Après des années passées dans l’industrie et à observer l’évolution des cyberattaques, nous pensons qu’il y a 13 éléments critiques à tout plan de cybersécurité que nous, en tant que fournisseur de services gérés, devrions mettre en œuvre. Ils sont les suivants :
Authentification à deux facteurs / multifacteurs
L’authentification à deux facteurs est probablement la solution de sécurité la plus mal comprise, mais constitue une partie essentielle et efficace de toute stratégie de cybersécurité.
L’authentification à deux facteurs est comme ça: deux couches de sécurité distinctes. Le premier est un identifiant et un mot de passe typiques avec l’ajout d’un niveau secondaire qui recherche quelque chose que vous connaissez, quelque chose que vous avez ou quelque chose sur votre corps (par exemple, une empreinte digitale).
Voici quelques statistiques à connaître qui décrivent le besoin critique d’authentification à deux facteurs:
- 90% des mots de passe peuvent être craqués en moins de six heures.
- Les deux tiers des personnes utilisent le même mot de passe partout.
- Les cyberattaqueurs sophistiqués ont le pouvoir de tester des milliards de mots de passe chaque seconde.
Cette réalité qui donne à réfléchir est la raison pour laquelle nous exigeons une authentification à deux ou plusieurs facteurs pour tous nos employés et utilisateurs de notre système, et nous vous recommandons fortement de le faire également.
Gestion des mots de passe
La principale raison pour laquelle les gens utilisent le même mot de passe partout est qu’il est impossible de suivre des centaines de noms d’utilisateur et de mots de passe sur divers appareils et systèmes.
Un mot de passe sécurisé est unique et difficile à deviner, il est donc compréhensible que les utilisateurs aient recours au même mot de passe pour chaque site. C’est pourquoi nous avons un programme de gestion des mots de passe intégré à nos procédures. Le programme password manager génère des mots de passe uniques et complexes pour chaque site ou programme, puis les stocke en toute sécurité dans le programme de gestion.
Lorsque l’un de nos employés a besoin d’informations d’identification, il utilise le mot de passe principal pour ouvrir sa base de données de mots de passe et obtenir les informations de connexion dont il a besoin, ce qui facilite la « mémorisation » d’un mot de passe complexe et réduit considérablement le risque de violation.
Évaluation des risques de sécurité
Une évaluation des risques de sécurité consiste à examiner votre technologie et la façon dont vous l’utilisez, puis à mettre en œuvre des améliorations de sécurité et des mesures préventives.
L’évaluation doit être effectuée au moins une fois par an, sinon plus. Une évaluation complète de la sécurité comprend les éléments suivants:
Identification – Lors d’une évaluation des risques de sécurité, nous devons d’abord faire l’inventaire de tous vos équipements informatiques critiques, puis déterminer quelles données sensibles sont créées, stockées ou transmises via ces appareils et créer un profil de risque pour chacun.
Évaluation – Cette étape amène l’identification au niveau suivant. Pour terminer l’étape d’évaluation, nous devons identifier les risques de sécurité pour chaque actif critique et déterminer le moyen le plus efficace et le plus efficient d’allouer du temps et des ressources à l’atténuation.
Atténuation – C’est là que nous résolvons les problèmes. Nous avons spécifiquement défini une approche d’atténuation pour chaque risque potentiel de notre réseau et les contrôles de sécurité qui seront initiés en cas de violation.
Prévention – Nous disposons d’outils et de processus spécifiques pour minimiser le risque de menaces contre nous et notre réseau afin de vous protéger.
Plan de sécurité de l’information
Il est important de protéger toute information recueillie, transmise, utilisée et stockée dans les systèmes d’information, de sorte que l’élaboration d’un plan de sécurité de l’information est cruciale. Nous prenons cela très au sérieux. Nous avons pris des mesures pour documenter un plan et conçu des systèmes pour sécuriser nos données commerciales sensibles et celles de nos clients.
Un programme de sécurité concerne essentiellement la gestion des risques, y compris l’identification, la quantification et l’atténuation des risques pour les ordinateurs et les données. Il y a quelques étapes de base essentielles à la gestion des risques:
Identifiez les actifs – Au-delà de la génération d’une liste de tous les matériels et logiciels de l’infrastructure, les actifs incluent également toutes les données traitées et stockées sur ces périphériques.
Attribuer une valeur – Chaque actif, y compris les données, a une valeur et deux approches peuvent être adoptées pour développer la valeur: qualitative et quantitative. « Quantitative » attribue une valeur financière à chaque actif et la compare au coût de la contre-mesure. « Qualitative » place les menaces et les mesures de sécurité des actifs et établit un classement à l’aide d’un système de notation.
Identifiez les risques et les menaces pesant sur chaque actif – Les menaces pesant sur le système vont au-delà des acteurs malveillants qui tentent d’accéder à vos données et s’étendent à tout événement susceptible de nuire à l’actif. Des événements tels que la foudre, les tornades, les ouragans, les inondations, les erreurs humaines ou les attaques terroristes doivent également être considérés comme des risques potentiels.
Estimer la perte potentielle et la fréquence d’attaque de ces actifs – Cette étape dépend de l’emplacement de l’actif. Pour ceux qui opèrent dans le Midwest, le risque qu’un ouragan cause des dommages est extrêmement faible alors que le risque d’une tornade serait élevé.
Recommander des contre-mesures ou d’autres activités correctives – À la fin des étapes ci-dessus, les éléments à améliorer devraient devenir assez évidents. À ce stade, vous pouvez élaborer des politiques et des procédures de sécurité.
