Tle blog suivant est partagé par un membre du DWEN dans le cadre de nos Voix des Membres programme, lequel est écrit par membres pour membres.

Risques et garanties en matière de sécurité des données pour les petites entreprises

Par Tosin Ojo, Fondateur et Consultant Principal chez CITSAP Consulting

Les données sont au cœur de toute entreprise, ce qui en fait un actif essentiel d’une organisation et une cible privilégiée pour les pirates informatiques et les mauvais acteurs. L’importance des données dans la création de valeur commerciale ne peut être sous-estimée. De même, leur protection doit également être une priorité adéquate, quelle que soit la taille de l’entreprise. Cependant, la plupart des petites entreprises considèrent que leur niveau de menace est relativement faible par rapport aux grandes organisations.

Selon des rapports récents, cette école de pensée ne résiste pas à la réalité. Des chiffres récents montrent que les petites entreprises sont particulièrement vulnérables aux violations de données. Selon le rapport d'enquête sur les violations de données (DBIR) 2019 de Verizon1, environ 431 TP3T de violations de données ciblent les petites et moyennes entreprises (PME) ; tandis qu'un autre rapport notait que 60%2 des PME victimes de violations de données finissent par mettre la clé sous la porte et fermer leurs portes dans les six prochains mois.

Le recours croissant au cloud computing et la prolifération des activités de commerce électronique donnent aux PME, tout comme aux grandes organisations, un accès accru aux données sensibles des clients ou aux données personnelles telles que les cartes de crédit, les numéros de sécurité sociale, les adresses e-mail et les adresses IP.

Certains des risques qui peuvent se matérialiser en raison de mesures de sécurité des données inadéquates sont :

  1. Le risque de réputation: La conséquence immédiate d'une violation de données est une mauvaise publicité/presse, entraînant une perte de crédibilité auprès des clients et des investisseurs potentiels. Souvent, les clients perdent confiance dans la capacité de l’entreprise à protéger leurs données sensibles et recherchent d’autres entreprises dotées de garanties plus strictes pour fournir un service identique ou similaire.
  2. Risque financier: Le manque de protection des données peut entraîner des pertes financières pour l'organisation. Les coûts élevés des violations de données sont généralement liés aux mesures que les entreprises doivent prendre après une violation de données, telles que le coût de l'enquête, la mise en œuvre de contrôles de sécurité, les amendes légales ou réglementaires, etc.
  3. Risque réglementaire ou juridique: Les amendes réglementaires pourraient également être le résultat d'une violation des réglementations sur la protection des données. Les clients peuvent intenter une action en justice contre l'organisation en cas de violation de leurs données. Les amendes réglementaires ou juridiques pourraient être plus élevées lorsque les organisations ne peuvent pas démontrer qu'elles ont fait preuve de diligence raisonnable pour protéger de manière adéquate les données personnelles ou sensibles des clients.
  4. Risque opérationnel: Un autre impact majeur d'une violation de données est le temps d'arrêt potentiel auquel l'organisation peut être confrontée à la suite de l'événement. Selon la nature de l'événement, l'entreprise peut être amenée à arrêter ses opérations, y compris les principaux systèmes ou sites Web générateurs de revenus, tout en enquêtant et/ou en limitant les dommages causés par la violation ou les interruptions d'activité imprévues ; conduisant en outre à une insatisfaction accrue des clients et à une perte potentielle de revenus.
  5. Client ou risque client: Les pirates peuvent utiliser les données clients violées pour commettre des fraudes ou des escroqueries, augmentant encore la responsabilité des PME.

Pour les petites entreprises souvent confrontées à des contraintes de ressources, il est important d’identifier et de mettre en œuvre des mesures permettant de réduire efficacement les risques à un niveau acceptable. Vous trouverez ci-dessous 10 mesures essentielles que les PME peuvent mettre en œuvre pour se protéger contre les risques liés à la sécurité des données.

  1. Prioriser la formation et la sensibilisation du personnel

Les employés constituent essentiellement un pare-feu humain et la première ligne de défense de l'organisation. Les entreprises devraient proposer à leur personnel une formation obligatoire de sensibilisation à la sécurité au moins une fois par an, afin de les informer sur les risques de sécurité, tels que le phishing et les ransomwares.

  1. Maintenir un inventaire des systèmes et des données

Les entreprises doivent faire un inventaire périodique de leur environnement et maintenir un inventaire des systèmes et données critiques pour comprendre où résident les données les plus sensibles et les protections à mettre en œuvre.

  1. Sauvegarder les données sensibles

La cible principale des cybercriminels sont les données sensibles de votre entreprise, notamment les informations personnelles identifiables (PII), les secrets commerciaux, les données financières et autres informations confidentielles. La mise en œuvre de procédures strictes de contrôle d’accès, de cryptage et d’élimination sécurisée des données peut contribuer à protéger vos données sensibles.

  1. Utiliser l'authentification multifacteur (MFA)

MFA fournit une couche de sécurité supplémentaire, nécessitant un ou plusieurs moyens de vérifier l'identité d'un individu, par exemple un mot de passe à usage unique, autre qu'un nom d'utilisateur et un mot de passe.

