Une sécurité d'accès digne d'une grande entreprise avec la sensibilité d'une PME
Les petites et moyennes entreprises (PME) aujourd'hui sont attaquées par des logiciels malveillants, des rançongiciels, des menaces externes et des violations de données. Mais avec le manque de sophistication autour de la position de sécurité de la plupart des PME, la perspective de ne pas être affecté par les attaques est sombre.
Apprenez comment les PME, et les fournisseurs de services gérés (Managed Service Providers – MSP en anglais) qui les desservent, peuvent obtenir une protection digne des grandes entreprises en termes de concentration et d'efficacité, mais avec une sensibilité propre aux PME en termes de mise en œuvre et d'utilisation.
L'impact de la sécurité sur les résultats d'une PME
Une visite de tout bureau de PME moderne montre à quel point les solutions informatiques sont essentielles à la réussite de l'entreprise.
L'absence de systèmes de messagerie et de communication, d'applications de productivité et d'outils d'entreprise qui font tout, du processus d'organisation au reporting des données financières, entraverait certainement le succès et la rentabilité. Et pourtant, malgré cela, la sécurité informatique est toujours perçue comme un coût indésirable, plutôt que comme un facilitateur de solutions d'affaires.
L'informatique est importante pour le succès des petites et moyennes entreprises, et la sécurité est importante pour le succès de l'informatique.
Aujourd'hui, toute PME peut rapidement adopter une nouvelle technologie pour acquérir de nouvelles capacités, améliorer son efficacité et / ou réduire ses coûts. Cependant, chaque nouvelle application crée un besoin de sécuriser les utilisateurs, les données et l'environnement dans lequel la solution s'intègre.
Ceux qui traitent la sécurité comme une exigence onéreuse qui est invoquée chaque fois qu'une nouvelle technologie est envisagée tarderont à adopter - et à tirer profit - de nouvelles efficiences.
Les PME qui établissent des cadres de sécurité informatique efficaces sont capables de se déplacer plus rapidement et plus sûrement que leurs concurrents. Les environnements dépourvus de solutions de sécurité informatique efficaces auront du mal à innover et risquent de se laisser distancer par des concurrents plus agiles.
Mais, ce n'est pas facile de sécuriser les PME
Tout d’abord, il ne s'agit pas de propager peur, incertitude et doute. Selon l'étude Accenture sur le coût de la cybercriminalité, 43 % des cyberattaques visent les petites entreprises, mais seulement 14 % sont prêtes à se défendre.
Les PME sont une cible lucrative parce que la plupart n'ont pas suffisamment de défenses en place pour protéger, détecter ou réagir aux attaques. En fait, seulement 14% des PME considèrent leur sécurité comme «très efficace» (en anglais).
Le rapport Verizon Data Breach Investigation souligne les défis communs pour les PME.
Pourquoi les PME sont-elles une cible ?
Manque d’expertise / de compréhension
Ce n'est pas tellement ces raisons exactes ; manque de ressources, manque d'expertise, manque d'information, manque de temps, manque de formation - bien qu'elles soient toutes très pertinentes et réelles. La raison commune pour laquelle nous voyons les PME comme une cible facile est parce qu'il y a un "manque de quelque chose".
- Manque de ressources
Les PME ont déjà investi dans les systèmes et technologies existants. Ils veulent éviter d'investir dans quelque chose d'autre qui pourrait aussi nécessiter la mise à jour de toute l'infrastructure, la mise à jour du stockage ou la mise à jour du système d'exploitation.
- Manque d’expertise
Les défis deviennent également de plus en plus complexes. Les entreprises doivent déployer des solutions de sécurité qui s'étendent aux sites distants et couvrent les utilisateurs itinérants et mobiles. Pour les clients situés dans une région géographique distincte, les problèmes sont souvent tout aussi complexes. Ils ont des partenaires, des consultants, des chaînes d'approvisionnement qui s'étendent au-delà du périmètre du réseau traditionnel et rendent les choses encore plus difficiles à défendre.
