Les plus grandes erreurs en matière de cybersécurité est toujours pratiqués par les entreprises.
Malgré les preuves de vulnérabilités de cybersécurité de plusieurs milliards de dollars dans certaines des organisations les plus fiables au monde, les entreprises ne prennent toujours pas la cybersécurité au sérieux. Les grandes entreprises trouvent des raisons de réduire leur budget de cybersécurité en réduisant les coûts au lieu d'investir dans leur infrastructure, et les propriétaires de petites entreprises ignorent totalement les menaces posées par les problèmes de cybersécurité.
Pourquoi la cybersécurité est-elle sous-utilisée et sous-estimée, et quelles sont les erreurs les plus courantes commises par les employeurs?
1 - La cybersécurité ne peut pas être prise au sérieux
L'un des plus gros problèmes avec cela est que les entrepreneurs ne prennent toujours pas la cybersécurité au sérieux - ou du moins pas assez au sérieux. Pour les grandes entreprises, cela est dû à une combinaison de facteurs. Par exemple, ils peuvent désormais dépenser des millions de dollars en équipes informatiques et en outils de cybersécurité, et peuvent ne pas avoir de baromètre pour savoir si cet investissement est "adéquat" ou non. Vous pouvez également avoir du mal à voir les résultats de votre investissement. Après tout, si votre stratégie de cybersécurité réussit, vous n'êtes pas la cible d'attaques ou de hacks majeurs.
De plus, les grandes organisations ont souvent des problèmes avec les silos de département. Les experts en cybersécurité sont isolés des entreprises, ne peuvent pas fournir d'orientation ou de conseil, ou ont une capacité limitée d'influencer les entreprises. Par conséquent, les employés des autres services ne prennent pas la cybersécurité au sérieux.
Pour les petites entreprises, l'attitude dominante est «Nous sommes trop petits pour être une cible», même si les petites entreprises sont l'une des cibles les plus courantes des cybercriminels. Étant donné le coût élevé des mesures de cybersécurité les plus élémentaires, les petites entreprises hésitent à dépenser de l'argent.
Cependant, les entreprises qui ne considèrent pas la cybersécurité comme importante ne suffisent pas à se protéger.
2 - Traitez la cybersécurité réactive plutôt qu'active
Pour que la cybersécurité soit efficace, elle doit être mise en œuvre de manière proactive. Vous devez être impliqué bien avant de subir des violations de données ou des attaques opportunistes. Si vous attendez d'être certain d'être une victime potentielle, il sera trop tard.
C'est la différence entre la cybersécurité proactive et réactive. Après les violations de données, les entreprises sont beaucoup plus disposées à investir dans l'infrastructure nécessaire pour empêcher d'autres attaques similaires à l'avenir. mais s'ils le font, ils peuvent économiser des millions, sinon des milliards de dollars.
Il vaut bien mieux faire de la cybersécurité de routine - quelque chose dans lequel vous investissez et continuez à vous améliorer, même lorsque les choses semblent calmes.
3 - Faire de la cybersécurité un département distinct
Il est tentant de considérer la cybersécurité comme votre service ou comme une subdivision de votre service informatique. Cette approche vous permet d'engager des experts dans le domaine et de financer des entonnoirs spéciaux à cet effet. Même si ce n'est pas une mauvaise stratégie, elle peut être trompeuse - et peut vous laisser ouvert à des attaques dans d'autres domaines.
En revanche, la cybersécurité est quelque chose qui peut être mieux réalisé grâce au travail d'équipe et à la collaboration. Par exemple, les équipes qui utilisent la pratique DevOps travaillent souvent dur pour s'assurer que la sécurité est prise en compte à chaque étape du processus de développement - et pas seulement à la fin.
Le gros problème que vous essayez de résoudre est qu'il y a des failles de sécurité partout, dans chaque département de votre entreprise et pour tout le monde. Vous ne pouvez réduire cette vulnérabilité que si vous travaillez ensemble.
4 - Utilisez de mauvaises pratiques de mot de passe
Trop de failles de sécurité souffrent encore de mauvaises pratiques de mot de passe en ce qui concerne les vulnérabilités de sécurité individuelles. La plupart des cyberattaques et des violations numériques ne sont pas causées par des pirates informatiques fous, mais par quelqu'un (peut-être pas formé) qui a découvert, appris ou volé des mots de passe. Avec les bonnes informations d'identification, tout le monde peut être considéré comme un "pirate".
La stratégie de mot de passe peut être source de confusion à bien des égards. Vos employés peuvent choisir des mots de passe faibles ou faciles à deviner, par exemple B. Mots contenant des mots généraux ou une série de nombres prévisibles. Vous ne pourrez peut-être pas mettre à jour ce mot de passe régulièrement. Ou ils ont de mauvaises habitudes lors de l'enregistrement des mots de passe. Par exemple, vous pouvez enregistrer une liste de mots de passe écrits sur des notes autocollantes depuis votre bureau.
