Conseils aux petites et moyennes entreprises
Malgré l’incertitude des marchés et le resserrement des budgets, de nombreuses entreprises constatent une amélioration de la productivité et font des économies grâce à l’adoption du télétravail et de l’informatique en nuage. Elles reconnaissent l'utilité d’augmenter et de réduire la capacité en fonction de la demande des clients, et elles paient uniquement pour ce qu’ils utilisent plutôt que de maintenir leurs propres centres de données. Soutenir le personnel et lui faire confiance pour faire ce qu’il faut est également payant.
Collaborez avec votre personnel pour expliquer comment les cybercriminels profitent des événements à forte connotation médiatique pour commettre des fraudes et des escroqueries. Faites-en une affaire personnelle; utilisez des exemples et faites des parallèles avec des scénarios en dehors du contexte professionnel.
@le_rond | LinkedIn
On oppose souvent la protection de la vie privée et la protection des systèmes (parfois faussement considérés comme des sphères de compromis). Nous sommes également aux prises avec un environnement de menaces qui a radicalement changé à mesure que les criminels professionnels et opportunistes se tournent vers l’énorme parc de terminaux distants et les technologies de la santé. Ensuite, il y a la pression économique sur chacun d’entre nous pour faire plus avec moins.
Pour le télétravail, prévoyez de passer en revue la solution et l’ensemble des contrôles. Du côté des fournisseurs, de nombreux changements sont survenus au cours de cette période; les pairs auront énormément d’expériences à partager. Il faut exploiter cette situation à son avantage. Formulez une stratégie de changement permanent positif en utilisant les commentaires des pairs, des opérations des TI et du personnel.
En dehors de tout cela, la transparence et la confiance seront les piliers de l’ensemble de vos interventions. Nous sommes tous dans le même bateau.
@TrialByTruth | LinkedIn
Nous avions déjà adopté les outils de productivité en nuage; nous étions bien positionnés sur le plan technologique pour migrer vers le télétravail à 100 %.
Notre lacune, et celle que nous avons identifiée chez de nombreuses entreprises concernent l’absence d’une formation complète pour expliquer à notre équipe comment travailler à distance en toute sécurité. Nous avons créé un nouveau cours à l’aide de notre outil qui couvrait tous les sujets pertinents tels que les attentes relatives à la mise à jour des appareils personnels utilisés pour le travail, les conseils sur la sécurisation du Wi-Fi domestique, les discussions ou quand il est acceptable d’imprimer des documents à la maison. Plus important encore, la formation n’était pas basée sur des conseils génériques ou des pratiques exemplaires; il était facile de faire des liens avec nos politiques et nos normes.
@davidshipley | LinkedIn
L’un de nos chefs d’équipe a organisé une réunion à distance quotidienne, du lundi au vendredi. Pour y ajouter une dose d’humour, il l’a qualifiée de « Raison de mettre des pantalons ». C’est le moment de parler et de décompresser sans porter de jugement.
Les gens ont besoin d’entendre les autres et de voir les visages. Une équipe a besoin de cohésion, même lorsqu’elle est délocalisée; la pandémie nous a obligés à remplacer les réunions internes aléatoires par des réunions ciblées et planifiées.
@rossamoore | LinkedIn
Honnêtement, les programmes de sensibilisation à la sécurité étaient ennuyeux et démotivants jusqu’à ce que nous assistions à l’émergence de formations et de programmes incluant un aspect ludique.
À plus long terme, j’entrevois l’émergence d’un programme communautaire comme principal changement dans le domaine de la sensibilisation à la sécurité, surtout à mesure que le bassin de télétravailleurs grandit. En effet, lorsqu’ils font partie d’une communauté qui partage un objectif commun, les gens développent une meilleure compréhension de la raison d'être du programme et de la portée macroscopique de leurs actions.
Une approche basée sur la communauté ne consiste pas seulement à cocher la case, ou à rendre la case plus amusante, elle change activement le rôle de la cybersécurité dans la vie des gens.
@CyberFareedah | LinkedIn
Bien que nous vivions des circonstances exceptionnelles, il est important de reconnaître que la sécurité ne peut pas simplement prendre une pause. Afin de continuer à aller de l’avant du mieux que nous pouvons, nous devons envisager la façon de le faire en gardant à l’esprit la sécurité.
J’encourage les entreprises à faire preuve de créativité et à réfléchir à la façon dont elles peuvent organiser des événements et des activités virtuels pour garder la sécurité dans l’esprit des gens. Étant donné le nombre croissant de campagnes d’hameçonnage exploitant la COVID-19, il est important que nous nous adaptions et évoluions pour répondre aux circonstances actuelles. Il faut éviter de laisse cet espace vacant, car les cybercriminels ne tarderaient pas à l’exploiter.
