Cybersécurité des petites entreprises: Guide du propriétaire d’entreprise pour la sécurité en ligne et la protection de vos intérêts en ligne

Le guide essentiel de la cybersécurité des petites entreprises

La cybersécurité des petites entreprises est quelque chose qu'aucune entreprise ne devrait ignorer. Cela indépendamment de la façon dont «petite» ou «sans importance» une entreprise peut se percevoir comme.

Les gros reportages sur la cybersécurité se concentrent sur des choses comme l'énorme violation de données chez Yahoo, ou le piratage de ransomware de grande envergure de 2017 sur le National Health Service du Royaume-Uni. Cependant, des organisations beaucoup plus petites sont victimes de cybercriminels chaque jour.

Les statistiques sont terrifiantes: 43% des cyberattaques visent spécifiquement les petites entreprises. De plus, 60% des petites entreprises qui subissent des cyberattaques cesser ses activités au cours des six prochains mois.

Si vous êtes propriétaire d'une petite entreprise et que vous ne prenez pas la cybersécurité au sérieux, vous marchez sur une glace incroyablement mince.

Ce guide détaillé vous aidera à savoir exactement à quels dangers vous êtes confronté. Il vous montrera également comment réduire au maximum les risques.

Comment la cybersécurité des entreprises a-t-elle évolué?

Les entreprises ont dû veiller à la sécurité en ligne depuis que la connectivité Internet est devenue monnaie courante. Cependant, la vitesse à laquelle la cybercriminalité a évolué est stupéfiante.

Selon les projections de Jupiter Research, les violations de données coûteront à elles seules plus de 2 000 milliards de dollars par an aux entreprises d'ici 2020. Bien que ce chiffre soit révélateur, ce qui est encore plus choquant, c'est que le nombre aura quadruplé en seulement quatre ans. La cybercriminalité a atteint des proportions épiques. L'époque où les propriétaires d'entreprise devaient simplement s'assurer que leur société informatique locale avait installé un logiciel antivirus à jour est révolue depuis longtemps!

À titre d'exemple, considérons les ransomwares. Le ransomware verrouille et crypte les fichiers jusqu'à ce que les utilisateurs paient des pirates pour les décrypter. C'était au centre de l'énorme hack du NHS mentionné ci-dessus. Le ransomware a été «inventé» en 1996 et repéré «dans la nature» vers 2005. Il est devenu courant en 2012/13. Cela montre comment les menaces évoluent au fil du temps. Cela prouve également qu'il y aura toujours quelque chose de nouveau dans les coulisses pour frapper les entreprises et les gros titres.

Le piratage peut être incroyablement lucratif. En tant que tels, les pirates informatiques ne vont pas disparaître ou arrêter ce qu'ils font. Cela signifie que les entreprises de toutes tailles doivent travailler pour garder une longueur d'avance.

En quoi la cybersécurité professionnelle est-elle différente de la cybersécurité personnelle?

La cybersécurité des petites entreprises est très différente de la surveillance de la sécurité sur un simple ordinateur domestique. Si un ordinateur à la maison est frappé, par exemple, par une attaque de ransomware, il y a une limite aux dommages qui peuvent être causés. S'il n'y a pas de sauvegardes à restaurer, cela peut encore s'avérer un désastre, même si cela signifie seulement choisir entre payer une rançon ou perdre des photos de famille et d'autres souvenirs.

Pour une petite entreprise, l'impact peut être beaucoup plus important. Vous devrez peut-être dire aux clients que leurs données et informations financières sont «dans la nature» et potentiellement vendues sur le dark web. Vous risquez de perdre la capacité de traiter les transactions et de prendre de l'argent pour une journée ou plus.

Quel que soit le résultat exact, il ne sera jamais bon. La cybersécurité des entreprises est extrêmement importante et implique beaucoup plus que l'utilisation d'un logiciel antivirus.

Pourquoi la cybersécurité est-elle importante?

J'ai brièvement évoqué quelques impacts possibles d'une violation de données ou d'une cyberattaque. Voyons plus en détail ce qui peut arriver.

