Le rôle de l’exécutif C-Suite est de s’assurer que l’entreprise fonctionne bien et de manière rentable. Pour ce faire, ils doivent être conscients de tous les risques auxquels leur entreprise est confrontée – y compris les principaux cyber-risques qui menacent les organisations . C’est pourquoi les dirigeants doivent avoir un Chief Security Officer (CSO) dans leur équipe. Cette personne peut aider à répondre aux questions sur la posture de sécurité de l’entreprise et fournir des recommandations d’amélioration.
Dans cet article de blog, nous explorerons 5 questions essentielles que les PDG devraient poser à leurs OSC. Ces questions aideront les PDG à mieux comprendre les risques de cybersécurité de leur entreprise et ce qui peut être fait pour les atténuer.
1. Avons-nous mis en place un plan de cyber-résilience ?
Dans la salle du conseil d’administration, la « cybersécurité » et la « résilience » sont souvent utilisées de manière interchangeable. Cependant, ce sont deux concepts très différents. La cybersécurité consiste à prévenir les attaques et à protéger les données, tandis que la résilience consiste à pouvoir se remettre rapidement et efficacement d’une attaque. Un plan de cyber-résilience doit être en place afin que l’entreprise puisse continuer à fonctionner après une cyberattaque malveillante.
Un bon plan de résilience comprend les éléments suivants :
Un plan de réponse aux incidents
Cela devrait indiquer qui doit être averti en cas d’attaque et quels sont leurs rôles. Il doit également inclure les coordonnées du personnel clé, comme le PDG, le directeur financier et le directeur de la sécurité.
Un plan de sauvegarde et de récupération des données
Cela devrait garantir que toutes les données critiques sont sauvegardées et peuvent être récupérées en cas d’attaque. Selon la National Cyber Security Alliance, 60 % des entreprises qui subissent une perte de données font faillite dans les six mois.
Un plan de continuité d’activité
Cela devrait décrire comment l’entreprise continuera à fonctionner en cas d’incident cybernétique majeur. Un plan de continuité des activités doit inclure des dispositions pour d’autres formes de communication, telles que le courrier électronique et le téléphone, si les méthodes principales ne sont pas disponibles.
2. Nos contrôles de sécurité sont-ils régulièrement testés ?
Il n’existe pas de solution unique en matière de contrôles de sécurité. La bonne combinaison de contrôles de sécurité variera en fonction de la taille et du type de l’entreprise, ainsi que du secteur dans lequel elle opère. Cela dit, il existe cinq grandes catégories de contrôles de sécurité que toutes les entreprises devraient mettre en place :
Contrôles d’accès au cyberespace
Les contrôles de cybersécurité sont des mécanismes utilisés pour protéger les données et les systèmes contre tout accès non autorisé. Ils peuvent inclure des pare-feu, des systèmes de détection d’intrusion et de chiffrement, mais également s’étendre aux contrôles d’accès des utilisateurs, tels que les politiques de mot de passe et l’authentification à deux facteurs. A test d’intrusion peut être utilisé pour évaluer l’efficacité des contrôles d’accès à Internet d’une organisation.
Contrôles procéduraux
Les contrôles procéduraux sont les politiques et procédures qui doivent être en place pour que les contrôles de sécurité soient efficaces. Ils couvrent des sujets tels que la réponse aux incidents, la sauvegarde et la récupération des données et la continuité des activités.
Contrôles techniques
Les contrôles techniques sont les solutions matérielles et logicielles utilisées pour protéger les données et les systèmes. Ils peuvent inclure des pare-feu, des systèmes de détection d’intrusion et de chiffrement, mais également s’étendre aux contrôles d’accès des utilisateurs, tels que les politiques de mot de passe et l’authentification à deux facteurs .
Contrôles de conformité
Les contrôles de conformité sont les politiques et procédures qui doivent être mises en place pour qu’une entreprise respecte ses obligations réglementaires. Ils peuvent varier selon le secteur, mais incluent souvent des exigences en matière de sécurité des données, de réponse aux incidents et de continuité des activités. Dans le commerce électronique, les entreprises doivent se conformer aux normes de sécurité PCI-DSS protégeant les données des titulaires de cartes.
