Pour posséder une petite entreprise, vous devez être au moins un joueur. En conséquence, vous vous sentez à l’aise pour prendre des risques. Ignorer les risques. Cependant, vous ne voulez pas lancer les dés en attendant la sécurité.
Vous savez très bien que de nombreuses entreprises doivent leur succès à la chance aussi souvent qu’au travail. Cela ne veut pas dire que les risques que vous prenez ne sont pas soigneusement calculés – ils le sont. Cependant, beaucoup d’entre vous qui lisez ceci ont peut-être tout risqué en attendant de prendre des mesures de cybersécurité efficaces.
Les risques de cybersécurité n’ont jamais été aussi élevés que à l’heure actuelle – et le gouvernement le sait.
C’est pourquoi la Cybersecurity and Infrastructure Security Agency (CISA) a annoncé le programme Shields Up. Shields Up est conçu pour protéger les entreprises américaines contre les cyberactivités malveillantes entourant l’invasion de l’Ukraine par la Russie. C’est aussi pourquoi le DOJ a annoncé qu’il infligera des amendes aux sous-traitants gouvernementaux et aux autres entreprises qui ne respectent pas les normes de cybersécurité ou ne signalent pas les incidents de cybersécurité.
Attendre les mises à niveau de sécurité jusqu’à ce que les agences de réglementation imposent la sécurité peut être coûteux et dangereux pour vos entreprises.
Toute entreprise, y compris les entrepreneurs et les sous-traitants, qui fait affaire avec le gouvernement fait face à une multitude d’ordres pour se conformer à divers cadres de cybersécurité. Cela inclut NIST 800-171, qui décrit les normes et pratiques de sécurité requises pour les organisations non fédérales. De même, FAR 52.204-21 énonce 15 mesures de protection de base concernant les données, la sécurité physique et la cyber-hygiène. De même, le programme CMMC (Cybersecurity Maturity Model Certification) est un cadre conçu pour protéger la base industrielle de la défense.
Jouer à un jeu dangereux de cybersécurité Chance
Alors que les régulateurs négocient, discutent et finalisent, nous avons remarqué une tendance alarmante. De nombreuses entreprises appuient sur le bouton « Pause ».
Nous avons compris. Les assemblées publiques de la CMMC de l’an dernier ont mis en lumière les préoccupations des petites entreprises. Les nouvelles politiques proposées imposent un fardeau disproportionné aux petites entreprises qui pourraient ne pas disposer des systèmes, de l’expertise interne ou du budget pour la réponse requise.
L’industrie a développé CMMC 2.0 pour résoudre ces problèmes. Et à bien des égards, c’est le cas. Mais il contient aussi quelques surprises.
Le contrôle de la réalité
Si vous avez freiné l’investissement dans une cybersécurité plus robuste et que vous attendez de voir à quoi ressembleront les réglementations, vous prenez un énorme pari. Voici la réalité.
Les attaques n’attendront pas.
Pendant que vous passez du temps à attendre la sécurité, votre entreprise continue d’être exposée à un piratage de données ou à une rançon.
L’interruption d’activité, les atteintes à la réputation, les pertes d’informations exclusives, les frais de recouvrement et les pertes de clients ou de contrats suffisent souvent à couler même les entreprises les plus stables. Et toute police d’assurance cyber que vous avez ne sera pas suffisante. Il ne couvrira pas tout.
Si les pirates retournent vos données après une attaque de ransomware, vos problèmes peuvent se multiplier. Les données corrompues et inaccessibles ne sont pas très utiles.
La version « finale » viendra trop vite.
Lorsque le DoD commencera à utiliser les directives CMMC 2.0, ce sera avec un préavis de seulement 60 jours.
Ce n’est pas assez de temps pour que la plupart des entreprises terminent les travaux d’assainissement. L’attente d’une version finale ou d’un démarrage officiel peut vous coûter des opportunités de contrat. Si vous êtes prêt à partir plus tôt, cependant, vous pourrez peut-être récupérer le travail d’autres personnes qui ne le sont pas.
Bien qu’il ne soit pas entièrement finalisé, le DoD prévoit d’offrir des incitations aux organisations qui passent par le processus de certification avant l’élaboration des règles finales pour CMMC.
Votre liste de tâches contient 320 tâches !
L’exigence de conformité avec le cadre de cybersécurité NIST 800-171 comporte 110 contrôles qui nécessitent 320 objectifs d’évaluation.
Pour les contrats de niveau de maturité 1 et les contrats de niveau de maturité 2 non prioritaires, la haute direction attestera chaque année de la conformité de leur entreprise.
Mais ce n’est pas un passe-droit. Le DOJ a déjà utilisé la False Claims Act pour poursuivre les entreprises qui s’auto-attestent, ont un incident de sécurité et sont jugées, par une enquête, non conformes.
La documentation n’a pas disparu.
