Comment protéger votre petite entreprise contre la violation de données

La cybersécurité est devenue un problème qui touche les entreprises de toutes tailles dans de nombreux secteurs dans le paysage actuel des cybermenaces.

Alors qu'il y a dix ans, les pirates ciblaient les grands détaillants et les organisations comme Target ou Yahoo! Dans l'espoir de capturer de grandes quantités de données vendables avec une seule faille de réseau, ils ciblent aujourd'hui souvent les petits détaillants et les fournisseurs de services.

Le coût global d'une seule violation de données s'élevait en moyenne à plus de 4 millions de dollars en 2018, et ces coûts devraient continuer à augmenter.

Les petits détaillants et les franchises telles que les stations-service, les restaurants et les hôtels continuent d'être victimes de violations de données en nombre croissant, ce qui indique qu'aucune entreprise n'est trop petite pour être une cible.

Dans cet article, nous expliquerons comment et pourquoi les violations de données se produisent dans les petites entreprises, puis nous expliquerons neuf meilleures pratiques qu'elles peuvent suivre pour éviter d'être piratée.

Image | Pixabay

Qu'est-ce qu'une violation de données ?

Une violation de données est toute divulgation non autorisée de données privées ou précieuses .

La violation de données classique dont nous entendons souvent parler dans les actualités est une attaque de réseau.

Des pirates extérieurs , parfois assis en toute sécurité à l'autre bout du monde, accèdent au réseau d'une entreprise et se transfèrent des données volées sur Internet. Les pirates peuvent également désactiver les systèmes informatiques d'une entreprise par dépit.

Les violations de données se produisent parfois lorsque des initiés volent des données et les publient également.

Les acteurs les plus courants ?

Un employé mécontent ou récemment licencié, ou un sous-traitant tiers qui a accepté un pot-de-vin ou qui n'a pas mis en place de bonnes mesures de sécurité et qui est devenu un point d'entrée pour un criminel extérieur pour voler les données de l'entreprise.

La troisième façon dont une violation de données se produit est par inadvertance . Parfois, le personnel informatique ou d'autres employés laissent des données exposées au public sur Internet.

Un autre exemple est lorsque les employés oublient un ordinateur portable de l'entreprise dans un lieu public ou lorsqu'il est volé.

Ces violations se produisent en raison de l'inattention et de mauvaises politiques de sécurité .

Comment les violations de données se produisent-elles ?

La question qui se pose à tout professionnel de la cybersécurité est « Comment une violation de données peut-elle se produire ? »

C'est une question difficile car elle a beaucoup de réponses, et il est difficile de toutes les deviner à l'avance.

Les violations de données se produisent souvent parce que les politiques de sécurité et le personnel ne voient pas comment les criminels pourraient violer leur sécurité.

Cela dit, il existe plusieurs façons courantes pour les pirates de s'introduire dans les réseaux privés d'entreprise (ou personnels) :

• Hameçonnage par e -mail : C'est la façon la plus courante dont les réseaux d'entreprise subissent une violation. L'objectif principal des e-mails de phishing est de voler avec succès les informations d'identification des employés ou de les inciter à télécharger des logiciels malveillants sur leurs ordinateurs de travail. Les pirates informatiques font croire aux employés qu'un faux e-mail est une communication commerciale légitime ou un e-mail de fournisseurs. Il y a toujours une petite chance qu'un employé soit la proie de cette attaque, alors les pirates envoient un barrage constant d'e-mails de phishing à leurs cibles en attendant que cela se produise. Un simple clic suffit généralement pour y accéder.

