Les petites et moyennes entreprises (PME) ne sont pas à l'abri des cyberattaques, mais elles sont confrontées à un paysage de menaces en évolution et doivent savoir comment gérer au mieux les risques.
Au cours de la « Table ronde sur la cybersécurité pour les PME : naviguer dans la complexité et renforcer la résilience » plus tôt ce mois-ci, Sage a réuni un groupe de RSSI et d'autres professionnels de la cybersécurité issus de petites entreprises, d'agences gouvernementales et d'organisations à but non lucratif pour discuter de certaines des plus grandes préoccupations auxquelles sont confrontées les PME et leurs organisations. capacité à sécuriser les actifs de leur entreprise. Parmi les principaux défis pour les PME et les organisations à but non lucratif figurent :
- Le facteur humain. Les employés continuent de commettre des erreurs, comme cliquer sur des liens dans des e-mails de phishing ou autoriser un accès non protégé à leurs appareils, ce qui met en danger les réseaux de l'entreprise.
- Besoins de conformité des tiers. Les organisations partenaires, sous-traitants, fournisseurs et autres entités tierces exigent que les PME répondent à leurs exigences en matière de cybersécurité, en particulier les organisations, comme les institutions financières, qui sont hautement réglementées.
- Lois sur la confidentialité des données dans les États et les pays. Le non-respect de ces exigences de conformité pourrait entraîner des sanctions et des amendes.
- La main-d’œuvre hybride. Les PME ne disposent plus des mêmes niveaux de surveillance des appareils et des comportements en ligne lorsque les employés travaillent à distance, même une partie du temps.
- Plateformes et industries ciblées. Les acteurs malveillants recherchent des organisations qui utilisent des applications conçues pour collecter des fonds ou collecter de grandes quantités d’informations personnelles.
- Paysage changeant des menaces. De nouveaux vecteurs d’attaque, de nouveaux logiciels malveillants et de nouveaux acteurs de menace semblent émerger chaque jour.
Près de la moitié des PME ont été confrontées à un incident de cybersécurité au cours de l'année écoulée, selon une nouvelle étude. étude de Sage. Alors que 69 % des personnes interrogées dans le monde déclarent que la cybersécurité fait partie de la culture de leur entreprise, presque le même nombre n'y pense pas jusqu'à ce qu'il y ait un incident : seules 4 personnes interrogées sur 10 déclarent que leur entreprise discute régulièrement de cybersécurité.
La cybersécurité ne doit pas nécessairement être coûteuse
Après une attaque, il est trop tard pour entamer des discussions sur la manière de protéger le réseau et l'entreprise, mais de nombreuses PME ne disposent pas des systèmes adéquats. Selon les recherches de Sage, par exemple, 46 % des PME n'utilisent pas de pare-feu et 19 % s'appuient uniquement sur des outils très basiques.
Oui, la cybersécurité peut coûter cher. Entreprises peut avoir plus de 100 outils de sécurité utilisé. Cependant, cela ne doit pas nécessairement être si compliqué pour les PME, et certaines approches peuvent même être gratuites ou peu coûteuses.
Commencez par créer un programme de risque interne qui supervise les politiques de sécurité dans l'ensemble de l'entreprise en mettant l'accent sur le comportement des employés, a recommandé Shawnee Delaney, PDG du groupe Vaillance, lors de la table ronde.
"Cela nécessite d'avoir des conversations, parfois inconfortables, car personne ne veut penser que ses propres employés pourraient faire quelque chose de malveillant", a déclaré Delaney. « Mais la vérité est que la grande majorité [des cyberincidents] sont involontaires. »
La gestion des cycles de vie de l’emploi humain est essentielle à un système de cybersécurité efficace. Cela commence lors du processus d’entretien et d’embauche en s’assurant que vous avez quelqu’un qui correspond bien à la culture et qui est prêt à reconnaître la manière dont la cybersécurité s’intègre dans la structure organisationnelle, a ajouté Delaney. Une fois que vous avez effectué une embauche, suivez les processus d'intégration qui mettent l'accent sur l'hygiène de sécurité de base, y compris le moindre privilège et l'accès selon les besoins. Et lorsque l'employé part, assurez-vous processus de délocalisation déconnecter complètement l’accès.
Individualisez la formation en sécurité
En raison du lien humain avec la cybersécurité, tout le monde dans une petite entreprise, du PDG jusqu’au bas de l’échelle, doit avoir une compréhension de base de ce à quoi ressemblent les menaces. Il existe de nombreuses options de formation à la sensibilisation à la sécurité, mais les PME feraient bien d'éviter une option universelle.
