Les PME demeurent les entreprises les plus touchées par la cybercriminalité. Voici ce que vous pouvez faire...
On comprend aisément l’intérêt de se préparer aux situations d’urgence mais en matière de cybersécurité, il s’agit toujours d’un défi majeur pour de nombreuses PME. Comme celles-ci manquent souvent de temps, de budget et de ressources pour se défendre de façon proactive, elles remplissent toutes les conditions pour une cyberattaque. Selon une étude de Verizon (Rapport d’enquêtes sur les violations de données 2019), les PME sont les premières victimes des failles de sécurité.
80 % des PME ont récemment déclaré que la sécurité informatique faisait partie de leurs priorités absolues, mais près du tiers dépensent moins de 1 000 dollars (environ 910 euros) par an en cybersécurité. En juillet, une autre enquête a révélé que près de la moitié des PME n’avait pas de plan d’intervention en cas d’incident de cybersécurité et que 43 % ne disposaient pas de plan de redressement.
Si vous êtes une PME ou une entreprise sans ressources informatiques dédiées, ces statistiques pourraient constituer la sonnette d’alarme dont vous avez besoin.
Le fait est que les réseaux des PME sont exposés chaque jour. Un employé peut accéder à des fichiers depuis un emplacement non sécurisé. Un partenaire ou un fournisseur peut lancer un malware en cliquant par erreur sur un e-mail qui semble provenir d’un membre de son équipe. Une application logicielle obsolète peut présenter une vulnérabilité permettant un accès non autorisé. Il est essentiel de vous protéger de façon proactive en limitant votre périmètre d’attaque, c’est-à-dire tous les éléments de votre environnement informatique où des vulnérabilités et menaces pourraient créer des accès non autorisés.
Passer d’une solution de dépannage à une sécurité proactive
Selon AV-TEST, la variété de programmes malveillants a atteint le nombre record d’au moins 900 millions. De nos jours, l’approche « dépannage » (attendre le dernier moment pour réagir et prendre des mesures de cybersécurité) ne permet pas de suivre le rythme des cyberattaques.
Basée en Caroline du Nord, l’entreprise Computer Geeks a commencé à proposer des services d’informatique et de sécurité en 1995. Aujourd'hui, plus de 40 % de son activité consiste à s’assurer que les PME disposent de mesures de sécurité proactives. Bill Doane, Directeur des services (sur la photo), déclare : « C’est comme si nous étions passés de la lutte contre les incendies à leur prévention. En effet, nous pouvons désormais planifier, fournir et facturer des services de sécurité de manière beaucoup plus efficace. Et nos clients sont bien plus sereins. »
Empêcher les PME de s’exposer aux cyberattaques et les former aux meilleures pratiques de sécurité sont ses principales priorités. Son équipe a également commencé à proposer des cours de cybersécurité gratuits pour aider les nouveaux clients à comprendre pourquoi les antivirus, les correctifs, la gestion des mots de passe et autres services de sécurité créent une meilleure défense. « Certaines PME pensent être protégées par une solution antivirus gratuite ou pensent que les clés USB vont toujours protéger leurs données. Ce n’est pas le cas. Les PME doivent mettre en place un niveau de protection plus élevé », explique-t-il. « Notre travail consiste non seulement à les aider à comprendre cela, mais également à leur fournir des solutions adaptées à leur budget. »
Sécurité réactive et risques
Il suffit d'une cyberattaque sur son réseau pour qu’une PME subisse une perte de données sensibles et des frais de récupération élevés. Pire encore, elle peut souffrir d’une interruption de ses activités quotidiennes. En 2018, 40 % des PME ont connu au moins 8 heures d’indisponibilité suite à une violation de la sécurité. La cybercriminalité peut non seulement suspendre vos activités quotidiennes, mais aussi avoir un impact sur la façon dont vous fidélisez et retenez vos clients.
