Lorsqu’il s’agit de protéger les petites entreprises contre les cyberattaques, il existe un équilibre constant entre la gestion des risques et l’application de ressources limitées entre la sécurité, les budgets opérationnels et la commodité. Les petites entreprises sont confrontées chaque jour à des décisions critiques en matière de ressources. Mon entreprise peut-elle se permettre de déployer des solutions de cybersécurité optimales et solides ? Et mes politiques de cybersécurité seront-elles un fardeau pour mes employés, partenaires commerciaux et clients ?
Les propriétaires de petites entreprises sont confrontés à des défis importants et leur responsabilité quotidienne la plus importante consiste à assurer la croissance et la prospérité de leur entreprise. En tant qu’industrie, nous n’avons pas fait assez pour relier les avantages de solides pratiques et politiques de cybersécurité à l’expansion, la résilience et la survie à long terme de l’entreprise.
Il n’y a pas de domaine de la cybersécurité plus révélateur des défis auxquels nous sommes confrontés pour faire le lien entre la sécurité et les politiques favorables aux entreprises que les noms d’utilisateur et les mots de passe. Nous dépendons toujours massivement d’un moyen de compte et d’accès au réseau non sécurisé qui s’est avéré inefficace et non sécurisé depuis plus de 30 ans.
Authentification multifacteur (MFA)
Nous savons qu’il existe des méthodes plus sécurisées qui peuvent être déployées. L’authentification multifacteur (MFA) renforce la sécurité en obligeant les utilisateurs à présenter plusieurs éléments de preuve (identifiants) chaque fois que l’utilisateur se connecte à un compte professionnel (par exemple, courrier électronique de l’entreprise, paie, ressources humaines, etc.). La MFA se divise généralement en trois catégories : quelque chose que l’utilisateur connaît (un mot de passe à 15 caractères), quelque chose que l’utilisateur possède (empreinte digitale) ou quelque chose que l’utilisateur reçoit (un code envoyé au téléphone ou au compte de messagerie de l’utilisateur).
L’AMF fonctionne, mais les entreprises restent extrêmement réticentes à se déployer. L’étude Global Small Business Multi-Factor Authentication (MFA) publiée par le Institut de cyber-préparation (CRI) a constaté que seuls 46 % des propriétaires de petites entreprises affirment avoir mis en œuvre les méthodes MFA recommandées par les principaux experts en sécurité, avec seulement 13 % nécessitant leur utilisation par les employés pour la plupart des accès aux comptes ou aux applications.
La plupart des entreprises mettant en œuvre une forme quelconque d’AMF n’en ont pas fait une exigence pour tous.
Seuls 39 % de ceux qui proposent l’authentification MFA disposent d’un processus de hiérarchisation du matériel, des logiciels et des données critiques, 49 % se contentant d' »encourager l’utilisation de l’authentification MFA lorsqu’elle est disponible ».
Selon Microsoft, 99,9 % des attaques par compromission de compte peuvent être bloquées simplement en utilisant MFA. Pourtant, 47 % des propriétaires de petites entreprises interrogés ont déclaré qu’ils ne comprenaient pas l’AMF ou qu’ils n’en voyaient pas la valeur. De plus, près de 60 % n’ont pas discuté de l’AMF avec leurs employés.
Mise en œuvre des AMF
La mise en œuvre de MFA ne nécessite aucune modification matérielle des ordinateurs, des appareils mobiles ou des imprimantes de l’entreprise. Au lieu de cela, il existe de nombreux outils logiciels gratuits et peu coûteux que les utilisateurs peuvent télécharger sur leur entreprise et leurs appareils personnels. Par exemple, les fournisseurs de messagerie proposent (et encouragent) généralement l’authentification MFA. Par conséquent, il peut être aussi simple que de cliquer sur une option dans les paramètres de messagerie pour activer MFA.
Les entreprises peuvent suivre plusieurs étapes simples pour mettre en œuvre la MFA. Premièrement, les organisations doivent mettre à jour leurs politiques et procédures avec des attentes spécifiques. Par exemple, tous les employés doivent implémenter MFA sur leurs comptes de messagerie d’entreprise. Ensuite, organisez des séances d’information sur la main-d’œuvre pour communiquer les politiques et les attentes de l’AMF. Les employés doivent savoir qu’il est facile d’activer MFA sur leurs comptes. Enfin, désignez une personne de l’organisation qui accepte la responsabilité de la cyber-préparation pour aider les employés à résoudre les problèmes lorsqu’ils commencent à utiliser MFA.
Dernières pensées
Chez CRI, nous croyons fermement qu’une cybersécurité solide est un impératif commercial, et non un défi opérationnel. Cela nécessite un changement d’état d’esprit de la part des dirigeants de petites entreprises, de nouvelles questions doivent être posées et les comportements doivent changer :
- Mon entreprise peut-elle se permettre de subir une cyberattaque ?
- Une cyberattaque endommagera-t-elle irrémédiablement ma marque ?
- Une cyberattaque pèsera-t-elle sur mes employés, mes clients et mes partenaires commerciaux ?
Répondre honnêtement à ces questions changera l’importance de la cybersécurité dans la stratégie de croissance d’une petite entreprise.