Certaines organisations utilisent également des mots de passe dans toute l'organisation en copiant et collant le même ordre pour tout le monde sur toutes les plateformes. Cela conduit à une grande vulnérabilité.
5 - Choisir le mauvais logiciel
Il y a aussi quelque chose à dire sur le choix du "bon" logiciel pour votre entreprise. La plupart des entreprises ont besoin de divers outils pour fonctionner efficacement, notamment des plateformes CRM, des plateformes de gestion de projet et des plateformes de communication. Chacun d'eux représentera une vulnérabilité potentielle. Cette application stocke des informations sur votre entreprise. Si cela est compromis, cela peut être un vrai problème pour vous.
Par conséquent, vous devez réfléchir soigneusement aux outils que vous utilisez. Faites attention à la réputation du développeur et découvrez les mesures de sécurité disponibles. Par exemple, certaines applications utilisent des fonctionnalités telles que l'IA pour la cybersécurité ou des normes de cryptage strictes.
6 - Mise à jour a échoué
Quelle que soit l'expérience du développeur, aucun logiciel n'est parfaitement encodé. Cependant, il y aura des failles de sécurité et des problèmes d'intégrité à long terme. Si quelqu'un comprend cela, il peut exploiter ses faiblesses.
Heureusement, la plupart des équipes et la communauté des développeurs open source continuent de rechercher de nouvelles menaces potentielles - et s'ils le font, ils appliquent des correctifs pour les corriger.
C'est le problème - les correctifs ne fonctionnent que si vous les téléchargez. Cependant, de nombreuses entreprises ne peuvent pas mettre à jour leurs logiciels ou appareils de manière cohérente. L'approche la plus simple consiste à planifier des mises à jour automatiques. Cependant, de nombreuses entreprises laissent leurs employés se mettre à jour selon leurs propres politiques - ce qui n'est pas aussi souvent qu'ils le devraient.
7 - J'espère qu'il y a une solution
Il existe plusieurs produits et services que vous pouvez utiliser pour minimiser vos vulnérabilités, notamment les pare-feu, les logiciels antivirus et les VPN (réseaux privés virtuels). Cependant, trop de propriétaires d'entreprises ont tout espoir d'une solution. Ils pensent qu'ils sont pratiquement impénétrables car ils utilisent un pare-feu.
Cependant, pour assurer une protection complète des données, vous devez accorder une attention particulière à un certain nombre de menaces potentielles en examinant le paysage et en utilisant des solutions uniques pour le protéger. Si vous n'utilisez qu'une ou deux techniques, il est probable que vous puissiez attaquer autrement.
8 - Ignorer les vulnérabilités personnelles de l'appareil
La plupart des entreprises ont désormais la possibilité d'implémenter leur propre appareil (BYOD). Cela fonctionne bien pour les entreprises qui peuvent économiser de l'argent en achetant de l'équipement pour leurs employés, ainsi que pour les employés qui peuvent exercer un plus grand contrôle sur le type d'équipement qu'ils utilisent et comment ils l'utilisent. Cependant, les appareils personnels importés dans votre réseau peuvent constituer un risque de sécurité majeur si vos employés ne gèrent pas correctement leurs appareils.
De plus, les employés peuvent utiliser leur appareil (avec un compte d'entreprise) ou les appareils de l'entreprise sur des réseaux Wi-Fi publics dangereux - un risque élevé d'attaque.
9 - La formation du personnel a échoué
L'une des causes les plus courantes de cyberattaques dans les petites entreprises est la simple erreur commise par les employés. La plupart des cybercriminels ne sont pas des pirates informatiques sophistiqués, mais des opportunistes qui cherchent des moyens d'exploiter l'ignorance ou l'erreur de base. Par exemple, ils peuvent essayer de forcer vos employés à désactiver leurs informations d'identification, ou ils peuvent simplement attendre une opportunité d'en savoir plus sur votre entreprise grâce à l'ingénierie sociale. Plus les informations de vos employés sont bonnes et mieux ils sont formés aux pratiques de cybersécurité, moins il y aura de failles de sécurité. Malheureusement, la plupart des propriétaires d'entreprise l'ignorent.
Il n'y a pas de moyen facile pour que les propriétaires d'entreprise prennent la cybersécurité au sérieux, surtout lorsqu'il existe de nombreux exemples d'entreprises qui ont perdu des milliards de dollars en raison de mauvaises habitudes de sécurité. Mais plus vous en savez sur les faiblesses générales de la cybersécurité des entreprises, plus vous pouvez travailler activement pour éviter que de telles catastrophes ne vous arrivent.