Dans un monde où presque toutes les activités commerciales et les communications se font en ligne, les cyberattaques et les brèches de sécurité sont une menace redoutable pour les entreprises aussi bien que les individus. Si les organisations doivent posséder une stratégie de cybersécurité, il en va de même pour vous. Les risques financiers et d’atteinte à la réputation sont tout simplement trop élevés pour ne pas s’en soucier. D’après le rapport du FBI sur la cybercriminalité, les activités cybercriminelles ont coûté pas moins de 2,7 milliards de dollars rien qu’en 2020.
Que ce soit au travail ou à la maison, la sécurité de l’entreprise est la responsabilité de tous. Suivez ces règles de conduite pour garantir la sécurité de vos données :
1. Partagez avec prudence
Lorsque l’on vous dit « violation des données », vous pensez sans doute à un pirate informatique malintentionné. Cependant, 92 % des incidents de sécurité des données des entreprises sont involontaires et provoqués par des processus défaillants et des erreurs de l’utilisateur. L’une des causes d’exposition involontaire de vos données personnelles ou professionnelles les plus courantes est le mauvais partage de contenu.
Lorsque la pandémie a éclaté, les organisations se sont tournées vers Microsoft Teams pour mettre en place rapidement le travail hybride ou à distance. Afin de répondre aux besoins et attentes des utilisateurs en matière de travail, Microsoft a facilité plus que jamais la manière de partager des fichiers et de donner des autorisations, partant du principe que les utilisateurs « peuvent donner accès à tout le monde, aux personnes dans votre organisation, aux personnes disposant déjà d’un accès ou aux personnes désignées. »
Avec les nombreux paramètres de partage disponibles, vous devez sans cesse vous efforcer de sélectionner l’option la plus prudente, c’est-à-dire « Partager avec une personne spécifique » plutôt que « Partager avec tout le monde dans l’organisation ». Si les utilisateurs doivent s’appliquer à suivre les bonnes pratiques en matière de partage, les organisations doivent également se doter d’une stratégie pour surveiller et annuler les autorisations qui ont été accordées à tort.
Nous avons tous eu notre lot d’erreurs numériques, comme le fait d’envoyer involontairement un e-mail à la mauvaise personne ou de saisir des adresses e-mail dans le champ « Cc » à la place du champ « Cci ». Ces petites erreurs peuvent permettre à des tiers d’avoir à tort accès à des informations personnelles. De la même manière, réfléchissez-y à deux fois avant de partager le mot de passe de votre service de streaming préféré avec un ami, surtout si vous êtes du genre à utiliser le même mot de passe pour tous vos comptes (à ne surtout pas faire !). Si votre ami peut se contenter d’utiliser les informations de connexion pour regarder la dernière série à la mode, il se peut que vous l’ayez par inadvertance autorisé à accéder à tous vos comptes.
2. Gérez correctement votre empreinte numérique
Votre administrateur informatique peut-il répondre facilement à des questions critiques comme : « Où sont stockées nos données sensibles ? Qui y a accès ? Comment sont-elles partagées ? Certains utilisateurs externes représentent-ils une menace ? Quel est le processus de conservation et de suppression des dossiers ? » Les organisations doivent comprendre leur empreinte numérique, notamment le stockage des données, les autorisations utilisateur et les risques potentiels. Une fois que le service informatique a tout compris dans le détail, il convient de mettre en place une stratégie de gouvernance. Les bonnes pratiques sont les suivantes :
Surveiller le contrôle des accès critiques et les données sensibles dans le temps, en les hiérarchisant en fonction du risque ;
Générer automatiquement une « tâche de renouvellement » pour renouveler la certification de l’accès, les utilisateurs externes, les autorisations et les rôles ;
S’assurer que les propriétaires des données et les administrateurs possèdent toujours un inventaire précis du contenu en leur possession, sa raison d’être, son propriétaire et la date de dernière vérification des informations ;
Utiliser des stratégies automatisées qui déclenchent des alertes ou annulent les modifications non autorisées ou les actions à risque.
De la même manière, vous rappelez-vous tous les sites sur lesquels vous vous êtes personnellement créé un compte, avez enregistré votre carte de crédit ou entré des informations personnelles confidentielles ? Vous aussi, vous devez appliquer votre propre stratégie de gouvernance personnelle.
