Méfiez-vous des rançongiciels. Les petites entreprises peuvent être victimes de la cybercriminalité même si de nombreux propriétaires ne pensent pas qu’elles sont des cibles probables.
Un petit cabinet juridique, une entreprise de fabrication de 35 personnes et une organisation caritative de deux personnes sont tous des exemples d’entreprises axées sur la technologie. Autant que n’importe quelle institution financière ou boutique internationale de marque, leurs opérations de base dépendent des systèmes d’exploitation, des applications logicielles et des réseaux. Et ils ont tous été victimes de ransomwares.
Cependant, les petites et moyennes entreprises (PME) peuvent être gravement touchées, contrairement aux grandes entreprises, qui sont plus susceptibles de résister à une cyberattaque de grande envergure.
Quel problème? Oui, mais peut-être pas aussi grand que vous le pensez.
Les PME paient un prix élevé pour les interruptions d’activité. Ils paient un prix élevé pour la correction et la récupération des données. Ils peuvent manquer d’expertise et de main-d’œuvre pour protéger leur infrastructure informatique essentielle contre la cybercriminalité.
Des rançons énormes pour les petites entreprises
Selon le rapport Cyber Claims Study 2021 de NetDiligence, les ransomwares ont représenté 40% des dépenses globales liées aux incidents liés aux cyber-réclamations au cours des cinq dernières années.
C’est-à-dire que la demande de rançon moyenne en 2020 était de 247 000 $.
La recherche a estimé que le coût de récupération d’une faille de cybersécurité affectant une petite entreprise était d’environ 352 000 $. Ces dépenses ne tiennent pas compte de la perte de confiance des clients due à l’utilisation abusive de données sensibles.
Les criminels savent que les petites entreprises ont des systèmes de cybersécurité faibles ou inexistants. En conséquence, ils les ciblent en grand nombre, envoyant des tentatives de phishing répétées dans l’espoir de capturer quelques victimes dans leurs réseaux automatisés.
Google a envoyé 50 000 alertes d’hameçonnage ou d’attaque de logiciels malveillants en octobre 2021, en hausse de 33 % par rapport au même mois en 2020.
Depuis l’épidémie de Covid-19, les technologies de travail à domicile et de travail de n’importe où sont devenues plus populaires, exposant les travailleurs et les systèmes des petites entreprises aux cyberattaques. Selon une enquête, environ 70 % des travailleurs à temps plein aux États-Unis ont commencé à travailler à domicile pendant l’épidémie de Covid-19.
Malheureusement, certaines petites entreprises font rarement des efforts pour sécuriser leurs employés distants. Ces efforts incluent la mise en œuvre d’une authentification à deux facteurs (une étape de connexion supplémentaire) ou le cryptage des disques informatiques. Pendant l’épidémie, des millions de personnes ont perdu leur emploi. Ont-ils perdu l’accès à tous leurs comptes de messagerie et identifiants ? Probablement pas.
Vulnérabilités dans les petites entreprises et la cybersécurité
Pourquoi les petites entreprises sont-elles la proie de prédateurs ? Ils ne pouvaient pas disposer du savoir-faire opérationnel ou du personnel pour défendre de manière appropriée leurs systèmes et réseaux informatiques.
En attendant, voici quelques exemples de circonstances qui mettent les petites entreprises en danger :
- Les infrastructures informatiques sont souvent obsolètes, ne sont pas mises à jour régulièrement et sont mal construites.
- La personne en charge de l’informatique – qu’il s’agisse du directeur financier, du PDG ou d’un employé au hasard – est rarement informée des risques et des solutions de sécurité les plus récents.
- Compte tenu du salaire moyen d’environ 165 000 $, l’embauche d’un directeur de la sécurité de l’information est souvent inabordable.
- Un méli-mélo de matériel local, de réseaux, d’appareils et d’applications peut rendre la cyberprotection difficile.
- La formation de cybersensibilisation des employés est médiocre ou inexistante.
- Les sauvegardes peuvent ne pas être fiables ou n’ont pas été testées de manière approfondie.
- La planification de la continuité des activités et de la reprise après sinistre n’a pas été soulignée.
Les dirigeants d’entreprise peuvent croire à tort qu’ils sont trop petits pour être une cible de cybercriminalité, à leur détriment.
Prendre une longueur d’avance sur une situation difficile
Vous n’avez pas besoin de nouvel équipement ou de logiciel antivirus pour commencer à améliorer l’image de cybersécurité de votre entreprise.
Commencez par faire un inventaire détaillé de vos actifs physiques et numériques, ainsi qu’une évaluation de la vulnérabilité. Il est essentiel de créer un document de « gouvernance des données » qui établit des lignes directrices pour la gestion des données. Personnes toujours Enregistrez les mots de passe sur des Post-it sur les écrans d’ordinateur ou scotchés au bas des tapis de souris dans les petits lieux de travail. Cette technique est donc indispensable.
Surtout, une formation de sensibilisation à la cybersécurité pour les employés est également nécessaire.
L’hameçonnage ou d’autres efforts d’ingénierie sociale ou d’introduction d’individus dans des réseaux vulnérables sont un vecteur de menace de sécurité vital pour l’épidémie de ransomware. Selon le X-Force Threat Intelligence Index 2021 d’IBM, le phishing était responsable d’un tiers de toutes les cyberattaques. Assurez-vous que votre personnel sait ce qu’il faut rechercher dans ces circonstances.
Par exemple, les tests d’intrusion sont une autre technique à utiliser.
Le « pen testing » garantit l’efficacité de vos mesures de sécurité. Par conséquent, peu de petites entreprises, de toute expérience, ont la compétence pour entreprendre des tests d’intrusion. Par conséquent, vous souhaiterez peut-être engager un expert.
Enfin, certains experts recommandent à chaque entreprise de mettre en place une surveillance en temps réel du réseau et des serveurs. Bien que des mots de passe forts, une authentification à deux facteurs, des données cryptées et des pare-feu réseau soient nécessaires et ralentissent les attaquants, une protection complète n’est ni rentable ni pratique.
Faire des efforts pour atténuer les effets potentiellement catastrophiques d’une cyberattaque peut en valoir la peine pour les petites entreprises.