  • Perte financière

L'argent est généralement le motif des cyberattaques. Au moment d'écrire ces lignes, personne n'est certain de l'origine de l'attaque du ransomware WannaCry qui a frappé le NHS britannique et de nombreuses autres organisations dans le monde. Cependant, le gain financier était le motif évident. Les pirates ont exigé de l'argent, transféré sous forme de Bitcoins anonymes, en échange du décryptage des machines infectées.

Certaines organisations ont fini par payer les pirates, probablement parce qu'ils n'avaient aucune sauvegarde utilisable. Cependant, cette somme était une goutte dans l'océan par rapport à la véritable perte financière causée par le piratage.

Les pirates auraient collecté environ 100 000 $ grâce à une «rançon». Malgré cela, le coût total de l'attaque est estimé à 1,5 milliard de dollars. Cela est dû à l'énorme quantité de travail que les entreprises doivent entreprendre pour se remettre de tels événements. Ce travail implique généralement la restauration des sauvegardes, la reconstruction des réseaux et le renforcement des systèmes contre les futures attaques, tout en surveillant la baisse des revenus. Les revenus sont perdus alors que les entreprises ne peuvent pas fonctionner correctement après. Il y a aussi le fait que les clients perdent confiance et reculent.

Les petites entreprises fonctionnent souvent avec des budgets limités. En tant que tel, il ne prend pas un chiffre qui fait la une des journaux pour causer de graves problèmes financiers. Une «facture de nettoyage» de plusieurs milliers de dollars, associée à plusieurs jours de pertes commerciales, peut suffire à pousser une entreprise au bord de la faillite..

  • Atteinte à la réputation

Les atteintes à la réputation et les pertes financières constituent souvent un cercle vicieux pour les entreprises au lendemain d'une cyberattaque. Les clients perdent confiance dans les entreprises lorsqu'ils ont subi une violation, en particulier si des informations personnelles ou financières ont été compromises.

Une enquête de PWC en 2016 a révélé que les dommages à la réputation «étaient considérés comme l'impact le plus dommageable d'une cyber-violation».

  • Interruption de travail

Si votre entreprise s'attaque à une cyberattaque ou élimine les dommages qui en découlent, vous et votre équipe n'auront pas les ressources pour gérer l'entreprise normalement.

La gravité de cette situation peut varier. Si, par exemple, vous traitez des transactions via un site Web et devez le mettre hors ligne, vous verrez le flux de revenus s'arrêter jusqu'à ce que vous résolviez les problèmes. Vous pouvez également voir le personnel incapable de travailler jusqu'à ce que vous répariez ou restauriez leurs ordinateurs.

En fin de compte, il n'y a pas de bon impact, d'où la nécessité de tout faire pour réduire la menace des cyberattaques.

Quelles sont les principales menaces de cybersécurité pour les petites entreprises?

Le paysage des menaces de cybersécurité change tout le temps. Les nouvelles méthodes d'attaque deviennent populaires tandis que d'autres glissent en disgrâce. Cependant, les principales menaces restent les mêmes. Voici quelques-uns des plus importants à connaître.

Ransomware

Nous avons déjà beaucoup parlé des ransomwares. En effet, il est très actuel dans le monde de la cybersécurité, sans aucun signe de déclin de sa popularité. Il est facile pour les pirates de cibler de nombreuses entreprises et particuliers avec des ransomwares en une seule fois. Cela est particulièrement vrai pour les infections comme WannaCry, qui peuvent se propager de manière rampante à travers les réseaux. Il est également relativement difficile pour les autorités de suivre la source.

Ces facteurs, associés à un potentiel financier évident, rendent les ransomwares très attractifs pour les cybercriminels. Vers la fin de 2016, Kaspersky a vu un rançongiciel frapper une entreprise toutes les 40 secondes et un nouvel individu toutes les 10 secondes.

Il y a une petite doublure argentée dans ce nuage: les ransomwares sont en fait assez faciles à protéger. La clé est d'avoir des sauvegardes complètes et à jour et un moyen rapide, éprouvé et testé de les restaurer. Vous devrez toujours prendre des mesures pour récupérer d'une attaque. Cependant, les pirates ne peuvent pas encaisser si vous n'avez pas besoin de récupérer leurs données.