Image | Pixabay

• Exploits zero-day : Un exploit zero-day est une faille logicielle qui n'a pas été découverte par son créateur. "Zero-day" signifie que le jour où ils commencent à corriger le bogue n'est pas encore venu.
  Tant qu'un exploit n'est connu que des pirates, ils peuvent continuer à l'utiliser pour s'introduire dans les réseaux informatiques sans être détectés.
• Téléchargements automatiques : les sites Web chargent de nombreux scripts qui s'exécutent en arrière-plan, principalement pour diffuser des annonces dans les navigateurs Web. Lorsqu'un script malveillant est injecté dans des réseaux de placement d'annonces, il peut utiliser des exploits pour installer des logiciels malveillants sur l'ordinateur à l'insu d'un employé.
• Attaques d'ingénierie sociale : L'ingénierie sociale est un terme fantaisiste pour désigner l'escroquerie. Ces attaques peuvent impliquer l'usurpation d'identité d'employés de l'entreprise, d'enquêteurs de police ou de clients lors d'appels téléphoniques.
  Ils peuvent également impliquer le vol des badges des employés et leur utilisation pour accéder au lieu de travail.

Les conséquences d'une violation de données

Une violation de données exposera une entreprise à de nombreux coûts - financiers, tangibles et intangibles.

Les coûts financiers immédiats peuvent prendre la forme de poursuites, d'amendes et de pénalités contractuelles si une enquête révèle qu'un manquement à la sécurité est à l'origine de la violation.

Les clients sont susceptibles de déposer des recours collectifs, et la marque d'une entreprise souffrira pendant des années après une violation très médiatisée.

Les entreprises qui traitent les transactions par carte de crédit pour leurs clients sont exposées à la fois à des amendes réglementaires et à des pénalités contractuelles avec les fournisseurs de cartes de crédit lorsque les données de paiement des clients sont volées.

Les banques qui perdent de l'argent à cause de la fraude financière ultérieure peuvent poursuivre l'entreprise en infraction pour responsabilité.

Les entreprises impliquées dans les secteurs de la finance et de la santé sont également soumises à des exigences réglementaires strictes pour garantir la confidentialité des dossiers des clients et des patients et des informations financières.

Le fait de ne pas les garder en sécurité entraînera des pénalités qui peuvent paralyser ou mettre en faillite les petites entreprises lorsqu'elles sont combinées à d'autres coûts susceptibles d'être encourus après une violation de données.

Une violation de données peut endommager suffisamment la marque et les finances d'une entreprise pour mettre les petites entreprises à la faillite, mais les conséquences peuvent être désastreuses lorsqu'elles arrivent aux gouvernements locaux et étatiques.

La perturbation causée à leurs systèmes informatiques peut empêcher les agences gouvernementales de fournir des services essentiels à la communauté , comme ce fut le cas lorsque la ville d'Atlanta a été touchée par une attaque de ransomware.

Façons d'éviter une violation de données

La cybersécurité est difficile à mettre en œuvre pour les petites entreprises qui ne peuvent pas se permettre d'ajouter des professionnels de la sécurité dédiés à leur personnel informatique.

Il existe plusieurs règles empiriques qui peuvent rendre votre entreprise plus sûre contre les violations de données , qu'elles résultent d'une fraude interne ou de pirates informatiques externes.

