MONASTUCE Le 1er blog ivoirien dédié à la sécurité informatique et à la cybersécurité
Les entreprises et les organisations luttent toujours pour faire face aux ransomwares, une cyberattaque dans laquelle les données des utilisateurs sont cryptées et retenues en otage, jusqu’à ce que la rançon soit payée. Cette tendance devrait se poursuivre et peut-être même s’intensifier. On me demande souvent ce qu’on devrait faire et quelles actions poser dans ce cas. Ces questions peuvent constituer un guide utile pour ceux qui ne savent pas s’ils en font assez au-delà de demander au service informatique de s’occuper de cela.
Au lieu du discours habituel sur les équipements à acheter ou les logiciels à installer, j’estime qu’il est essentiel que les personnes, en particulier celles qui font partie de la direction, aient le bon état d’esprit lorsqu’elles communiquent avec des personnes en première ligne dans la prévention des cyberattaques. C’est dans cet esprit que je vous présente une liste des neuf principaux atouts pour la cyber-résilience en termes de mentalité, de comportement et de précautions quotidiennes, car au final, la cybersécurité n’est pas seulement un problème technique, mais également un problème qui concerne les personnes.
1. Ne blâmez pas une victime lors d’une cyberattaque
Faire en sorte qu’un utilisateur qui a été compromis se sente comme le «méchant» ne fera qu’exacerber une situation déjà mauvaise. Cela peut créer un environnement dans lequel les gens essaient de résoudre eux-mêmes les problèmes ou, pire, simplement les cacher ou les ignorer et, plus important encore, de ne pas communiquer rapidement l’incident. Le vrai méchant est toujours en fuite, même lorsque la situation est corrigée.
2. Ne pas enchaîner votre équipe sur la base de cyber craintes
Interdire le WiFi ou l’utilisation de PC en dehors du réseau de l’entreprise est contre-productive en 2017 et irréaliste. Empêcher le personnel de travailler à la maison et compromettre l’efficacité, la productivité et le bien-être des travailleurs au nom de la sécurité entraîne des dommages nets pour l’organisation.
3. Ne vous excusez pas pour ne pas avoir mis en place les dernières garanties.
Vous avez peut-être un sens de la sécurité et «ce qu’il faut faire», mais il est plus probable que les technologies les plus récentes, y compris les réseaux du cloud, soient plus sécurisées que vos multiples ordinateurs centraux et serveurs connus et inconnus, qui n’ont pas appliqué les dernières mises à jour. Les dernières TIC peuvent également vous aider à être compétitif et efficace; des fournisseurs plus progressifs intègrent une sécurité de pointe à leurs produits dès la conception. Sur une note connexe, de nombreuses entreprises mettent actuellement en place des listes blanches d’applications. Ainsi, si un utilisateur télécharge un élément qui n’a pas été approuvé, le service informatique saute dessus. Cependant, même les logiciels autorisés peuvent télécharger des composants non autorisés lors de la mise à jour, ce qui crée des problèmes. J’ai rencontré des personnes qui hésitent à mettre à jour leur logiciel parce qu’elles ne veulent pas se faire engueuler. Mais rappelez-vous: il est bien plus important de mettre à jour que de courir le risque d’être touché par des logiciels malveillants en raison d’un système non corrigé.
4. Encouragez la communication au sein de votre organisation lorsque quelque chose se passe ou semble suspect
Même si vous perdez le téléphone ou le PC de votre entreprise, il est préférable de le signaler rapidement afin de minimiser les dommages éventuels. Perdre quelque chose ou généralement faire des erreurs fait partie de l’être humain. Il est plus important de créer une culture de confiance dans laquelle nous signalons rapidement les problèmes (et pas seulement les problèmes de cyber), afin que des mesures correctives appropriées puissent être prises. Cacher des choses ne fait qu’aggraver les problèmes des individus et de l’organisation.
5. Faites des tests et des audits de votre système de sécurité afin de vous assurer que les gens sont au courant.
Méfiez-vous des tentatives de pénétration excessive, ou des tests PEN, qui peuvent parfois donner trop peur aux utilisateurs pour ouvrir leurs fichiers.
6. Assurez-vous que la convivialité est au cœur de votre sécurité
Cela ne vaut tout simplement pas la peine si les gens continuent à travailler au sein du système uniquement pour faire leur travail. Pourtant, cela se produit tous les jours dans des entreprises et des organisations de toutes tailles. Ignorer la convivialité augmente la menace pour la sécurité. Changer votre mot de passe de 10 caractères tous les 10 jours ne fera que favoriser une culture de l’écriture sur les post-it, ce qui ne profitera à personne.
7. Assurez-vous que vos mesures de sécurité sont aussi invisibles, automatisées et intégrées que possible
Cela encouragera à la fois la convivialité et la résilience.
8. Vous souvenez-vous que vous avez de nombreuses occasions d’arrêter les méchants et d’empêcher les cyberattaques qui ont réussi?
Cela ne fait pas partie de votre système. Ils devront surmonter de nombreux obstacles pour obtenir les données ou tout autre objectif recherché. Il est donc important d’être proactif sur la défensive et de comprendre que c’est une bonne idée de passer un bon moment. La résilience et la communication sont la clé.
Les dirigeants doivent faire preuve d’intelligence en matière de cybersécurité et comprendre que c’est beaucoup plus qu’un problème pour le service informatique. En tant qu’infrastructure essentielle à la mission, le cyberespace concerne toutes les divisions d’une organisation et touche tout le monde. Une stratégie efficace en matière de cybersécurité, organisée de manière à prévenir et à prévenir uniquement les cyberattaques, peut améliorer la compétitivité et même aboutir à un meilleur équilibre entre le travail et la vie personnelle entre les employés. Le moment de commencer est maintenant.