REMARQUE: Les ransomwares n'impliquent pas toujours le cryptage des données. Certaines menaces impliquent le verrouillage d'un ordinateur ou d'un appareil, le rendant inutilisable jusqu'à ce qu'une rançon soit payée. À condition de pouvoir réinstaller une machine, il est possible de supprimer l'infection. Le pire des cas avec un ransomware se termine par des données chiffrées et aucune sauvegarde à partir de laquelle restaurer.

Hameçonnage

La plupart des utilisateurs de technologie ont au moins vu des tentatives de phishing, même s'ils n'en ont pas été victimes..

À la base, l'hameçonnage implique l'envoi de faux e-mails censés provenir de sites Web et d'entreprises authentiques. Ceux-ci sont souvent liés à la banque ou aux achats en ligne. Les gens qui sont dupés par ces e-mails se retrouvent généralement sur de fausses pages de connexion (parfois très réalistes). Là, ils saisissent leurs noms d'utilisateur, mots de passe et autres informations personnelles. Cela remet les informations directement aux pirates.

De nombreux e-mails de phishing sont facilement identifiables à l'œil averti. Ils proviennent généralement de domaines qui ne sont pas authentiques, tels que paypalcustomersupport.com plutôt que paypal.com. Cependant, les cybercriminels peuvent envoyer des dizaines de milliers d'entre eux en même temps. En tant que tel, les pirates n'ont pas besoin d'un taux de réussite élevé pour profiter des personnes qui tombent pour eux.

Les programmes antivirus et les filtres anti-spam sont de plus en plus sophistiqués. Ils réussissent de mieux en mieux à arrêter les e-mails de phishing, ou au moins à les filtrer dans des dossiers de «courrier indésirable». Cependant, certains parviennent inévitablement à leurs fins criminelles.

Hameçonnage

Le phishing de base n'est pas la seule menace de cybersécurité dont les petites entreprises doivent s'inquiéter. Le phishing peut être beaucoup plus sophistiqué et implique parfois un élément humain.

Les escroqueries par téléphone sont particulièrement populaires. Les petites entreprises (et les particuliers) sont souvent ciblées. Les pirates informatiques appellent une entreprise et prétendent appartenir à Microsoft ou à une autre grande entreprise de technologie. Ils disent qu'il y a un problème technique qui doit être résolu et persuader les utilisateurs sans méfiance de leur accorder un accès à distance à un ordinateur. Une fois qu'ils y ont accès, ils peuvent très facilement installer un logiciel d'enregistrement des clés ou d'autres programmes dangereux. Ils peuvent ensuite les utiliser pour récolter des informations personnelles ou accéder à un futur système.

Cela empire beaucoup. Le spear phishing est une tentative très ciblée d'accéder à des ordinateurs spécifiques pour générer un gain financier.

Cela fonctionne comme ça. Un pirate appelle une entreprise, comme décrit ci-dessus, et accède à un ordinateur de bureau. À partir de là, ils déterminent quelle machine de l'entreprise est utilisée pour la paie. Le jour de la paie, ils accèdent à cet ordinateur et redirigent tous les paiements de salaire vers leur propre compte.

Cela peut ressembler à de la science-fiction, mais ce n'est vraiment pas le cas. De plus, les cybercriminels ciblent souvent spécifiquement les petites entreprises avec ce type d'attaque. Il existe différents exemples en ligne de ce qui se passe.

Attaques de sites Web

Les petites entreprises avec une présence en ligne importante, en particulier celles qui s'appuient sur des sites Web pour faire des affaires, doivent tenir compte des menaces qui pèsent sur leurs sites Web. Il s'agit notamment des injections SQL et des attaques par déni de service (DoS).

Certaines de ces attaques ont un motif spécifique, comme la divulgation de données personnelles détenues dans des bases de données en ligne. D'autres sont de nature beaucoup plus «stupide». Leur objectif est de faire tomber des sites Web, parfois pour un peu plus que des félicitations dans la communauté de piratage.

Comme pour les autres menaces, il est faux de supposer que les cybercriminels ne ciblent que les grandes entreprises. Plus de 30 000 sites sont piratés chaque jour. Ils ne sont clairement pas tous Yahoos et Ashley Madisons!

