Par : Gary McAlum, Directeur de la sécurité de l'information, AIG 

En fait, un rapport récent a révélé que les petites entreprises sont trois fois plus susceptibles d'être ciblées par des cybercriminels que les grandes entreprises. Heureusement, vous n’avez pas besoin d’un budget de cybersécurité de plusieurs millions de dollars pour protéger votre entreprise contre les cyberattaques. Que vous soyez responsable de la protection d'une entreprise Fortune 500 ou d'une opération de cinq personnes, voici quatre étapes simples que vous pouvez suivre pour réduire considérablement votre risque cyber.

1. Exiger des mots de passe forts

Rendez les comptes des employés aussi difficiles que possible à pirater pour les cybercriminels en exigeant des mots de passe longs, uniques et complexes. Pour une protection encore meilleure, les mots de passe doivent comporter au moins 12 caractères et inclure des lettres majuscules et minuscules, des chiffres et des caractères spéciaux.

2. Activer l'authentification multi-facteurs

L'authentification multi-facteurs aide à empêcher les cybercriminels d'accéder à des comptes importants au cas où le mot de passe d'un employé serait compromis. Exiger une méthode secondaire pour vérifier l'identité d'un employé ajoute une couche de protection supplémentaire.

3. Éduquer vos employés

Il n'aura aucune importance de savoir combien vous avez rendu les comptes de vos employés impénétrables s'ils ne savent pas comment identifier et éviter les menaces cyber. Il a été rapporté que la majorité des cyberattaques sont causées par des erreurs humaines. Si vous ne devez prendre qu'une seule mesure pour améliorer la cybersécurité de votre entreprise, éduquez vos employés !

• Concentrez-vous sur le phishing. Le phishing représente 90 % des violations de données, il est donc essentiel d'apprendre à vos employés à reconnaître les tentatives de phishing et à savoir quoi faire s'ils reçoivent un e-mail suspect, selon un rapport récent. La National Cybersecurity Alliance offre un aperçu utile sur le phishing. Le message le plus simple à partager avec vos employés est : En cas de doute, ne cliquez pas !

• Fournir une formation annuelle de sensibilisation à la cybersécurité. Que vous travailliez avec un prestataire pour fournir une formation formelle ou que vous teniez simplement une réunion pour discuter des principes de base de la sécurité en ligne avec vos employés, offrez une remise à niveau sur la cybersécurité au moins une fois par an. Lorsque de nouveaux employés arrivent, assurez-vous qu'ils reçoivent une formation dans le cadre de leur intégration.

• Participer au Mois de la sensibilisation à la cybersécurité. Profitez du mois d'octobre pour sensibiliser vos employés à la cybersécurité. Inscrivez-vous en tant que Champion du Mois de la sensibilisation à la cybersécurité pour recevoir une trousse d'outils gratuite de matériels à partager avec vos employés.

• Rendre les ressources de sensibilisation à la cybersécurité disponibles toute l'année. Si possible, rendez les ressources de sensibilisation à la cybersécurité accessibles aux employés sur un site intranet. Incluez du contenu sur la cybersécurité dans les bulletins d'information et autres communications récurrentes destinées aux employés.

4. Envisagez l'assurance cybersécurité

Les cybercriminels développent constamment de nouvelles tactiques et techniques, donc même si vous prenez toutes les mesures ci-dessus, votre entreprise pourrait encore subir un incident cyber. Quelle que soit la taille de votre entreprise, le coût de la récupération suite à une cyberattaque peut être catastrophique. Souscrire une assurance cybersécurité peut aider à couvrir le coût de la récupération face à de nombreux types d'incidents cybernétiques, tels que les violations de données et les attaques par ransomware.

De plus, de nombreuses polices incluent des évaluations de risques cyber, des informations et un accès à des outils qui aident les entreprises à identifier et à reconnaître comment remédier aux vulnérabilités. Une équipe de gestion des sinistres engagée et expérimentée peut interagir avec une organisation avant qu'une attaque et une réclamation ne surviennent et fournir des informations sur l'expérience et le processus de réclamation, y compris des présentations à des cabinets d'avocats et à des prestataires de cybersécurité qui feraient partie d'une équipe de réponse aux incidents si cela devenait nécessaire. Cela est particulièrement précieux pour les petites entreprises qui n'ont pas de ressources consacrées à la cybersécurité.