De nombreuses entreprises pensaient que CMMC 2.0 éliminerait la documentation : It. Pas.
Les entreprises doivent documenter l’ensemble des 320 objectifs d’évaluation. C’est une quantité de travail importante, et peu d’entreprises peuvent tout faire en interne. Une autre raison pour laquelle l’attente des mesures de sécurité se retournera contre vous lorsque le temps presse.
Le dilemme du retour sur investissement
Nous reconnaissons que le coût de la cybersécurité semble décourageant.
De nombreuses entreprises n’ont pas investi dans une solution au niveau de l’entreprise ni même prévu de budget pour les travaux de cybersécurité en cours. Mais ils en ont besoin.
La cybersécurité est devenue une dépense normalisée pour les opérations commerciales, comme le paiement des charges sociales ou la souscription d’une assurance. Si vous avez du mal à voir le retour sur investissement de la cybersécurité, considérez trois choses.
1. Les petites entreprises sont la cible idéale pour les pirates de rançongiciels.
Les cybercriminels savent que vous disposez de moins de ressources et de personnel pour vous préparer, vous défendre et vous remettre des attaques. Les attaques ont doublé au cours de la dernière année car elles sont incroyablement lucratives et vous êtes un excellent banc d’essai pour vous préparer à des attaques plus importantes.
2. Le coût moyen d’une violation de données dans une petite entreprise est de 108 000 $.
Mais l’argent n’est pas le seul enjeu. Il a été démontré que les perturbations, la reprise et les coûts imprévus, ainsi que la frustration des clients, pèsent beaucoup plus lourd sur les entreprises. Cela peut totaliser jusqu’à 3 millions de dollars par incident pour les entreprises de moins de 500 employés.
3. La cybersécurité peut être un avantage concurrentiel.
Tandis que d’autres tardent, vous pouvez tirer profit de la confiance de vos clients et partenaires basée sur la force de votre programme de cybersécurité.
Il existe un moyen facile de commencer.
Un roulement lent est toujours un pas dans la bonne direction. Nous conseillons aux petites entreprises de faire plusieurs choses dès maintenant pour démarrer. La plupart d’entre eux ne vous coûteront rien, dites-moi !
Parlez de vrais chiffres.
Une estimation réaliste est la première étape vers l’élaboration d’un plan de sécurité conforme.
Une bonne entreprise de services de cybersécurité fournira une évaluation de base et un devis gratuitement. Une grande entreprise de services de cybersécurité poursuivra votre formation, vous expliquant les normes que vous devrez suivre, votre position actuelle et la portée d’une solution.
Les nombres réels vous permettent de planifier à l’avance et de budgétiser la sécurité. Très souvent, nous surprenons les petites entreprises lorsqu’elles apprennent que la conformité en matière de cybersécurité ne coûte pas aussi cher que prévu.
Comprenez votre surface d’attaque.
La porte d’entrée physique n’est pas la seule façon dont les gens entrent dans votre entreprise.
Toutes vos applications Web, portails et systèmes de paiement de factures sont également des points d’entrée. L’identification de tous vos actifs est la première étape pour les sécuriser.
Il est maintenant temps de procéder à un audit approfondi de votre écosystème numérique pour comprendre votre surface d’attaque et planifier une surveillance continue.
Revoyez votre plan de réponse aux incidents… et mettez-le en pratique !
En cas d’incident de sécurité, chaque employé ayant accès au réseau doit comprendre le plan.
Surtout, votre équipe de réponse aux incidents, englobant la direction, l’informatique, les RH, le juridique et les communications, devrait également pratiquer ses premiers pas. De même, il peut être utile d’avoir des procédures écrites et un arbre téléphonique imprimé qui énonce clairement qui contacter et dans quelles circonstances.
Sauvegardez vos données.
Établissez un calendrier à toute épreuve pour sauvegarder toutes les données. De même, il est également utile de tester les procédures de restauration des informations, au cas où vous seriez victime d’un rançongiciel ou d’une autre cyberattaque.
Un bon examen des réalités de la cybersécurité peut aider les propriétaires et les dirigeants de petites entreprises à changer la donne. Par conséquent, il n’est pas nécessaire de jouer avec l’avenir et la réputation de votre entreprise.
Les étapes de renforcement de la cybersécurité commencent souvent par une vitesse de déploiement et de démarrage lente, car les entreprises comprennent mieux leurs exigences et les avantages commerciaux d’une position de sécurité robuste.
Derek Kernus est directeur des opérations de cybersécurité chez DTS et détient les certifications CISSP, CCSP et CMMC RP. DTS fournit des cybersolutions sur mesure et évolutives aux petites et moyennes entreprises en s’appuyant sur les meilleures ressources et l’expertise de personnes talentueuses passionnées par l’excellence pour aider à protéger les personnes et les données de nos clients.