@drjessicabarker | LinkedIn
2020 s’est avéré être un « cygne noir ». Le terme, popularisé par Nassim Nicholas Taleb dans le livre du même nom, désigne des événements rares, mais très percutants et mémorables. Les équipes des TI et de la Sécurité informatique vivent une période difficile, car beaucoup d’entre elles ont travaillé sans relâche pour s’assurer que leur entreprise puisse réagir adéquatement aux incidents de sécurité malgré le confinement. Et on demandera à ces mêmes équipes, dans un avenir pas si lointain, d’être prêtes pour la prochaine situation de crise. Il y a un hic cependant : les cygnes noirs sont par définition rares et imprévisibles.
@jwgoerlich | LinkedIn
Développez une stratégie en vue des événements improbables tout en renforçant les défenses contre les menaces plus courantes. Appelons cela des oies. Un bon programme de sécurité prépare l’entreprise contre tous les volatiles, que ce soit le cygne noir ou l’oie sans nom.
Il y a de nombreux défis à relever. Il est essentiel de mettre en place un plus grand contrôle aux points terminaux et périphériques. Nous avons besoin de plus de visibilité sur tous les appareils, qu’il s’agisse d’appareils professionnels ou personnels, de solutions sur site ou d’instances dans le nuage.
À plus long terme, les entreprises doivent renforcer et améliorer leurs capacités en matière de continuité des activités et de gestion des incidents. En mettant l’accent sur la souplesse et l’intervention, les entreprises peuvent relever les défis actuels tout en se préparant aux défis à venir.
Le besoin accru de conformité aura un plus grand impact sur les petites entreprises, car il affectera ou modifiera leur programme de sécurité. La conformité sera imposée ici et là, qu’elle concerne la mise en œuvre du cadre de sécurité dans votre entreprise ou les lois sur la protection des données des consommateurs qui sont imposées par la législation. Le plus grand conseil que je pourrais donner aux petites entreprises serait de mettre en place au plus tôt un cadre et une méthodologie de cybersécurité. Si vous êtes en activité depuis longtemps, faites-le maintenant. Il n’est pas trop tard.
Avoir une personne bien informée sur la législation en matière de sécurité vous profitera à 100 % maintenant et dans le futur.
@techwithtaz | LinkedIn
Les petites entreprises devront relever de nombreux défis dans les domaines des budgets et de la gouvernance de la sécurité. Les PME « essaient souvent de faire moins avec plus », surtout en ce qui concerne l’allocation des fonds. En ce qui concerne la cybersécurité et la protection de l’information, investissent-elles davantage dans les programmes internes pour prévenir, détecter et surveiller les événements, les incidents de sécurité et les alertes (avec, évidemment, des coûts associés aux ressources humaines), externaliser ces activités ou peut-être adopter une approche hybride? Il s’agit d’identifier leurs ressources les plus essentielles (physiques, logiques, même les personnes et les processus) et de donner la priorité à la protection en fonction de la criticité. C’est dans ce contexte que l’analyse des incidences sur les activités (business impact analysis ou BIA) et l’évaluation des risques peuvent être extrêmement bénéfiques avant de se lancer et d’allouer des fonds et des ressources dans des domaines qui pourraient ne pas entraîner un RCI.
LinkedIn
Des conseils? Commencez petit. Pour prendre des décisions éclairées en matière de TI et de sécurité, commencez par l’analyse des incidences sur les activités (BIA) et l’identification des risques. Le fait de disposer d’une ressource dédiée pour gérer et défendre ce besoin à l’interne, assurer la liaison avec les parties prenantes appropriées, tenir l’analyse et les recommandations à jour et en harmonie avec les objectifs commerciaux permettra d’éviter beaucoup de problèmes à l’avenir et de mal répartir les ressources.
Maintenant que les employés travaillent hors site et accèdent aux données de l’entreprise hébergées dans le monde entier, il est absolument essentiel de réaliser que, bien que les pare-feu soient toujours importants, les fondements de la sécurité concernent maintenant l’identité et la connexion. Il sera absolument essentiel d’assurer la connexion sécurisée aux applications et aux données appropriées, sans oublier d’adopter un modèle à vérification systématique (zero trust) pour protéger cette nouvelle façon de travailler.
Heureusement pour les PME, de plus en plus de solutions de cybersécurité utilisent le nuage comme mécanisme de diffusion. Cela permettra aux petites entreprises de mettre en œuvre des solutions adaptées selon un modèle abordable relié au niveau de consommation. Cela permettra également aux équipes informatiques disposant de ressources limitées de créer et de gérer une pile de sécurité holistique, intégrée et proactive sans avoir besoin de services d’ingénierie de pointe à l’interne.
@Port53Tech | LinkedIn