Virus et chevaux de Troie traditionnels

Les virus et chevaux de Troie «à l'ancienne» ne font peut-être pas autant la une des journaux de nos jours, mais ils sont toujours là. Ils affectent chaque jour les petites entreprises mal protégées.

Allant des enregistreurs de frappe qui collectent les identifiants et les informations personnelles aux programmes malveillants qui aident les spammeurs à envoyer des e-mails de phishing, les virus font toujours partie de l'armurerie des cybercriminels..

La principale erreur de cybersécurité des petites entreprises

La plus grande erreur de cybersécurité des petites entreprises est de supposer «cela ne m'arrivera pas».

Si vous pensez que nous exagérons cela, consultez certaines des statistiques de cybersécurité plus loin dans cet article.

Quelles précautions les entreprises devraient-elles prendre?Cybersécurité 06

  1. Éduquer tous les utilisateurs du système

Il s'agit souvent d'un point de défaillance humain qui se traduit par une cyberattaque ou une violation de la sécurité réussie. L'hameçonnage et le hameçonnage réussis dépendent du fait que quelqu'un est dupe de répondre à un e-mail convaincant ou de saisir des informations personnelles sur un faux site Web. De même, de nombreux virus se déclenchent lorsque des utilisateurs peu méfiants double-cliquent sur une pièce jointe à un e-mail et installent quelque chose qu'ils ne devraient pas.

Il est donc essentiel que tous ceux qui travaillent pour votre petite entreprise soient bien informés sur la cybersécurité. Vous devez également les tenir à jour sur les nouvelles menaces. Les niveaux de connaissances et de compétences techniques varient énormément. En tant que tel, ne présumez jamais que votre personnel est tout aussi averti en ce qui concerne les réalités de la vie en ligne.

  1. Utilisez des logiciels, des correctifs et du matériel de sécurité à jour

Un antivirus de bonne qualité et à jour est indispensable sur tous les ordinateurs de l'entreprise. Cela signifie un logiciel commercial, car les versions gratuites manquent souvent de fonctionnalités importantes. De plus, les éditeurs de logiciels gagnent parfois de l'argent à partir des données personnelles et des historiques de navigation s'ils ne sont pas payés pour vendre réellement leurs produits.

Protéger contre les cyberattaques signifie également utiliser des pare-feu robustes sur les sites Web et les systèmes de l'entreprise. Vous devez également tout corriger régulièrement. Par «tout», nous entendons vraiment tout - des plug-ins sur les sites Web WordPress aux mises à jour du système d'exploitation sur les ordinateurs de l'entreprise.

L'une des raisons pour lesquelles l'énorme attaque WannaCry s'est propagée si rapidement est qu'elle a pu se déplacer entre des milliers d'ordinateurs Windows sans correctifs. Une meilleure gestion des mises à jour aurait pu faire beaucoup pour ralentir sa propagation.

  1. N'oubliez pas les appareils mobiles

Les smartphones et les tablettes sont largement utilisés. Il est donc essentiel de les inclure dans votre stratégie de cybersécurité. Les «malwares mobiles» ne manquent pas et des millions d'appareils sont infectés.

Il peut sembler bizarre de penser que les téléphones mobiles ont besoin d'un antivirus, mais les appareils de l'entreprise détenant des informations sur l'entreprise ne doivent pas être traités différemment des ordinateurs.

  1. Dangers facilement évitables

Les personnes qui commettent de simples erreurs dans leur utilisation de la technologie facilitent la vie des cybercriminels. Bien que la cybersécurité fasse régulièrement la une des journaux, les gens utilisent toujours des mots de passe comme «123456» et «qwerty». Mettez immédiatement hors la loi de telles pratiques dans votre petite entreprise.!

De même, de nombreuses personnes se connectent à des réseaux Wi-Fi publics dangereux sans arrière-pensée, les utilisant pour travailler sur les données de l'entreprise. Le personnel doit toujours utiliser un réseau privé virtuel (VPN) approprié s'il veut le faire.

  1. Pensez à la sécurité physique

La cybersécurité ne consiste pas seulement à installer un logiciel antivirus et à utiliser des pare-feu. Si vous souhaitez permettre à un pirate d'accéder facilement aux données de votre entreprise, laissez simplement une fenêtre de bureau ouverte ou un ordinateur portable d'entreprise non protégé dans une barre animée.