Les mots de passe corrompus sont responsables de 81 % des violations de données par piratage. Alors commençons par-là ! Nous sommes tous habitués aux pratiques de sécurité des mots de passe conventionnelles qui semblent efficaces et intuitives, mais les nouvelles recommandations du National Institute of Standards and Technology, considéré par beaucoup comme LA référence en matière de sécurité des mots de passe, suggèrent autre chose. Ces nouvelles recommandations sont les suivantes :
Préférez la longueur à la complexité. Si vous avez l’habitude de créer des mots de passe complexes avec des lettres et des caractères aléatoires, sachez que, en cas de vol, plus un mot de passe est long, plus il est difficile à décrypter. Essayez d’utiliser une combinaison de plusieurs mots faciles à retenir afin de créer un mot de passe plus long, comprenant au moins 8 caractères.
Oubliez les réinitialisations régulières. Les demandes fréquentes de réinitialisation obligatoire des mots de passe peuvent nuire à la sécurité. Les utilisateurs choisissent souvent de mettre à jour leurs mots de passe selon des schémas prévisibles, par exemple en remplaçant un caractère ou en ajoutant un caractère à la fin. Si un cyberattaquant connaissait votre mot de passe précédent, il n’aura aucune difficulté à découvrir le nouveau.
Ensuite, conservez un inventaire de chaque site sur lequel vous avez créé un compte et enregistré un mot de passe. Imaginez par exemple que vous avez acheté une paire de chaussures sur un site d’e-commerce en 2015 et que vous avez coché la case « Créer un compte » au moment de payer. À moins que vous ayez fait de nouveaux achats sur ce site au cours des années suivantes, il y a de fortes chances que vous ayez oublié l’existence de ce compte.
Si cette entreprise d’e-commerce se fait pirater demain, vous ne saurez peut-être même pas que vos informations ont été potentiellement exposées. Le fait de conserver une trace de vos comptes est essentiel pour comprendre votre empreinte numérique. De la même manière, veillez à supprimer les comptes que vous n’utilisez plus. Non seulement cela réduira votre exposition, mais cela réduira également le nombre de sites pour lesquels vous devez gérer vos identifiants.
3. Ayez toujours un plan de sauvegarde
Sachant que les cybermenaces visent souvent vos données personnelles ou professionnelles, il est essentiel d’avoir un plan de sauvegarde. Au travail comme à la maison, protégez vos données et équipez-vous d’une solution de sauvegarde dans le cloud pour rebondir rapidement en cas de perte de données. Qu’il s’agisse d’une attaque par rançongiciel, d’une corruption du contenu ou d’une simple erreur de l’utilisateur, cette mesure proactive pourra vous aider à éviter le pire. Les sauvegardes automatiques dans le cloud protègent vos données à intervalles réguliers et vous permettent de les restaurer à un moment donné.
Au niveau de l’entreprise, des solutions de sauvegarde robustes permettent de sécuriser et chiffrer les données de votre organisation. En cas de problème, les capacités de restauration à la demande permettent de réduire au minimum les périodes d’indisponibilité et les pertes de données.
Pour quelques dollars par mois seulement, des solutions de sauvegarde dans le cloud peuvent protéger les fichiers, photos et vidéos stockés dans vos appareils personnels. La vie est compliquée et tout peut arriver. Qu’on vous vole votre smartphone, que votre enfant renverse son verre sur votre ordinateur portable ou que votre disque dur soit corrompu, vous pourrez avoir l’esprit tranquille en sachant que vous pourrez récupérer et restaurer le contenu auquel vous tenez le plus.
Lorsqu’un mauvais clic peut avoir des conséquences financières, réputationnelles et opérationnelles, vous avez un immense pouvoir dans les mains. Faites ce que vous avez à faire pour protéger et préserver vos données critiques en suivant quelques bonnes pratiques de sécurité de l’entreprise simples.
Vous voulez en savoir plus sur la sécurité de l’entreprise ? Abonnez-vous à notre blog pour recevoir toutes nos actualités !
Dana Louise Simberkoff is the Chief Risk, Privacy and Information Security Officer at AvePoint. She is responsible for AvePoint’s privacy, data protection, and security programs. She manages a global team of subject matter experts that provide executive level consulting, research, and analytical support on current and upcoming industry trends, technology, standards, best practices, concepts, and solutions for risk management and compliance. Ms. Simberkoff is responsible for maintaining relationships with executive management and multiple constituencies both internal and external to the corporation, providing guidance on product direction, technology enhancements, customer challenges, and market opportunities.
Ms. Simberkoff has led speaking sessions at data privacy and security events around the globe. She was featured in Forbes, writes a monthly column for CMSWire, and was highlighted in the CSO Online list of “12 Amazing Women in Security”. She is a current member of the Women Leading Privacy Advisory Board and a past member of the Education Advisory Board for the International Association of Privacy Professionals (IAPP). Ms. Simberkoff holds a BA from Dartmouth College and a JD from Suffolk University Law School.
LinkedIn: www.linkedin.com/in/danalouisesimberkoff/en
Twitter: http://www.twitter.com/danalouise