La formation devrait être orienté vers les travailleurs individuels sur la base de critères tels que la fonction professionnelle et les écarts générationnels en matière de connaissances et d’intérêts technologiques. Les travailleurs plus âgés ont souvent un style d'apprentissage différent de celui des employés plus jeunes, tout comme les employés qui occupent des emplois à plus forte intensité de main-d'œuvre peuvent avoir une relation différente à la technologie que ceux qui sont attachés à leurs appareils toute la journée. Ne pas respecter ces différences entraîne une formation inégale qui pourrait finir par faire plus de mal que de bien.
Faire de la cybersécurité un enjeu commercial
Il existe une tendance, en particulier parmi les PME, à considérer la cybersécurité comme un problème informatique pour lequel toutes les connaissances résident dans l'espace technologique, selon Gustavo Zeidan, RSSI de Sage.
Une meilleure approche consiste à penser à la cybersécurité comme enjeu commercial. La culture de la sécurité est mieux pilotée par le haut, a déclaré Zeidan lors de la table ronde, et la direction doit discuter des cybermenaces et de la manière dont leurs entreprises peuvent être ciblées.
« Les chefs d'entreprise reconnaissent qu'il s'agit d'un problème, mais ils n'en parlent pas », a expliqué Zeidan. La pire chose qui puisse arriver est de ne pas être préparé à un incident de sécurité qui perturberait les opérations de votre entreprise.
Et lorsqu’un cyberincident survient au sein de l’entreprise, ne le cachez pas. La Federal Trade Commission (FTC) propose lignes directrices sur les personnes à contacter, y compris les forces de l'ordre, les clients et les fournisseurs.
Mais ne vous arrêtez pas là. Communiquez avec d'autres entreprises et discutez des stratégies pour résoudre l'incident. Partagez ces informations via des organisations axées sur l'industrie ou au niveau local. Chambre de commerce réunions – partout où vous êtes en contact avec d’autres chefs d’entreprise.
« Si vous avez une violation, soyez ouvert, honnête et partagez les leçons apprises avec d'autres entreprises afin que les praticiens puissent en tirer des leçons », a déclaré Delaney. « Peu importe si nous sommes des concurrents. En résumé, c'est une question de sécurité nationale.»
Savoir où demander de l'aide
Chaque entreprise, quelle que soit sa taille, a besoin de plus d’expertise en cybersécurité qu’elle n’en possède. Quelle que soit la manière dont la PME investit dans la sécurité, la responsabilité de la cybersécurité doit être répartie dans toute l’entreprise.
Des ressources sont disponibles pour aider à guider les PME dans leur parcours de sécurité. La Cybersecurity and Infrastructure Security Agency (CISA), par exemple, propose un Guide de cybersécurité pour les PME cela concerne spécifiquement les différents rôles liés à la sécurité que jouent les individus dans un environnement de petite entreprise.
Les partenariats avec des entreprises de tous types et de toutes tailles sont au cœur de la mission de CISA, a déclaré Lauren Boas Hayes, participante à la table ronde, conseillère principale pour la technologie et l'innovation à CISA.
« Le paysage change ; il y a de nouvelles menaces chaque jour », a ajouté Delaney.
Les praticiens et les entreprises peuvent avoir l'impression de jouer à la taupe dans leurs efforts pour contrecarrer ces nouvelles menaces, mais la bonne nouvelle pour les PME est que des techniques d'atténuation existent. Il s'agit simplement de trouver le programme qui convient le mieux à chaque entreprise.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/edge/how-smbs-can-balance-cybersecurity-needs-and-resources
- :possède
- :est
- :ne pas
- :où
- $UP
- 10
- 100
- a
- capacité
- A Propos
- à propos de ça
- accès
- Selon
- reconnaître
- à travers
- acteurs
- ajoutée
- conseiller
- agences
- agence
- Tous
- Permettre
- parmi
- quantités
- an
- et les
- et infrastructure
- applications
- une approche
- approches
- SONT
- AS
- Outils
- At
- attaquer
- disponibles
- éviter
- Balance
- basé
- Essentiel
- BE
- car
- humain
- LES MEILLEURS
- Améliorée
- Le plus grand
- violation
- Apporté
- Développement
- la performance des entreprises
- Des chefs d'entreprise
- opérations commerciales
- entreprises
- mais
- by
- CAN
- CEO
- globaux
- en changeant
- CISA
- CISO
- recueillir
- commission
- communiquer
- Sociétés
- Société
- actifs de l'entreprise
- Culture d'entreprise
- concurrents