- Manque d’information et de formation
La plupart des petites et moyennes entreprises n'ont pas d'équipe informatique importante. Les solutions de sécurité les plus utilisées ont tendance à être simples à mettre en œuvre et intuitives à gérer.
- Manque de temps
Les entreprises de plus petite taille se concentrent naturellement sur leur capacité d'être opérationnelles au jour le jour, afin de pouvoir servir les clients pour maintenir l'activité et rémunérer le personnel. Les entreprises de taille moyenne manquent souvent de motivation de la direction qui doit être mieux informée des dangers pour en faire une priorité et offrir les ressources et la formation nécessaires pour que les services informatiques répondent à leurs besoins de sécurité. Ce n'est pas seulement à propos d'argent. Des perspectives de cybersécurité sont disponibles pour aider les PME, mais cela prend du temps.
L'état actuel de la sécurité des PME est axé principalement sur la sécurité protectrice
Une position de sécurité efficace devrait aller au-delà de la simple « montée des boucliers » autour des utilisateurs, des données et des réseaux.
Mais aujourd'hui, la plupart des PME se concentrent sur la sécurité protectrice comme les antivirus, la gestion des correctifs, les filtres de messagerie ou Web, la liste blanche des applications et peut-être un système de détection d'intrusion ou d'authentification à deux facteurs pour vos comptes les plus privilégiés.
Il n'y a rien de mal à ça. Ce sont des mesures évidentes de protection et de prévention que vous devriez prendre, mais il ne suffit pas de mettre ces barrières en place.
Malgré tous ces efforts, la compromission continuera d'exister. Les attaquants s'améliorent, cherchent de nouvelles façons de tirer profit et le problème est que personne ne le détecte. Et si personne ne détecte, personne ne peut répondre.
En fait, parfois le défi avec une violation est de savoir qu'elle a eu lieu. Selon le rapport 2022 sur le coût d'une violation de données (en anglais), il faut en moyenne 277 jours pour découvrir une violation.
La meilleure stratégie de protection doit donc être validée au fil du temps. « Détecter et réagir » devrait être utilisé pour s'assurer que les mesures préventives fonctionnent – repérer et réagir à une activité anormale ou suspecte.
Implementer la MFA à l’ensemble des utilisateurs
L’absence de ressources en matière de sécurité pour les PME oblige souvent les administrateurs informatiques à restreindre la MFA, si tant est qu’elle existe, aux comptes privilégiés.
Bien que chaque organisation ait un équilibre différent, vous réduirez les risques en étendant la sécurité autant que possible aux comptes non privilégiés. La vraie valeur de la MFA est de protéger tout compte ayant accès aux données, applications et systèmes critiques.
Cela est parfaitement réalisable pour les PME. La MFA est entravée par des mythes communs, tels que trop coûteux, trop complexes ou trop frustrant pour les PME. Mais la MFA a considérablement évolué. Avec la bonne solution, vous pouvez mettre en œuvre une MFA personnalisée et granulaire qui vous aidera à trouver le bon équilibre entre la productivité et la sécurité des employés.
Appliquer des contrôles automatisés qui prennent des mesures avant que les dommages ne soient causés
Mais ne vous arrêtez pas à la MFA. Si passer tout votre temps (limité) à essayer de surveiller chaque bout du réseau est une proposition vouée à l’échec, il existe d’autres moyens d’automatiser les mesures préventives.
La surveillance en elle-même est un mode d'opération assez coûteux ; il faut du temps et des ressources informatiques importantes pour mettre en place des mécanismes de détection appropriés, cela va générer un premier ensemble de faux positifs qui doivent être affinés, et cela va nécessiter des rapports et des réunions pour s'assurer que la détection fonctionne réellement.
Toutes les petites et moyennes entreprises luttent contre le manque de temps et de ressources. Il est préférable de lancer et de surveiller des solutions qui offrent des contrôles automatisés en plus de l'identification des menaces et de la réponse en temps réel.
