Un des axes de l'éducation à la sécurité en ligne des employés devrait inclure la démystification des idées reçues courantes sur la cybersécurité. Cette liste – assemblée par la National Cybersecurity Alliance, en collaboration avec des partenaires publics et privés – est basée sur les expériences de chefs d'entreprise et d'employés à travers les États-Unis.

10 idées reçues courantes

#1 : Mes données (ou les données auxquelles j'ai accès) n'ont pas de valeur

Les organisations de toutes tailles maintiennent ou ont accès à des données précieuses qu'il vaut la peine de protéger. Ces données peuvent inclure, sans s'y limiter, les dossiers d'emploi, les informations fiscales, la correspondance confidentielle, les systèmes de point de vente, les contrats d'affaires. Toutes les données sont précieuses. Agir : Évaluez les données que vous créez, collectez, stockez, accédez, transmettez, puis classifiez ces données par leur niveau de sensibilité pour prendre les mesures appropriées pour les protéger. En savoir plus sur la façon de procéder.

#2 : La cybersécurité est une question de technologie

Les organisations ne peuvent pas se fier uniquement à la technologie pour sécuriser leurs données. La cybersécurité est mieux abordée avec un mélange de formation des employés, de politiques et procédures claires et acceptées, et de mise en œuvre des technologies à jour telles que les logiciels antivirus et anti-malware.  Sécuriser une organisation est la responsabilité de l'ensemble du personnel, et non pas seulement du service informatique. Agir : Éduquez chaque employé (dans chaque fonction et à chaque niveau de l'organisation) sur sa responsabilité à aider à protéger toutes les informations d'affaires. En savoir plus sur comment faire cela avec le guide de l'Institut National des Normes et de la Technologie.

#3 : La cybersécurité nécessite un investissement financier important

Une stratégie de cybersécurité robuste nécessite effectivement un engagement financier si vous êtes sérieux à propos de la protection de votre organisation. Cependant, il existe de nombreuses étapes que vous pouvez prendre qui nécessitent peu ou pas d'investissement financier.

Agir : Créez et instituez des politiques et procédures de cybersécurité ; restreignez les privilèges administratifs et d'accès ; activez l'authentification multi-facteurs ou 2-facteurs ; formez les employés à repérer les courriels malveillants et créez des procédures manuelles de sauvegarde pour maintenir les processus d'affaires critiques en opération pendant un incident cyber. Ces procédures peuvent inclure le traitement des paiements dans le cas où un fournisseur tiers ou un site web ne serait pas opérationnel. En savoir plus sur la façon de procéder avec la feuille de conseils “Quick Wins” de la NCA.

#4 : Externaliser le travail à un fournisseur vous déchargera de la responsabilité de sécurité en cas d'incident cyber

Il est tout à fait sensé de sous-traiter certains de vos travaux à d'autres, mais cela ne signifie pas que vous renoncez à la responsabilité de protéger les données auxquelles un fournisseur a accès. Les données vous appartiennent et vous avez l'obligation légale et éthique de les garder sûres et sécurisées.

Agir : Assurez-vous d'avoir des accords complets en place avec tous les fournisseurs, y compris comment les données de l'entreprise sont gérées, qui possède les données et y a accès, combien de temps les données sont conservées et ce qu'il advient des données une fois qu'un contrat est terminé. Vous devriez également faire examiner tout accord fournisseur par un avocat. En savoir plus sur la façon de le faire avec cette liste de l'American Bar Association.

#5 : Les violations de cybersécurité sont couvertes par l'assurance de responsabilité civile générale

De nombreuses polices d'assurance de responsabilité civile standard pour entreprises ne couvrent pas les incidents cyber ou les violations de données.

Agir : Discutez avec votre représentant en assurances pour comprendre si vous avez une assurance cybersécurité existante et quel type de police conviendrait le mieux aux besoins de votre entreprise. En savoir plus sur la façon de faire cela avec le Centre des petites entreprises de la Commission Fédérale du Commerce (FTC).