- complètement
- complexité
- conformité
- compliqué
- Préoccupations
- connexion
- Considérer
- contact
- continuer
- entrepreneurs
- Conversation
- conversations
- Core
- pourriez
- d'exportation
- La création
- critères
- à la diversité
- Culture
- Clients
- cyber
- cyber-attaques
- Cybersécurité
- Agence de cybersécurité et de sécurité des infrastructures
- cycles
- journée
- un
- Compatibles
- différences
- différent
- discuter
- discuter
- discussions
- do
- doesn
- faire
- Don
- down
- entraîné
- pendant
- Plus tôt
- Efficace
- efforts
- emails
- émerger
- l'accent
- Employés
- employés
- emploi
- fin
- mise en vigueur
- Entreprise
- entités
- Environment
- notamment
- Ether (ETH)
- Pourtant, la
- Chaque
- tous les jours
- tout le monde
- évolution
- exemple
- cher
- expérimenté
- nous a permis de concevoir
- expliqué
- facteur
- National
- Federal Trade Commission
- ressentir
- la traduction de documents financiers
- Institutions financières
- trouver
- extrémités
- pare-feu
- s'adapter
- suivre
- Pour
- gratuitement ici
- De
- FTC
- fonction
- lacunes
- générationnel
- Go
- Bien
- Gouvernement
- organismes gouvernementaux
- Réservation de groupe
- guide
- Half
- arriver
- nuire
- Vous avez
- vous aider
- caché
- très
- louer
- Embauchons
- honnête
- Comment
- How To
- Cependant
- HTTPS
- humain
- Hybride
- if
- immunitaire
- in
- incident
- incidents
- Y compris
- individuel
- individus
- secteurs
- peu coûteux
- d'information
- Infrastructure
- Innovation
- les établissements privés
- intérêts
- Interview
- développement
- Investit
- IT
- SES
- Emploi
- Emplois
- chemin
- jpg
- juste
- XNUMX éléments à
- connaissance
- spécialisées
- paysage d'été
- gros
- En retard
- lauren
- Droit applicable et juridiction compétente
- application de la loi
- Lois
- dirigeants
- APPRENTISSAGE
- savant
- apprentissage
- Cours
- Leçons apprises
- niveaux
- se trouve
- VIE
- comme
- Gauche
- locales
- plus long
- Style
- ressembler
- LES PLANTES
- Majorité
- a prendre une
- Fabrication
- malware
- gérer
- gestion
- de nombreuses
- Matière
- Mai..
- Découvrez
- réunion
- réunions
- pourrait
- Mission
- erreurs
- atténuation
- de l'argent
- Mois
- PLUS
- Nationales
- la sécurité nationale
- navigation
- presque
- Besoin
- Besoins
- réseau et
- réseaux
- Nouveauté
- nouvelles
- aucune
- À but non lucratif
- Associations à but non lucratif
- nombre
- of
- Offres Speciales
- souvent
- plus
- on
- Onboarding
- une fois
- ONE
- en ligne
- uniquement
- ouvert
- Opérations
- Option
- Options
- or
- organisationnel
- organisations
- Autre
- ande
- Surveillance
- propre
- partie
- les partenaires
- passé
- personnel
- phishing
- Place
- Plateformes
- Platon
- Intelligence des données Platon
- PlatonDonnées
- Jouez
- jouer
- Beaucoup
- politiques
- la confidentialité
- lois sur la vie privée
- Problème
- processus
- les process
- ,une équipe de professionnels qualifiés
- Programme
- protéger
- mettre
- augmenter
- RE
- reconnaître
- recommandé
- Indépendamment
- régulièrement
- réglementé
- relation amoureuse
- compter
- exigent
- Exigences
- a besoin
- un article
- la résilience
- Resources
- respectant
- répondants
- responsabilité
- résultat
- Résultats
- bon
- Analyse
- rôle
- s
- Saïd
- même
- Les sanctions
- dire
- sécurisé
- sécurité
- Sensibilisation à la sécurité
- les politiques de sécurité
- sembler
- supérieur
- Partager
- devrait
- Taille
- tailles
- petit
- les petites entreprises
- les petites entreprises
- faibles
- SMB
- PME
- So
- quelques
- Quelqu'un
- quelque chose
- parfois
- Space
- parle
- spécifiquement
- propagation
- Commencer
- États
- Arrêter
- les stratégies
- stress
- structure
- Lutter
- Catégorie
- tel
- sûr
- combustion propre
- Système
- T
- discutons-en
- des campagnes marketing ciblées,
- technologie
- techniques
- Technologie
- que
- qui
- Le
- Le paysage
- leur
- Là.
- Ces
- l'ont
- chose
- penser
- des tiers.
- this
- ceux
- menace
- acteurs de la menace
- des menaces
- Avec
- fiable
- à
- ensemble
- trop
- les outils
- top
- vers
- commerce
- Formation
- Vérité
- types
- compréhension
- jusqu'à
- ascendant
- utilisé
- Vaste
- fournisseurs
- très
- vital
- veut
- we
- problèmes récurrents
- Quoi
- quand
- qui
- tout en
- WHO
- prêt
- WISE
- comprenant
- dans les
- activités principales
- ouvriers
- Nos inspecteurs
- de travail
- travailler à distance
- vos contrats
- partout dans le monde
- pire
- pourra
- an
- encore
- you
- Younger
- Votre
- zéphyrnet
