Imaginez ceci : c'est la saison des impôts et votre directeur des ressources humaines reçoit un e-mail de quelqu'un qui se fait passer pour vous : le PDG. Le directeur des ressources humaines pense que l'e-mail est légitime et se conforme à la demande d'envoi de copies de tous les W2 de vos employés. Quelques jours plus tard, l'expéditeur de l'e-mail - qui est en fait un pirate informatique qualifié - utilise ces W2 pour déposer un lot de fausses déclarations de revenus .
Des cyberattaques comme celle-ci se produisent tous les jours. Et si vous dirigez une petite ou moyenne entreprise, vous êtes la cible directe d'une attaque. Les petites et moyennes entreprises sont victimes de la grande majorité des violations de données car elles ont tendance à :
- Manque de mesures de sécurité suffisantes et de personnel formé
- Détenir des données précieuses pour les pirates informatiques (par exemple, numéros de carte de crédit, informations de santé protégées)
- Négligence d'utiliser une source hors site ou un service tiers pour sauvegarder leurs fichiers ou données, les rendant vulnérables aux ransomwares
- Connectez-vous à la chaîne d'approvisionnement d'une grande entreprise et peut être utilisé pour percer
Notre plus récent rapport - une collaboration de recherche avec Cisco et le Centre national du marché intermédiaire - est basé sur les données de 1 377 PDG de petites et moyennes entreprises qui racontent une histoire similaire. Soixante-deux pour cent de nos répondants ont déclaré que leur entreprise n'avait pas de stratégie de cybersécurité à jour ou active, voire aucune stratégie. Et c'est un problème majeur, étant donné que le coût d'une cyberattaque peut être suffisamment élevé pour mettre une entreprise en faillite ; selon la National Cyber Security Alliance, 60 % des petites et moyennes entreprises piratées font faillite dans les six mois.
Si vous faites partie de ces PDG, il est temps de faire un changement. Suivez ces quatre étapes pour commencer à élaborer une stratégie de cybersécurité qui empêche les pirates informatiques d'entrer dans votre entreprise.
1. Déterminez l'état actuel de la cybersécurité de votre entreprise.
Réunissez des membres de votre équipe de direction, du conseil d'administration et des investisseurs pour effectuer un audit informel de l'entreprise. Ayez une idée du niveau de sécurité dont vous disposez aujourd'hui.
Questions a poser: Quelqu'un est-il en charge de notre cybersécurité ? Quelles défenses avons-nous déjà en place ? Notre stratégie est-elle globale et coordonnée ? Sinon, pouvons-nous identifier nos points faibles ?
2. Identifiez la personne clé responsable de votre cybersécurité.
Impliquez les dirigeants de toute l'organisation, et pas seulement ceux de l'informatique. Incluez des personnes de différents domaines fonctionnels, tels que les relations humaines, le marketing, les opérations et les finances. Les autres acteurs essentiels à cette conversation sont votre avocat et votre comptable/auditeur.
Questions a poser: Qui devrait être responsable de notre cybersécurité? Quel processus pouvons-nous mettre en œuvre pour assurer la responsabilité? Comment communiquer et sensibiliser à la cybersécurité dans nos différents services et équipes ?
3. Faites l'inventaire de vos actifs, déterminez leur valeur et hiérarchisez vos actifs les plus critiques.
Identifiez les « joyaux » de votre entreprise, qu'il s'agisse des dossiers des employés, de la propriété intellectuelle ou des données des clients. Reconnaissez que vous ne serez jamais à 100 % à l'abri d'une attaque, il est donc important de prioriser les zones de défense.
Questions a poser: Quels sont les actifs les plus importants que nous devons protéger? Données client? Propriété intellectuelle? Dossiers des employés ? Pouvons-nous mesurer le degré de confidentialité, d'intégrité, de disponibilité et de sécurité de nos actifs les plus critiques ?
4. Décidez des capacités commerciales et des mesures de cybersécurité que vous souhaitez gérer vous-même par rapport à l'externalisation.
Déterminez s'il est judicieux d'externaliser certains aspects de votre entreprise vers un système basé sur le cloud pour augmenter votre sécurité. Dans le même temps, déterminez s'il est judicieux de faire appel à un expert ou à un fournisseur de cybersécurité. Décidez si vous souhaitez travailler avec un consultant pour élaborer votre plan de cybersécurité ou si vous souhaitez externaliser entièrement votre cybersécurité.
Questions a poser: Quels aspects de notre entreprise, tels que l'exécution des commandes, devons-nous gérer en interne plutôt que sous-traiter à un tiers (par exemple, Amazon, Cisco, Google) ? Doit-on sous-traiter notre cybersécurité à un service tiers ? Devrions-nous utiliser un modèle CIO fractionnaire et rechercher un conseil en cybersécurité ? Ou devrions-nous gérer l'ensemble du processus nous-mêmes ?
quel âge a Mike Fisher
La meilleure défense est une bonne attaque. Faites de la protection de vos données une priorité pour le bénéfice de vos employés, de vos clients et de la santé à long terme de votre entreprise.
