Inspection des mesures de sécurité en entreprise

Les avantages de Cyber Essentials

En tant que petite et moyenne entreprise (PME), vous avez beaucoup de choses à penser en gérant vos activités. La cybersécurité ne fait certainement pas partie de vos priorités. Beaucoup de PME pensent qu’en raison de leur taille, elles ne courent pas le risque d’être victimes d’une cyberattaque. Il n’y a rien de plus faux. En fait, saviez-vous que les PME sont les plus exposées aux attaques? Plus de 60 % des PME ont été la cible d’attaques en 2015.

Selon la firme américaine Cybersecurity Ventures, les coûts annuels liés à cybercriminalité devraient passer de 3 000 milliards de dollars en 2015 à 6 000 milliards de dollars en 2021. Et soyons clairs, la cybercriminalité peut prendre les aspects suivants :

  • Dommage et destruction de données;
  • Vol d’argent;
  • Perte de productivité;
  • Vol de propriété intellectuelle;
  • Fraude;

Et parfois mener à la faillite!

En tant que PME, que vous en soyez ou non conscient, vous êtes exposé aux risques dans la mesure où vous utilisez Internet. Si vous détenez des renseignements sur vos clients (comptes, noms, données), vous êtes exposé aux risques. Si vous détenez des noms d’employés, des comptes bancaires, des numéros de sécurité sociale, vous êtes exposé aux risques.

Avec l’aide des étudiants de l’Université Saint-Thomas, nous avons créé une série de questions d’inspection relative aux mesures de sécurité en entreprise a n de vous aider à évaluer les mesures que votre société a mises en œuvre en matière de cybersécurité. Ces questions vous permettront d’évaluer assez rapidement votre situation et, par conséquent, de déterminer quelles sont vos lacunes a n d’intervenir. À l’instar d’un contrôle technique, cette inspection vous aide à préparer votre entreprise contre le tra c imprévisible et dangereux de l’autoroute de l’information! (Vous n’avez certainement pas entendu cette expression depuis un certain temps!)

Commençons!

Saviez-vous
que la Loi sur la protection des renseignements personnels au Canada a changé et imposera bientôt à toutes les entreprises de signaler les infractions? Serez-vous prêt à montrer comment vous protégez les données de vos clients et de vos employés?

Inspection de sécurité no 1 - Sensibilisation et formation

Nos employés sont nos principales forces! Sans eux, nous ne pourrions pas faire fonctionner ni exploiter notre entreprise. Ce sont bien nos principales forces, mais avons-nous investi le temps et les ressources pour les préparer adéquatement à protéger l’entreprise? La première défense pour protéger votre entreprise est de préparer vos employés. Il suffit d’un courriel contenant un lien malveillant ou une tentative convaincante d’hameçonnage pour coûter à votre entreprise des montants faramineux ou, pire encore, de mettre définitivement fin à votre activité.

Avant de commencer, sur une échelle de 1 à 10, comment évalueriez-vous l’importance de la cybersécurité pour votre entreprise? En d’autres termes, y avez-vous déjà pensé?

  • Pas du tout important
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • Priorité absolue
Sensibilisation

Les scénarios d’hameçonnage encouragent les employés à cliquer sur des liens qui les dirigent directement vers des sites leur demandant d’abandonner ou d’actualiser leurs renseignements personnels ou professionnels, par exemple, en utilisant leur mot de passe. La majorité de ces courriels se présentent comme des courriels d’un centre de dépannage informatique voire comme certains de vos clients, fournisseurs ou partenaires.

Les renseignements de l’entreprise peuvent aussi bien être des renseignements bancaires que de l’information sur la propriété intellectuelle. Ils recouvrent l’ensemble des chiers concernant nos employés, nos stratégies de vente ou des renseignements que nous collectons au sujet de nos clients.

Les données des clients comprennent les renseignements relatifs à leurs cartes de crédit, à leurs dossiers médicaux, ou toute information d’identification telle que leur nom, leur adresse postale ou électronique, les numéros de téléphone, etc.

Les données des partenaires incluent tous les renseignements communs que nous utilisons dans nos chaînes d’approvisionnement, comme les contrats, les bons de commande, les coordonnées bancaires, les bases de données ainsi que tous les services sur lesquels nous collaborons.