Image | Pixabay

1. Embaucher des consultants en sécurité externes : Si votre entreprise n'a pas de plan de sécurité, la première étape consiste à faire appel à des consultants pour vous aider à en créer un. Cette option est moins coûteuse que l'embauche de personnel permanent, et vous obtiendrez une évaluation de sécurité approfondie et des recommandations à suivre.
2. Protégez toutes les données : les violations de données ne sont pas seulement des piratages de réseau. Vous devez également évaluer la sécurité physique de vos données. Les criminels peuvent-ils infiltrer votre entreprise ? Les employés peuvent-ils accéder à des dossiers sensibles, papier ou électroniques, et les voler ? Si vous trouvez des données non sécurisées sous quelque forme que ce soit, trouvez des moyens d'en restreindre l'accès.
3. Stockez uniquement les données dont vous avez besoin : Une façon de minimiser les dommages d'une violation de données est de ne pas avoir les données des clients et des employés à portée de main quand cela se produit. Une bonne politique consiste à ne stocker que les données nécessaires et à les supprimer une fois qu'elles ont atteint leur objectif. Un exemple est de ne pas stocker les détails de la transaction client après avoir effectué un achat.
4. Former les employés aux tactiques de piratage courantes : le point le plus faible de la sécurité du réseau, ce sont vos employés.
   La plupart des violations de données commencent par un employé victime d'une tentative de phishing par e-mail en cliquant sur un lien qui installe un logiciel malveillant ou en donnant les informations d'identification de son compte. Lorsque vous avez une main-d'œuvre compétente en matière de sécurité, il sera plus difficile pour les pirates de réussir.
5. Maintenez votre logiciel à jour : La deuxième façon la plus courante pour les pirates de pénétrer dans les réseaux privés consiste à exploiter une faiblesse logicielle pour y accéder. Les éditeurs de logiciels publient fréquemment des correctifs de sécurité et, la plupart du temps, vous pouvez configurer votre logiciel pour qu'il soit mis à jour automatiquement sur Internet.
6. Restreindre l'utilisation des périphériques de stockage portables : les clés USB sont des outils pratiques permettant aux pirates d'infecter les ordinateurs d'un réseau privé. Parfois, ils se feront passer pour des employés ou des sous-traitants pour accéder à votre lieu de travail et infecteront les ordinateurs avec des logiciels malveillants en branchant une clé USB.
   Ils peuvent même les laisser tomber sur le sol en sachant que quelqu'un les branchera sur un ordinateur pour vérifier leur contenu.
7. Protégez les sites Web et les réseaux avec un service de sécurité : Les services de sécurité aident les entreprises à défendre leurs sites Web et leurs réseaux contre les violations. Ils surveillent constamment leurs réseaux pour détecter toute activité suspecte et déclenchent immédiatement des alertes rouges. La plupart des violations prennent des semaines ou des mois à s'exécuter, donc une détection rapide des intrus est essentielle pour arrêter les violations du réseau dans leur élan.
8. Crypter tous les transferts de données : Il existe aujourd'hui un cryptage fort qui empêche quiconque d'accéder aux données sans clés spéciales pour les décoder. Si vous mettez en œuvre une politique de chiffrement robuste, les pirates ne pourront pas utiliser les données qu'ils volent lors d'une violation de données.
9. Contrôlez les droits d'administrateur : les pirates doivent obtenir des privilèges d'administrateur complets une fois qu'ils ont accès à votre réseau pour voler vos données. Vous pouvez empêcher une éventuelle violation de données en prenant au sérieux la sécurité de vos comptes d'administrateur réseau. Limitez le nombre de comptes administrateur, donnez-leur uniquement les privilèges dont ils ont besoin et utilisez des mots de passe forts pour les protéger.

Dernières pensées

La fréquence des violations de données et le coût élevé de devenir une victime rendent impératif que chaque entreprise crée un plan de sécurité solide et y adhère .

Bien qu'il n'y ait aucun moyen d'éviter une violation de données, vous pouvez minimiser les dommages causés par celle-ci avec une préparation appropriée.

En consultant des entreprises de cybersécurité et en suivant un ensemble de politiques de sécurité pratiques , les petites entreprises peuvent assurer la sécurité de leurs données. Ces politiques de sécurité incluent la mise à jour des logiciels, la garantie que les réseaux sont correctement configurés pour empêcher tout accès non autorisé.

N'oubliez jamais que votre sécurité est aussi solide que votre maillon le plus faible et assurez-vous d'inclure la formation des employés sur la cybersécurité dans le cadre de votre stratégie.

Lorsque vos employés savent comment éviter les e-mails suspects et connaissent les bonnes pratiques pour protéger leurs ordinateurs portables professionnels lorsqu'ils sont à découvert, vous réduisez le risque d'en être victime.

Un plan de sécurité solide et la volonté de le mettre en œuvre sont la clé pour sécuriser les entreprises, grandes ou petites.