La plus grande cyber-menace largement ignorée par les petites entreprises

Je crois que c’est l’élément humain. Une organisation peut avoir toute la technologie en place, mais si une personne ne sait pas ce qu’elle peut faire avec cette technologie, ou n’est pas informée sur les cyber-risques, la technologie peut devenir peu pratique.

Prenons par exemple l’ingénierie sociale, et en particulier les attaques d’hameçonnage par courriel. Avec 129  milliards de courriels professionnels échangés chaque jour¹, une attaque simple et rapide pourrait entraîner des gains importants aux «  mauvais acteurs  ». Il suffit qu’une personne clé soit dupée pour transférer de l’argent à un criminel se faisant passer pour le cadre supérieur de l’entreprise, ou encore qu’un seul collègue clique sur le lien hypertexte d’un courriel d’hameçonnage, téléchargeant accidentellement des logiciels malveillants pour infecter un réseau tout entier.

En plus des actes de commission, je crois qu’il y a des menaces découlant de l’omission. Par exemple, les fabricants de logiciels ne fourniront les correctifs de sécurité appropriés qu’après avoir été informés de ces vulnérabilités.

Il est facile pour les personnes de devenir complaisantes et de remettre à plus tard l’analyse des programmes logiciels et le signalement de vulnérabilités aux entreprises de conception de logiciels.

Un autre risque est l’omission d’appliquer des correctifs de sécurité. En fonction de la configuration d’une organisation, l’installation de correctifs système peut entraîner des temps d’arrêt de celle-ci. Des vulnérabilités commencent à émerger lorsque les entreprises ne prennent pas le temps d’installer des correctifs importants.

Quatre-vingt-quinze pour cent de tous les cyber-incidents sont d’origine humaine, y compris les cyber-attaques, les violations de données et les attaques de rançongiciels².

Les humains semblent être le maillon le plus faible dans la sécurité et la gestion des risques. La gestion de l’aspect humain des cyber-menaces implique des approches centrées sur les personnes, comprenant des programmes de formation et de sensibilisation diligents et fréquents, fournis à tous les employés, des premières lignes à la haute direction.

Le travail à distance est devenu une nécessité en ces temps particuliers et bien qu’il comporte de nombreux avantages, il présente aussi un accroissement des risques.

Dans un environnement de bureau normal, il est facile de faire respecter la conformité aux protocoles de sécurité. Cependant, lorsque les personnes travaillent à distance, elles peuvent devenir moins diligentes. Des exemples de comportements laxistes peuvent comprendre l’introduction d’un ordinateur personnel dans un réseau de travail à distance; l’abandon d’un ordinateur portable de travail dans une voiture, ce qui en fait une cible de vol; ou l’utilisation d’une clé USB infectée.

Le cyber-risque doit être considéré de la même manière que le risque immobilier. Un propriétaire d’immeuble commercial typique est susceptible d’installer des avertisseurs d’incendie, des détecteurs de fumée et des caméras de sécurité, ainsi que d’engager des agents de sécurité, en plus de souscrire une assurance des biens des entreprises.

Bien sûr, une organisation peut investir dans une infrastructure informatique dotée de réseaux et de protocoles de sécurité solides.

Ceux-ci rendront l’attaque provenant de «  mauvais acteurs  » plus difficile, mais l’entreprise ne sera pas invincible pour autant. Une organisation ne peut jamais être totalement sécurisée.

Finalement, il s’agit d’atténuer les risques plutôt que de les éliminer. Il est difficile d’éliminer les cyber-risques, toutefois, les mesures appropriées peuvent contribuer à atténuer les risques.