  1. Implémenter des solutions de pare-feu et d'antivirus

Les entreprises doivent protéger leur réseau à l'aide d'un pare-feu et un logiciel antivirus doit être mis en œuvre sur tous les appareils de l'entreprise pour se protéger contre les logiciels malveillants, les ransomwares et les menaces associées.

  1. Maintenir les correctifs système à jour

Les entreprises doivent s'assurer qu'elles sont à jour sur les correctifs requis afin de réduire le risque que leurs systèmes soient sensibles aux cybermenaces.

  1. Examiner les contrôles de sécurité tiers

Les entreprises qui s'appuient sur des fournisseurs tiers pour les aspects critiques de leurs opérations doivent s'assurer que des procédures sont en place pour valider périodiquement l'adéquation des contrôles de sécurité des fournisseurs, car une faille de sécurité dans les systèmes du fournisseur peut avoir un impact en cascade sur votre entreprise.

  1. Assurer des évaluations périodiques de la vulnérabilité

Effectuez ou engagez un fournisseur de services de gestion pour analyser périodiquement vos systèmes, sites Web, etc. afin d'identifier et de corriger en temps opportun les vulnérabilités qui pourraient être exploitées par des pirates informatiques pour obtenir un accès non autorisé à vos systèmes.

  1. Avoir un plan de réponse aux incidents

Un plan de réponse aux incidents documenté et testé décrit les étapes nécessaires à exécuter en cas d'incident de sécurité tel qu'une violation de données.

  1. Effectuer des sauvegardes périodiques et une planification de reprise après sinistre

La sauvegarde périodique des systèmes et des données critiques peut éviter une interruption prolongée de l'activité en cas de perte de données due à une faille de sécurité, une suppression accidentelle ou une catastrophe naturelle. Un plan de reprise après sinistre aiderait l'entreprise à remettre ses systèmes en ligne à l'aide des sauvegardes disponibles et d'autres composants système après une interruption majeure de l'activité.

Bien que les garanties fournies ci-dessus ne constituent pas une liste exhaustive, elles fournissent une base de garanties en matière de sécurité des données. Il est également important de noter que s’il existe des lois ou réglementations spécifiques dans votre secteur ou juridiction concernant la sécurité des données, vous devez vous tenir au courant et mettre en œuvre toutes les exigences applicables.

Les références:

1 https://www.verizon.com/business/resources/articles/small-business-cyber-security-and-data-breaches/ 

2 4 principales raisons pour lesquelles les PME et PME échouent après une cyberattaque majeure | OSC en ligne


Regarder la suite - Éviter le marketing des « objets brillants »

Lire la suite - Conseils d'initiés pour clouer le terrain

À propos de Tosin Ojo, CISSP, CRISC, CISA, CISM, CIA, CFE, MSc. – Fondateur et Consultant Principal chez CITSAP Consulting

Tosin Ojo est une professionnelle accomplie de la gestion des risques technologiques/cybersécurité, de l'assurance et du conseil avec 20 ans d'expérience dans divers secteurs, notamment les services financiers, les industries de l'énergie, du pétrole et du gaz, etc. Tosin travaille actuellement en tant que consultante principale dans son cabinet, CITSAP Consulting. , où elle conseille ses clients sur la gestion des risques de cybersécurité et fournit un soutien technique dans la conception et la mise en œuvre de programmes de conformité basés sur les risques. Tosin était auparavant vice-président de la gestion des risques et des contrôles technologiques chez AIG, une société de services financiers Fortune 100, et a géré des programmes d'audit et de conformité informatiques dans plusieurs autres sociétés, notamment Siemens, Dresser-rand, Tokio Marine HCC et PwC. Tosin est titulaire d'une maîtrise ès sciences en cybersécurité de l'Université de Houston et détient actuellement plusieurs certifications reconnues par l'industrie. Vous pouvez la suivre LinkedIn.

À propos des voix des membres de DWEN

Les membres du DWEN sont invités à partager leur expertise, leurs expériences, leurs techniques de résolution de problèmes durement acquises ou leurs leçons apprises. Nous apprécions vos soumissions de présentations ou d'articles soignés et prêts à être publiés pour publication sur DWEN.com et dans les newsletters, ou utilisés dans une webdiffusion en direct des membres. Apporter votre propre expertise est un excellent moyen d’inspirer d’autres fondateurs, d’établir des liens plus profonds et de renforcer votre propre marque. Ayez votre impact sur la communauté DWEN en soumettre à Member Voices. 


Français
English Português do Brasil 日本語 Deutsch Français

Signaler

Bloquer un membre ?

Veuillez confirmer que vous souhaitez bloquer ce membre.

Vous ne pourrez plus :

  • Voir les messages des membres bloqués
  • Mentionner ce membre dans les publications
  • Inviter ce membre à des groupes
  • Envoyez un message à ce membre
  • Ajouter ce membre en tant que connexion

Veuillez noter: Cette action supprimera également ce membre de vos connexions et enverra un rapport à l'administrateur du site. Veuillez patienter quelques minutes pour que ce processus se termine.

Signaler

Vous l'avez déjà signalé .