négligé de dire aux membres du personnel d’Equifax d’installer un correctif conçu pour neutraliser une vulnérabilité du système Apache Struts.

Cette situation montre à quel point la sécurité informatique peut être fragile et combien il est important que tous les membres de votre organisation participent activement à un programme de gestion des risques informatiques. Il est évident que les menaces en matière de sécurité informatique ne disparaîtront pas de sitôt. En fait, l’on s’attend à ce qu’elles coûtent aux entreprises 6 billions de dollars par année d’ici 2021, ce qui, pour mettre les choses en perspective, représente le plus grand transfert de richesse économique de l’histoire.

Si la grande majorité des pertes découlant d’une défaillance de cybersécurité viendront des grandes entreprises, cela ne signifie pas que les petites et moyennes entreprises ne devraient pas mettre tout en œuvre pour se protéger. En fait, le simple fait de collaborer à un niveau aussi personnel avec vos employés et clients, peut vous amener à perdre plus que quiconque : votre gagne-pain, vos relations personnelles, votre réputation, et bien plus. Heureusement, les entreprises de toutes tailles peuvent prendre des mesures pour améliorer leur sécurité à tous les niveaux et faire face à ces menaces :

• Formez votre personnel : La recommandation semble simple mais, comme l’illustre la mésaventure d’Equifax, la formation en matière de sécurité en ligne et l’adoption de pratiques exemplaires en la matière aux sein de votre entreprise peuvent contribuer considérablement à atténuer les effets de catastrophes numériques. Recherchez un cours (en ligne ou autre) portant sur des sujets tels que la reconnaissance et le traitement des e-mails d’usurpation d’identité, la tenue à jour de votre système de sécurité, les comportements sécurisés en ligne et autres, et éduquez chaque membre de votre équipe.
• Choisissez un client de messagerie approprié : La possibilité d’accéder à vos e-mails en tout lieu et sur pratiquement tout appareil est essentielle, mais sacrifier la sécurité pour la commodité ne devrait jamais être une option. Recherchez donc un service de messagerie capable de discriminer et de filtrer le courrier indésirable, le hameçonnage et les messages légitimes de manière appropriée. Et si vos filtres de courrier vous permettent de désactiver les liens hypertexte et d’éliminer la capacité de votre équipe à répondre à des messages nuisibles, c’est encore mieux. Dans la mesure du possible, recherchez des programmes comprenant des filtres de courrier qui peuvent être définis à un niveau personnel ou de groupe, afin de pouvoir déterminer ce qui préférable pour votre entreprise.
• Tenez à jour votre politique de gestion des appareils : Accordez la priorité à la sécurité physique en mettant en place des stratégies d’entreprise définissant les meilleures pratiques pour assurer la sécurité des appareils. Créez des protocoles à appliquer en cas de perte d’appareil, informez votre équipe des personnes à contacter et établissez clairement la procédure à suivre d’un point de vue technique en cas de perte. Pour ajouter une couche de protection, exigez de tous vos employés qu’ils activent l’authentification à deux facteurs sur leurs appareils. De cette façon, même si un appareil est dérobé, le voleur aura besoin d’une méthode de contact pour pouvoir aller au-delà de l’écran de connexion.
• Tenez à jour vos logiciels : Si l’attaque dirigée contre Equifax nous a bien appris quelque chose, c’est qu’il est essentiel que tous les employés gardent leurs logiciels à jour. Si vous utilisez un logiciel dans le cloud, les mises à jour de sécurité sont généralement automatiques mais, si vous possédez ou gérez une entreprise qui n’a pas encore migré vers l’usage de logiciels dans le cloud, vous pouvez toujours automatiser l’envoi de mises à jour à vos employés. Si ce n’est pas envisageable ou s’il s’agit d’une option que vous préférez éviter, vous pouvez rendre chaque membre de votre équipe responsable de l’installation des mises à jour sur ses propres appareils. Vous devrez juste configurer vos logiciels de façon à ce qu’ils invitent les utilisateurs à installer les mises à jour dès qu’elles sont disponibles.

Si nous avons déjà évoqué la nécessité de formation de votre équipe, nous ne saurions trop y insister. Quel que soit le nombre de mesures de protection mises en place, votre personnel doit être formé à leur utilisation. Vous devez lui envoyer régulièrement de la documentation et des rappels concernant l’importance de prendre ces précautions. Vous pourrez ainsi non seulement les aider à reconnaître les menaces informatiques, mais aussi leur fournir les informations dont ils ont besoin pour éviter de prendre des risques superflus.