Contrôles d’accès physiques
Les contrôles d’accès physique sont les mécanismes utilisés pour protéger les données et les systèmes contre tout accès physique non autorisé. Ils peuvent inclure des agents de sécurité, des systèmes de vidéosurveillance et des clôtures de sécurité, mais également s’étendre aux contrôles d’accès des utilisateurs, tels que les lecteurs de badges et les scanners biométriques.
3. L’environnement de nos télétravailleurs est-il sécurisé ?
Les travailleurs à distance doivent avoir accès aux mêmes contrôles de sécurité du travail à distance que ceux qui travaillent au bureau. Cela comprend non seulement une connexion VPN, un programme antivirus et un pare-feu, mais également des éléments plus spécifiques tels qu’un système de détection d’intrusion et des mécanismes de contrôle d’accès des utilisateurs. Un système de détection d’intrusion surveille le réseau pour détecter toute activité inhabituelle et peut alerter l’équipe de sécurité d’une éventuelle attaque.
Les mécanismes de contrôle d’accès des utilisateurs, tels que l’authentification à deux facteurs, garantissent que seuls les utilisateurs autorisés peuvent accéder aux données de l’entreprise et qu’ils ne peuvent accéder qu’aux données dont ils ont besoin pour faire leur travail. Les meilleures pratiques de cybersécurité pour le travail à distance contribuent également grandement à sécuriser l’infrastructure de télétravail.
4. Quelle est la plus grande menace pour la sécurité des données ?
Une étude IBM/Ponemon Institute indique que 90 % des violations de données sont dues à une erreur humaine, comme cliquer sur un lien dans un e-mail de phishing ou utiliser un mot de passe faible. Pour résoudre ce problème, les entreprises doivent mettre en place un solide programme de sensibilisation à la cybersécurité qui forme les employés sur la manière de détecter et d’éviter les menaces de sécurité courantes.
Cela étant dit, cliquer sur un lien dans un e-mail de phishing peut permettre l’attaque la plus dommageable, connue sous le nom d’ attaque par ransomware . Dans ce type d’attaque, l’attaquant crypte les données de la victime et demande une rançon pour les décrypter. Pour se protéger contre ce type d’attaque, les entreprises doivent disposer de sauvegardes de leurs données afin de pouvoir récupérer si leurs systèmes sont compromis.
Une évaluation d’ audit de l’état de préparation des ransomwares de vos systèmes peut être très efficace pour préparer votre organisation contre une attaque de ransomware.
5. Avons-nous besoin d’une assurance cybersécurité ?
La réponse à cette question dépend de l’industrie et des activités spécifiques de l’organisation. Certaines industries, telles que la santé et la finance, sont soumises à des réglementations strictes qui obligent les entreprises à souscrire une assurance cybersécurité. D’autres, comme la vente au détail et la fabrication, ne sont pas soumis à ces mêmes réglementations.
Toutefois, compte tenu des limites de l’assurance cybersécurité, notamment la non-couverture des pertes dues à une attaque interne ou par hameçonnage, la mise en œuvre d’un plan de sécurité solide pour protéger vos systèmes et vos données est la meilleure assurance ou protection que votre organisation puisse jamais obtenir.
Conclusion
En fonction de votre secteur et de votre entreprise, cette liste de questions critiques peut changer et inclure d’autres questions, ou des questions différentes, telles que l’une des suivantes :
- Quel type de données collectons-nous ?
- Où nos données sont-elles stockées ?
- Qui a accès à nos données ?
- Comment protégeons-nous nos données contre les accès non autorisés ?
- Quelles sont nos procédures de réponse aux incidents ?
Toute liste de questions est destinée à vous lancer dans une conversation en salle de conseil afin de mieux sécuriser vos données, votre réputation et vos résultats.
Les entreprises disposant d’un solide plan de cybersécurité sont moins susceptibles de subir une violation de données, alors assurez-vous d’avoir un plan en place et de le tenir régulièrement à jour.
Contactez-nous dès aujourd’hui pour améliorer de manière proactive la sécurité de votre entreprise .