  1. Chiffrer les appareils de l'entreprise

Cela vaut la peine d’imposer l’utilisation du chiffrement intégral du disque sur tous les appareils de l’entreprise. Si un disque dur ou un SSD est crypté, toute personne qui vole une machine ne pourra voir les ordures que si elle n'a pas les mots de passe ou les clés de cryptage.

Il est facile de crypter vos appareils. Les Mac Apple modernes ont la possibilité de crypter en standard. Microsoft inclut la possibilité de le faire avec les versions «professionnelles» de Windows. Il existe également des outils tiers pour l'activer. Même les téléphones Android peuvent être entièrement cryptés.

Vous voulez crypter le trafic Internet sur plusieurs appareils? Un routeur VPN est une solution idéale, cliquez sur le lien pour plus d'informations.

  1. Restez à jour avec Cybersecurity News

Se tenir au courant des dernières nouvelles en matière de cybersécurité peut vous protéger contre les risques de chute à la prochaine grande violation ou piratage. Dans le cas de la violation de WannaCry, la vulnérabilité qui a été si largement exploitée a été largement diffusée plus d'un mois avant que le hack ne fasse la une des journaux - et il y avait un correctif disponible.

Les entreprises qui sont restées au courant de ces nouvelles ont eu le temps et les connaissances nécessaires pour se protéger.

Statistiques sur la cybersécurité des petites entreprises

Juste au cas où cet article ne vous aurait pas déjà fait peur, voici quelques statistiques récentes sur la cybersécurité pour vous donner l'ampleur de ces menaces:

  • 55% des entreprises interrogées dans une étude récente avaient subi une sorte de cyberattaque au cours des 12 mois précédents.
  • 65% des petites entreprises n'appliquent pas de politique de mot de passe, bien que cela soit un moyen facile de renforcer la sécurité informatique.
  • Malgré l'importance évidente de l'éducation des utilisateurs, une étude des entreprises britanniques a révélé que 81% ne dispensent aucune formation en cybersécurité à leur personnel..
  • Les demandes de rançongiciels ont augmenté de 266% l'année dernière.
  • Un milliard de records de compte en ligne ont été violés en 2016 - trois pour chaque citoyen américain.
  • Il existe actuellement 37 millions d'applications contenant des logiciels malveillants.
  • 43% des menaces de cybersécurité sont destiné aux petites entreprises.

Conseils de cybersécurité pour les petites entreprises

Nous terminons avec quelques conseils rapides pour réitérer les points clés de cet article et fournir quelques conseils supplémentaires.

  1. N'oubliez pas de sensibiliser votre personnel et vos parties prenantes à la cybersécurité. Une équipe formée peut faire beaucoup pour protéger votre petite entreprise.
  2. Consacrez du temps, des efforts et des ressources à la cybersécurité. Cela vous donne immédiatement une longueur d'avance sur les nombreuses petites entreprises qui ne le font pas.
  3. Ne faites pas d'erreurs simples qui peuvent mettre en danger la sécurité des données de votre entreprise. Imposer l'utilisation de mots de passe forts et de VPN pour le Wi-Fi public, en en faisant une politique d'entreprise.
  4. Ne comptez pas sur un logiciel gratuit pour protéger les appareils de l'entreprise. Le prix des options commerciales est insignifiant par rapport au coût de la récupération après une violation.
  5. Adoptez toujours une approche très sceptique pour révéler toute information personnelle en ligne. Assurez-vous que votre personnel fait de même.
  6. Sauvegardez les données de votre entreprise régulièrement et régulièrement. La possibilité de restaurer à partir d'une sauvegarde peut vous aider à récupérer plus rapidement de toute violation. Vous trouverez ici un guide pour la sauvegarde des petites entreprises.
  7. Prenez le temps d'identifier vos lacunes actuelles en matière de cybersécurité et de préparer un plan pour les corriger. Si vous n'avez pas les connaissances nécessaires pour mettre en œuvre ce qui est requis, payez un consultant de confiance pour le faire pour vous.
Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me