#6 : Les cyberattaques proviennent toujours d'acteurs externes

En résumé, les cyberattaques ne proviennent pas toujours d'acteurs externes. Certains incidents de cybersécurité sont causés accidentellement par un employé – par exemple lorsqu'il copie et colle des informations sensibles dans un courriel et l'envoie au mauvais destinataire. D'autres fois, un employé mécontent (ou ancien employé) pourrait prendre sa revanche en lançant une attaque contre l'organisation.

Agir : Lorsque vous considérez votre paysage de menaces, il est important de ne pas négliger les incidents de cybersécurité potentiels qui peuvent provenir de l'intérieur de l'organisation et de développer des stratégies pour minimiser ces menaces. En savoir plus sur la façon de faire cela avec cette ressource de l'Agence de la Cybersécurité et de la Sécurité des Infrastructures Critiques.

#7 : Les jeunes sont meilleurs en cybersécurité que d'autres

Souvent, la personne la plus jeune de l'organisation devient par défaut la personne “IT”. L'âge n'est pas directement corrélé à de meilleures pratiques de cybersécurité.

Agir : Avant de donner à quelqu'un la responsabilité de gérer vos réseaux sociaux, site web, réseau, etc., éduquez-les sur vos attentes en matière d'utilisation et de meilleures pratiques en cybersécurité. En savoir plus comment les différentes générations se comportent en ligne.

#8 : La conformité avec les normes de l'industrie suffit pour un programme de sécurité

Se conformer à la Health Insurance Portability & Accountability Act (HIPAA) ou Payment Card Industry (PCI), par exemple, est une composante critique pour sécuriser les informations sensibles, mais simplement se conformer à ces normes ne se traduit pas par une stratégie de cybersécurité robuste pour une organisation.

Agir : Utilisez un cadre robuste, tel que le cadre de cybersécurité NIST, pour gérer les risques liés à la cybersécurité. En savoir plus sur le cadre de cybersécurité NIST.

#9 : La sécurité numérique et physique sont séparées

Beaucoup de gens associent étroitement la cybersécurité uniquement au logiciel et au code. Cependant, lorsque vous protégez vos actifs sensibles, vous ne devez pas sous-estimer la sécurité physique.

Agir : Incluez dans votre planification une évaluation de la disposition de votre bureau et de la facilité avec laquelle il est possible d’accéder physiquement et de manière non autorisée à des informations et actifs sensibles (par exemple, serveurs, ordinateurs, dossiers papier). Une fois votre évaluation terminée, mettez en œuvre des stratégies et des politiques pour prévenir l'accès physique non autorisé. Les politiques peuvent inclure le contrôle de qui peut accéder à certaines zones du bureau et la sécurisation appropriée des ordinateurs portables et téléphones lors des déplacements. En savoir plus sur la sécurité physique sur le site Web de la FTC.

#10 : Les nouveaux logiciels et appareils sont automatiquement sécurisés lorsque je les achète

Ce n'est pas parce que quelque chose est nouveau que c'est sécurisé.

Agir : Au moment où vous achetez une nouvelle technologie, assurez-vous qu'elle fonctionne avec le logiciel le plus récent et changez immédiatement le mot de passe par défaut du fabricant pour une phrase de passe sécurisée. Lors de la création d'une nouvelle phrase de passe, utilisez une phrase longue et unique pour le compte ou l'appareil. Vous vous inscrivez pour un nouveau compte en ligne ? Assurez-vous de configurer immédiatement vos paramètres de confidentialité avant de commencer à utiliser le service. Trouver des informations pour sécuriser les nouveaux appareils. Voir et télécharger une version condensée de ce contenu que vous pouvez partager au sein de votre entreprise et avec vos réseaux. Découvrez le podcast sur les idées fausses en cybersécurité pour les petites entreprises avec ITSP Magazine.