Tous ces renseignements qui constituent une mine d’or pour les pirates informatiques et les criminels sont susceptibles d’exposer notre personnel ou nos clients, ou ceux de nos partenaires, à des usurpations d’identité ou à des fraudes.

Procédons à l’inspection :

1. Comment décririez-vous le degré de sensibilisation et de formation de vos employés sur la cybersécurité?

  • Pas du tout formés
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • Très bien formés

2. Dispensez-vous une formation spéciale à vos employés?

3. À quelle fréquence abordez-vous les problèmes de cybersécurité avec votre personnel? (Aide : il peut s’agir d’une formation of cielle ou non, d’une discussion au cours des réunions du personnel, etc.)

Outil de communication puissant pour les entreprises, les réseaux sociaux peuvent toutefois vous mettre en danger. À court terme, il peut être rentable de laisser vos employés utiliser leurs propres appareils comme leurs cellulaires ou leurs ordinateurs portables, mais à long terme, cela pourrait vous coûter cher. Sans formation ni sensibilisation adéquates, vous pouvez mettre en danger toutes les données de votre entreprise à cause des habitudes de vos employés. S’ils ne disposent pas des connaissances nécessaires, ils pourraient involontairement accroître votre risque. En cas d’attaque, l’accès à toutes les données de votre entreprise, de vos clients et de vos partenaires pourrait être récupéré.

4. Avez-vous établi des politiques ou des protocoles pour l’utilisation des réseaux sociaux ou des appareils mobiles au sein de votre organisme?

5. Des protocoles documentés sont-ils en place pour que vos employés signalent des cas de violations?

6. Avez-vous précisé les conséquences pour vos employés en cas de non-respect des protocoles de cybersécurity?

7. Tout aussi important, avez-vous établi des protocoles pour vous assurer que vos anciens employés ne peuvent plus avoir accès à vos systèmes?

Saviez-vous...
qu’en vertu de la législation canadienne, vous et votre personnel êtes tenus de protéger toutes les données personnelles que votre entreprise détient? (peut être un encadré avec des questions)

Êtes-vous au courant que vous devez veiller à ce que votre personnel soit formé et respecte les protocoles visant à protéger les renseignements personnels? Cela suppose de respecter la propriété intellectuelle d’autres entreprises ou personnes en ligne et de s’assurer d’utiliser des dispositifs et des systèmes sécurisés pour avoir accès aux renseignements.

Protection de la chaîne d’approvisionnement

Il existe des cas concrets d’entreprises piratées à cause d’un maillon faible dans leurs systèmes de chaîne d’approvisionnement. Target, le géant américain de la grande distribution, en a fait les frais. Dans son cas, le maillon faible était une petite entreprise de CVC. Non seulement plus de 100 millions de clients de Target ont été exposés donnant lieu à des poursuites et des amendes pouvant atteindre 3 milliards de dollars, mais le point le plus important est que cette entreprise a maintenant fermé ses portes.

FAIT : Environ 70 % des entreprises piratées sont informées de l’attaque par une entité externe. Elles ne la détectent pas elles-mêmes.

Nous devons être dès à présent en mesure de relever les défis de demain.

Procédons à l’inspection :

1. À quelle fréquence communiquez-vous au sujet de la cybersécurité avec vos partenaires ou votre chaîne d’approvisionnement?

2. Connaissez-vous les protocoles qu’ils ont mis en place?

3. Changeons les rôles! Si vous êtes fournisseur d’une grande entreprise, pouvez-vous fournir une assurance ou une attestation prouvant que vous protégez leurs systèmes?

Saviez-vous que beaucoup de grandes sociétés exigent à présent des preuves ou des attestations pour s’assurer que vous prenez des mesures adéquates pour protéger votre entreprise et la leur des dangers d’Internet auxquels vous êtes toutes deux exposées?

4. Quelles sont les conséquences, le cas échéant, si vous découvrez que ces protocoles et procédures ne sont pas respectés?

Merci pour votre avis.

Saviez-vous
qu’une menace peut être présente sur votre réseau pendant 205 jours en moyenne avant d’être détectée? Pensez aux dégâts qui peuvent être commis durant tout ce temps.

Vous souhaitez en savoir davantage sur les stratégies pour protéger votre entreprise, vos données et votre chaîne d’approvisionnement? Consultez le site www.cyberessentialscanada.ca

Vous cherchez plus d'informations sur les mises à jour de certification et de cybersécurité?