Étant donné que l’attaque de Petya en juin a paralysé des milliers d’entreprises dans le monde entier, et qu’une entreprise qui enfreindra l’année prochaine le règlement général de l’UE sur la protection des données (RGPD) pourrait se voir infliger une amende pouvant atteindre 20 millions €. La sécurité informatique est clairement un problème crucial pour toutes les entreprises. Mais une récente enquête de l’IoD a révélé que, bien que 91 % des membres la considèrent comme importante, seuls 57 % d’entre eux ont établi une stratégie officielle de cybersécurité. Le Service d’information et de conseil de l’OID fournit les conseils suivants aux nombreuses personnes qui n’ont pas encore agi.
Assumer la responsabilité
Le directeur est responsable en dernier ressort de la protection des systèmes de l’entreprise. C’est ce qu’affirme Richard Benham, professeur de gestion de la cybersécurité à Oxford et auteur d’un rapport de 2016 sur les politiques de l’IoD intitulé Cyber Security.
« Cette question doit cesser d’être traitée comme le domaine du département informatique et faire l’objet d’une politique de la direction, » souligne-t-il. « Les entreprises doivent développer une politique de cybersécurité, former leur personnel, revoir les contrats des fournisseurs et réfléchir à la cyberassurance. »
Analyser les risques
Les administrateurs doivent se poser la question suivante : dans quelle mesure sommes-nous confiants que nos principaux systèmes d’information sont protégés ? Qui pourrait compromettre leur sécurité ? Quelles formes la menace pourrait-elle prendre ? Quels effets une attaque pourrait-elle avoir ? Cela vous aidera à mettre en place des contrôles appropriés et à déterminer à quoi ressemblent les bonnes pratiques. Répétez l’opération régulièrement, en réévaluant continuellement l’efficacité de vos mesures. Si une tierce partie gère vos services informatiques, passez en revue vos accords avec elle et assurez-vous que ceux qui traitent vos données appliquent également ces contrôles.
Connaître la loi
Veiller à ce que votre entreprise respecte les principes stricts de protection des données définis cela l’aidera à se protéger des attaques, poursuites, amendes et atteintes à sa réputation. Celles-ci stipulent que les données détenues et traitées par votre entreprise doivent être conservées en toute sécurité, utilisées loyalement et licitement à des fins spécifiques et limitées, et ne pas être déplacées en dehors de l’EEE sans protection adéquate. De plus, la planification et la mise en œuvre des changements que votre entreprise doit apporter pour se conformer dès maintenant au RGPD lui permettront d’être prête à se conformer à la législation lorsque celle-ci entrera en vigueur en 2018.
Bien comprendre les principes fondamentaux
L’application de mesures de base sont efficaces pour protéger les données de votre entreprise afin d’atténuer plusieurs de ses risques cybernétiques. Vous devriez télécharger et installer les mises à jour logicielles dès qu’elles sont disponibles, car elles contiennent généralement des correctifs de sécurité. Cela peut sembler évident, mais un grand nombre d’entreprises n’y parviennent toujours pas. De même, utilisez des mots de passe forts, supprimez tous les e-mails suspects, qui pourraient contenir des logiciels malveillants ou des tentatives de phishing, et utilisez toujours un logiciel anti-virus à jour.
La mesure la plus cruciale est de former tout le personnel à ces notions de base et de le tenir au courant des dernières menaces. L’erreur humaine est souvent à l’origine d’une brèche, la simple ouverture d’une pièce jointe dans un e-mail par un employé non averti pouvant en être la cause. Vous devez donc développer une culture de la sécurité. En établissant cinq contrôles pour réduire la vulnérabilité de votre entreprise, il convient aux organisations de tous types et de toutes tailles.