En bref, si quelque chose tombe en dehors d'un ensemble de restrictions établies, votre solution devrait automatiquement prendre des mesures avant que le dommage ne soit fait - pas seulement lorsque le service informatique intervient.
Sécurité conçue pour les grandes entreprises et adaptée aux PME
Alors, comment une PME peut-elle construire une approche qui protège son organisation, ses utilisateurs et ses données ?
Tout d'abord, les solutions de sécurité pour les PME et les MSP qui les desservent ne devraient pas être moins efficaces que pour les entreprises clientes. Les données ne sont pas moins sensibles, la perturbation non moins grave. Ils ont besoin d’une défense conçue pour les grandes entreprises en termes de concentration et d'efficacité et adaptée aux PME en termes de mise en œuvre et d'utilisation.
Voici 8 critères adaptés aux PME pour atteindre un impact maximum avec un minimum d'effort
Efficace
Regardez pour ajouter des couches, comme l'authentification multifacteur (MFA), à votre stratégie de sécurité. Mettre en place une défense en couches maximise vos chances d'arrêter une menace avant qu'elle ne commence.
Intelligence
Les solutions qui offrent simplement de l'information entraînent la nécessité d'embaucher un « chien de garde ». Choisissez des informations et de l’intelligence qui peuvent vous aider à repérer et à arrêter une violation.
Automatisé
Si quelque chose tombe en dehors d'un ensemble de restrictions établies, votre solution devrait automatiquement prendre des mesures avant que le dommage ne soit fait - pas seulement lorsque le service informatique intervient.
Administration limitée
La plupart des petites et moyennes entreprises n'ont pas d'équipe informatique importante. Les solutions de sécurité les plus utilisées ont tendance à être simples à mettre en œuvre et intuitives à gérer.
Précis
Les PME ne peuvent pas avoir beaucoup de faux positifs. Elles n’ont pas le temps de chasser 50 alertes par jour.
Non perturbateur
Les solutions qui fonctionnent avec l'infrastructure existante ne contrarient pas les équipes informatiques.
Adoption facile
Si la sécurité submerge et étouffe la productivité, les utilisateurs ne peuvent pas faire leur travail et la solution est déjà morte à l'arrivée. La sécurité devrait être en coulisses, protégeant les utilisateurs et l'environnement jusqu'au moment où l'utilisateur est vraiment en conflit avec le protocole de sécurité.
Rentable
Si vous êtes d'accord avec le principe de « quand » et non « si », alors vous savez déjà que votre stratégie de sécurité est incomplète et nécessite davantage d'investissements. La sécurité ne doit pas nécessairement coûter cher, mais elle doit surtout être efficace par rapport à son coût.
Sécuriser les PME contre les attaques externes et les violations de sécurité internes
Les connexions fournissent l'une des indications les plus claires de compromission potentielle. Elles sont l'activité commune à travers presque tous les modèles d'attaque et elles sont souvent facilement compromises. Il suffit d'un employé imprudent qui partage un mot de passe ou laisse un poste de travail sans surveillance. Même l'employé le plus prudent peut être exploité et victime d'un vol d'identifiants.
Avec la MFA de UserLock et les restrictions contextuelles, les équipes informatiques peuvent s'assurer que les utilisateurs authentifiés sont ceux qu'ils prétendent être, même lorsque les informations d'identification sont compromises. Les tentatives d'ouverture de session qui ne satisfont pas au deuxième facteur d’authentification ainsi qu’aux restrictions établies sont automatiquement bloquées avant que tout dommage ne soit causé. Les outils de détection des risques alertent sur d'autres activités suspectes offrant aux administrateurs informatiques la possibilité de réagir instantanément. Travaillant aux côtés d'Active Directory, UserLock étend la sécurité bien au-delà des stratégies de groupe et des fonctionnalités Windows natives.
Essayez gratuitement
Version complète de 30 jours
"UserLock est facile à installer et à configurer et offre un niveau de protection que toutes les PME devraient implémenter dans le cadre de leur stratégie de sécurité."
Ricky Magalhaes
WindowSecurity.com
Télécharger ce livre blanc en format PDF