Lorsqu'un incendie s'est déclaré dans l’établissement de l'un de ses clients, Frank Zamarelli a clairement souligné l’importance de la sécurité proactive (photo). Il était préparé car ses clients du Salem Computer Center venaient de passer à une stratégie de sécurité proactive. « Les systèmes de mouture des grains de notre client ont été réduits en cendres. Heureusement, nous les avions configurés avec des services de sauvegarde sur le cloud et nous avons pu restaurer rapidement leurs données et leurs systèmes. Je me souviens qu'ils ont même pu traiter les paies cette semaine-là », confie-t-il. « Lorsque vous pouvez restaurer intégralement l’infrastructure informatique d’une entreprise après un incendie dévastateur, cela en dit beaucoup sur le service proactif. »
Comme Bill, Frank utilise Avast Business CloudCare avec ses nombreux services de sécurité basée sur le cloud, depuis une plateforme unique. « À chaque nouvelle installation de serveur, nous proposons aussi le service de sauvegarde CloudCare. Certains clients pensent être protégés par des disques durs externes, mais ceux-ci ne servent à rien si le bâtiment prend feu, à moins que les sauvegardes ne soient hors site », déclare Frank.
Optimisez votre cybersécurité en quelques mesures
Protégez vos données, vos appareils et vos collaborateurs en prenant des mesures de sécurité solides et rentables à bien des égards : réduction du temps de gestion administratif, élimination des coûts de récupération, continuité de l’activité, meilleur service client et tranquillité d'esprit.
Une approche multi-couches est le meilleur moyen de s’orienter vers une stratégie de sécurité proactive. Grâce aux diverses couches de sécurité telles qu'un antivirus, un pare-feu et d’autres services, votre protection reste solide et continue en cas de compromission d’une des couches.
Voici un exemple de services de sécurité offrant une protection proactive et sur plusieurs couches.
Protection des données
- Filtrage de contenu : pour réglementer l'utilisation du Web par vos collaborateurs.
- Chiffrement des e-mails : avec le chiffrement de bout en bout, seuls l'expéditeur et le destinataire peuvent voir le contenu de l'e-mail et de ses pièces jointes, à l’aide d'une clé de déchiffrement.
- Data loss prevention (DLP) : une solution contre les fuites de données empêche les utilisateurs finaux de partager des données sensibles en dehors de votre réseau en régulant les données qu’ils peuvent transférer.
- Sauvegarde et récupération après sinistre (BDR) : pour restaurer rapidement vos opérations et éviter les temps d'indisponibilité et les coûts de récupération.
Protection des systèmes
- Antivirus : pour réduire le périmètre d’attaque, il est essentiel d’installer et de gérer un antivirus sur tous vos appareils (aussi bien sur les ordinateurs que sur les téléphones).
- Gestion des correctifs : tous les systèmes logiciels comportent des vulnérabilités, mais celles-ci peuvent être résolues en installant des correctifs et en maintenant le logiciel à jour.
- Analyse des vulnérabilités : à effectuer régulièrement de façon automatique en incluant le statut du logiciel antivirus, les stratégies de mot de passe et les mises à jour logicielles.
- Durcissement du serveur Web : souvent situés à la périphérie de votre réseau, les serveurs Web peuvent être plus vulnérables aux attaques. En les durcissant de façon appropriée, les configurations par défaut sont modifiées et certains services et affichages sont désactivés.
Protection des collaborateurs
- Authentification de sécurité : définir des stratégies de mot de passe et utiliser une authentification unique et à plusieurs facteurs constituent un bon point de départ.
- Télétravail sécurisé : les collaborateurs travaillant à distance doivent utiliser une connexion VPN sur votre réseau afin de chiffrer tout le trafic et d’avoir un accès sécurisé aux données et aux applications de l'entreprise.
- Processus et politiques de sécurité : déterminez quelles données doivent être protégées et quels processus suivre. Faites en sorte que ces informations soient disponibles afin que chacun comprenne son rôle dans la protection de l'entreprise.
- Formation en sécurité : vous devez absolument former vos collaborateurs sur les façons de se protéger, aussi bien eux-mêmes que l’entreprise. Il faut qu'ils sachent par exemple comment créer des mots de passe forts, ou qu'ils apprennent à reconnaître une arnaque par phishing.
Vous souhaitez en savoir plus sur la sécurité proactive ? Notre équipe Avast Business est là pour vous aider. Contactez notre équipe et réalisez l’intérêt d'une sécurité proactive.