5 questions à se poser pour évaluer son niveau de maîtrise de la cybersécurité

Bonne nouvelle : être la proie d’un pirate informatique n’est pas inévitable, votre entreprise peut y échapper. Commencez à évaluer, puis à renforcer les faiblesses à votre cybersécurité grâce à ces cinq questions clés sur l’état de préparation.

Question 1 : Mon personnel est-il prêt à réagir?

La réalité est que le personnel est souvent la voie la plus facile pour percer les systèmes sécurisés. En effet, un rapport de Barracuda Networks de 2021 a montré que « un employé d’une petite entreprise de moins de 100 salariés subira 350 % plus d’attaques d’ingénierie sociale qu’un employé d’une grande entreprise. » De plus, les dirigeants ne sont pas immunisés, car les « comptes des PDG et des directeurs financiers ont deux fois plus de chances d’être piratés que ceux du personnel en général. »

À quand remonte la dernière formation sur la cybersécurité pour votre personnel? Les principales catégories qu’ils sont susceptibles de rencontrer ont-elles été abordées? L’association des petites entreprises précise qu’une formation complète devrait comprendre :

• Repérer les courriels d’hameçonnage

• Utiliser les bonnes pratiques de navigation sur Internet

• Éviter les téléchargements suspects

• Activer les outils d’authentification (par exemple, mots de passe complexes, authentification à plusieurs facteurs, etc.)

• Protéger les informations confidentielles des fournisseurs et des clients

Êtes-vous convaincu que vos équipes pourront exceller dans chaque domaine?

Question 2 : Les solutions de vos fournisseurs sont-elles conformes aux normes de sécurité du secteur?

Aujourd’hui, la plupart des entreprises ont externalisé les logiciels et autres ressources auprès de fournisseurs de services en ligne, pour des raisons d’efficacité, de rentabilité et d’assurance permanente, ce qui est de plus en plus indispensable dans un monde où le travail est hybride et à distance.

Chaque technologie intégrée à votre environnement de TI doit être conforme aux normes de sécurité. Commencez par demander aux fournisseurs quelles sont leurs mesures de base en matière de cybersécurité – en particulier, comment ils s’adaptent à un environnement de menaces rapide et dynamique. Triangulez leurs réponses en lisant les commentaires d’organismes tiers réputés dans le domaine de la cybersécurité; ceux-ci peuvent offrir une perspective précise sur les forces et les faiblesses de ces l’entreprise.

Question 3 : Effectuez-vous régulièrement des analyses de vulnérabilité et des tests de pénétration?

Dans tous les secteurs d’activités, les entreprises effectuent régulièrement des simulations, soit pour préparer le personnel à agir dans une situation violente dans le lieu de travail, soit pour savoir quoi faire en cas de désastre naturel. Toutefois, ce qui est vital pour chaque entreprise, ce sont les tests de pénétration, une forme d’évaluation qui détermine s’il est facile ou non pour les pirates d’atteindre les systèmes de l’entreprise.

Quand avez-vous effectué un test de pénétration pour la dernière fois? Effectuez-vous minutieusement des mises à jour régulières de toutes les solutions logicielles et intégrez-vous les correctifs de sécurité contre les nouvelles vulnérabilités?

Question 4 : Savez-vous quelle est la valeur de vos données – et votre protection est-elle à la hauteur de cette valeur?

Toutes les données n’ont pas la même valeur. Elles peuvent toutes avoir une valeur pour l’entreprise, mais pour un pirate elles ne sont peut-être pas aussi précieuses. Il est souvent utile d’évaluer exactement le type de données sur lesquelles votre entreprise s’appuie. Pensez à :

• Ce qui est unique à votre entreprise : Votre propriété intellectuelle et d’autres données essentielles vous sont très précieuses et donc, proportionnellement plus précieuses pour un cybercriminel

• Risque à votre réputation : Perdre les renseignements personnels et identifiables d’un client, comme l’adresse de domicile ou le numéro d’assurance sociale, est terrible. Mais perdre d’autres types de renseignements personnels comme des dossiers médicaux confidentiels, peut vraiment ternir la réputation d’une entreprise aux yeux des clients et du public.

• Actionable : certaines données peuvent être soumises à des pénalités (légales ou contractuelles) selon les types de clients et la réglementation

Avez-vous passé en revue et ordonné les données dont dépend votre entreprise et avez-vous anticipé les conséquences si vous ne pouviez plus y accéder ou si celles-ci étaient rendues publiques? C’est une évaluation qui en vaut la peine.

Question 5 : Savez-vous ce qu’il faut faire en cas de problème?

L’aphorisme « Espère le meilleur, mais prépare-toi au pire » n’est pas sans fondement : il s’agit d’une pratique intelligente. Évidemment personne ne souhaite que des problèmes surgissent au sein de son entreprise. Naturellement, on pense parfois être trop petit pour être la cible d’une activité malicieuse. Malheureusement, les statistiques ne sont pas aussi optimistes : vous êtes une cible.

Demandez plutôt à votre équipe et à vous-même de réfléchir à votre niveau de préparation en cas de cybercriminalité réussie. Quel est votre plan d’intervention en cas d’incident? Ce plan est-il résistant? Et à quelle fréquence le réévaluez-vous par rapport aux nouvelles menaces émergentes? Un service géré peut vous décharger d’une partie de ce travail considérable, mais il est toujours utile de savoir où vous en êtes en termes de préparation pour le cas où le pire se produirait.

Il n’est jamais trop tard pour se préparer à faire face aux cybermenaces qui font partie intégrante de l’activité commerciale – quelle qu’elle soit – dans le monde d’aujourd’hui. Avec ces questions pour vous guider, vous pouvez commencer à vous préparer dès maintenant à être prêt.

Témoignages des clients