Politiques et procédures (internes & externes) – Les politiques et procédures, tant pour les actifs internes que pour les actifs externes, constituent un élément crucial d’un plan de cybersécurité efficace. Vous ne pouvez pas avoir l’un sans l’autre. Une description générale peut être pensée comme ceci: une politique est la « règle » et une procédure est le « comment. »Dans cet esprit, une politique consisterait à sécuriser efficacement les données d’entreprise avec des mots de passe forts. La procédure consisterait à utiliser l’authentification multifacteur.
Assurance cybersécurité et responsabilité financière en cas de violation de données – CyberInsureOne définit l’assurance cybersécurité comme » un produit offert aux particuliers et aux entreprises afin de les protéger des effets et des conséquences des attaques en ligne. »
L’assurance cybersécurité peut aider votre entreprise à se rétablir en cas de cyberattaque, en fournissant des services tels que du soutien aux relations publiques et des fonds à retirer pour couvrir les pertes financières. C’est quelque chose que votre MSP devrait porter aussi bien que votre propre entreprise.
Et tout comme l’assurance responsabilité civile des entreprises et l’assurance responsabilité automobile, il est primordial que votre entreprise (ainsi que votre MSP) se couvre d’une assurance responsabilité financière en cas de violation de données pour couvrir tout événement pouvant être attribué à leurs activités causant une violation.
Gestion de l’accès aux données – La gestion de l’accès consiste à déterminer qui est autorisé et qui n’est pas autorisé à accéder à certains actifs et informations, tels que les comptes administratifs.
Ceci est essentiel pour votre entreprise car il permet de contrôler qui a accès à vos données d’entreprise, en particulier en période de rotation des employés. D’autres avantages incluent une conformité réglementaire accrue, des coûts d’exploitation réduits et une réduction des risques liés à la sécurité de l’information.
Formation de sensibilisation à la sécurité (avec formation au phishing) – Le phishing est le vecteur d’attaque numéro un aujourd’hui avec plus de 90 000 nouvelles attaques lancées chaque mois. Si votre fournisseur ne participe pas activement à la formation de sensibilisation à la sécurité et au phishing, il ne sera pas en mesure de vous tenir au courant des dernières tendances sur la manière dont ces acteurs malveillants tentent d’accéder aux données de votre entreprise.
Chiffrement des données – À son niveau de base, le chiffrement des données traduit les données sous une forme différente, les rendant lisibles uniquement par les points de début et de fin et uniquement avec le mot de passe approprié. Le cryptage est actuellement considéré comme l’une des mesures de sécurité les plus efficaces en usage car il est presque impossible pour une force extérieure de se fissurer.
Antivirus et pare-feu de nouvelle génération – L’antivirus est un logiciel conçu pour détecter et neutraliser toute infection qui tente d’accéder à l’appareil et doit se trouver sur tous les terminaux.
De nombreux fournisseurs commercialisent leurs logiciels en tant que « nouvelle génération », mais les vrais antivirus de nouvelle génération incluent des fonctionnalités telles que les techniques d’exploit (blocage d’un processus exploitant ou utilisant une méthode typique de contournement d’un fonctionnement normal), la liste blanche des applications (un processus permettant de valider et de contrôler tout ce qu’un programme est autorisé à faire), la micro-virtualisation (bloque l’exécution directe d’un processus, opérant essentiellement le programme dans son propre système d’exploitation virtuel), l’intelligence artificielle (bloquant ou détectant les virus de la même manière qu’un utilisateur humain pourrait le faire), et EDR /Forensics (en utilisant un grand ensemble de données provenant de journaux de points de terminaison, de paquets et de processus pour savoir ce qui s’est passé après coup).
Les pare-feu de nouvelle génération incluent également des fonctionnalités supplémentaires par rapport au pare-feu traditionnel, notamment la protection contre les intrusions, l’inspection approfondie des paquets, la terminaison du trafic crypté SSL et le sandboxing.
Plan de continuité des activités – Il s’agit d’un processus entourant l’élaboration d’un système de gestion de la prévention et du rétablissement des menaces potentielles pour une entreprise. Un plan de continuité des activités solide comprend les éléments suivants:
- Politique, objet et portée
- Objectifs
- Hypothèses
- Rôles clés responsabilités
- Une analyse des répercussions sur les activités
- Plans d’atténuation des risques
- Exigences en matière de données et de stockage hors site
- Stratégies de rétablissement de l’entreprise
- Plans d’exploitation de rechange
- Évaluation de l’état de préparation des fournisseurs externes
- Activation de l’intervention et du plan
- Plan de communication
- Exercices et séances d’entraînement
- Réévaluation régulière du plan actuel
Votre MSP devrait être en mesure de vous fournir une copie de ce qui est inclus dans leur plan et de la façon dont cela affectera votre entreprise s’ils rencontrent un événement de continuité des activités, ainsi que leur plan de sauvegarde pour maintenir votre infrastructure commerciale critique.
Couches de sécurité des e-mails – En bref, les couches limitent les risques. Les couches de sécurité des e-mails incluent des tactiques telles que l’authentification à deux facteurs et des filtres anti-spam au niveau de base (qui donnent à vos employés le temps d’évaluer une menace potentielle en supprimant les mots « urgent » ou « faire maintenant » des lignes d’objet internes).
En tant que fournisseur de services gérés, nous nous engageons à vous aider à maintenir une cybersécurité efficace grâce à ces tactiques avancées, ainsi qu’à une relation de conseil et de confiance. Vous êtes plus qu’un simple numéro pour nous et nous ferons tout ce qui est en notre pouvoir pour assurer la sécurité et le bon fonctionnement de votre entreprise.