Pour plus d'informations sur la façon de protéger votre entreprise contre les cyberattaques, explorez le programme CyberSecure My Business de la National Cybersecurity Alliance.

Gary McAlum, Directeur de la sécurité de l'information, American International Group (AIG)

Dans ce rôle, il est responsable de l'élaboration, de la mise en œuvre et de l'exploitation d'une stratégie de sécurité de l'information pour faire face aux risques cybers d'AIG. Il est chargé de protéger les données d'AIG, de gérer les risques liés à la cybersécurité et d'assurer la conformité réglementaire, tout en permettant le bon fonctionnement de l'entreprise.

En 2021, Gary a pris sa retraite de USAA, une société de services financiers axée sur la communauté militaire, où il a occupé le poste de Directeur de la sécurité pendant plus de 11 ans. Dans ce rôle, il dirigeait une équipe de plus de 1 000 personnes réparties en sécurité de l'information, protection de la vie privée, opérations de fraude, continuité des affaires, opérations de sécurité physique et enquêtes d'entreprise. Pendant son temps à USAA, il a siégé pendant 10 ans au conseil d'administration de l'Internet Security Alliance (ISA) et a contribué à plusieurs de leurs publications. De plus, il était un orateur industriel régulier au Département de la Défense (DoD) Cyberspace Operations Executive Course (COEC), conçu pour fournir aux dirigeants militaires une meilleure compréhension des technologies, des politiques et des opérations mises en œuvre pour défendre et opérer dans le domaine cyber.

Avant USAA, Gary a servi 25 ans dans l'armée de l'air américaine, prenant sa retraite en tant que Colonel. Tout au long de sa carrière militaire, il a travaillé dans divers postes de direction et d'état-major dans le domaine de la technologie de l'information et de la cybernétique, y compris les opérations de cybersécurité, les télécommunications, les communications par satellite, les opérations de réseau déployées et la sécurité de l'information. Gary a effectué plusieurs déploiements au Moyen-Orient à l'appui des opérations militaires. Plus particulièrement, il était en première ligne des opérations cyberespaciales pour le DoD, où il a soutenu l'établissement et l'évolution du Joint Task Force Global Network Operations (JTF-GNO), l'organisation qui était le point focal pour l'exploitation et la sécurité des systèmes d'information et des réseaux du DoD et une organisation précurseur de l'US Cyber Command. Pendant cette période, Gary a été fréquemment sollicité pour fournir des informations sur les menaces cybernétiques à une grande variété de forums inter-agences, y compris la Commission d'examen économique et de sécurité États-Unis-Chine et le Groupe d'étude sur la cybersécurité nationale du Président, ainsi que pour fournir des témoignages au Congrès. En 2016, il a été intronisé au Temple de la renommée des opérations cyber de l'air force. Après sa retraite de l'armée de l'air, il a passé un court moment chez Deloitte & Touche, LLP, dans leur pratique fédérale.

Gary a obtenu un baccalauréat en mathématiques de The Citadel, une maîtrise en systèmes d'information de gestion de l'Université de l'Arizona et une maîtrise du Collège industriel des forces armées. Il est certifié en sécurité des systèmes d'information (CISSP) et expert en fraude certifié (CFE). Gary a suivi le cours de certification en supervision des risques cybernétiques de la National Association of Corporate Directors (NACD), le programme de développement exécutif en sécurité de Wharton, et le cours d'éducation exécutive Cybersecurity: The Intersection of Policy and Technology à la Kennedy School of Government de Harvard. En outre, il a assisté à l'Académie CISO et à l'Académie de sécurité intérieure du FBI.

Gary siège au conseil d'administration du National Cybersecurity Center, un organisme à but non lucratif pour l'innovation et la sensibilisation en matière de cyber, et de Fisher House Inc., une organisation à but non lucratif qui soutient les membres militaires, les anciens combattants et leurs familles séjournant à Fisher House pendant qu'ils reçoivent des soins médicaux dans la région de San Antonio.