Technologie - 6 mars 2018
La cybersécurité est l'une des préoccupations commerciales les plus importantes pour toute entreprise.
Les risques de sécurité majeurs ne se limitent pas au Fortune 500. Au contraire, les petites et moyennes entreprises sont souvent complètement anéanties par les répercussions d'une violation de réseau.
En plus de la perte directe de capacités commerciales et de ressources de données, les entreprises peuvent voir leurs marques irrémédiablement ternies car les clients ne sont plus disposés à faire des affaires.
Les entreprises qui traitent des informations financières et de santé sensible sont particulièrement exposées. Ils pourraient être dévastés par des amendes onéreuses et des charges d'audit ou de conformité accrues.
Pour faire face aux principaux risques de cybersécurité et atténuer la probabilité de ces résultats, les entreprises de tous secteurs, zones géographiques et tailles peuvent commencer par une évaluation complète des risques.
Une évaluation des risques répond aux questions fondamentales sur les ressources de données d'une entreprise :
• Quelles sont les ressources les plus importantes (c'est-à-dire : qu'est-ce qui doit être protégé ?
• Qui ou quelles sont les menaces et quelles vulnérabilités pourraient-elles exploiter ?
• Quelles sont les implications commerciales si des ressources sont perdues ou compromises ?
• Que peut-on faire pour minimiser la perte ou les dommages de chaque ressource ?
• Quelle est la valeur de chaque ressource clé pour l'ensemble de l'organisation ?
Les questions fondamentales posées dans une évaluation des risques servent de points de départ pour les politiques et les processus visant à protéger les entreprises contre les pertes inacceptables dans le domaine de la cybersécurité. Les activités quotidiennes, les outils logiciels et d'autres considérations découlent de ces réponses.
Les parties prenantes non techniques ont souvent des difficultés à calculer le retour sur investissement des mesures de cybersécurité car, dans l'ensemble, il est impossible d'éliminer totalement la plupart des menaces de sécurité. Dans la plupart des cas, les menaces doivent être atténuées – réduites autant que possible dans les circonstances.
La manière dont les menaces doivent être traitées et les investissements pouvant être réalisés dans cette poursuite dépendent de la valeur des actifs protégés et de l'impact des mesures de sécurité sur cette valeur.
Par exemple, vous pouvez éliminer les menaces de cybersécurité conventionnelles basées sur le réseau en prenant l'ordinateur contenant vos données commerciales les plus précieuses et en l'isolant de tout accès en ligne. Bien entendu, cela entravera considérablement l'utilisation de ces données.
Chaque évaluation des risques doit commencer par une comptabilité claire des actifs commerciaux vitaux, y compris quels matériels, logiciels et ressources de données sont critiques pour l'entreprise et où ils sont stockés ou utilisés.
À partir de là, les menaces spécifiques à chaque actif peuvent être triées en fonction de leur probabilité.
Les menaces ne sont pas gérées en coupant l'accès à un actif, bien sûr. Dans la pratique, ils sont rendus moins probables en s'attaquant aux vulnérabilités qui rendent certaines menaces plus susceptibles de se matérialiser.
Par exemple, toutes les entreprises sont aujourd'hui confrontées à la menace des ransomwares. Il s'agit d'un type de malware qui empêche l'accès à des données commerciales précieuses en cryptant le contenu d'un ordinateur. À ce stade, les auteurs exigent une lourde rançon avant de rétablir l'accès.
On peut considérer le risque – perte permanente de données clés ou une « rançon » pouvant atteindre des millions – et décider de durcir certaines données en les déplaçant vers un système interne hautement sécurisé. Cependant, une évaluation des risques pourrait révéler une méthode plus efficace et rentable.
Dans ce cas, la plupart des entreprises deviennent vulnérables aux ransomwares car le personnel non technique manque les signes d'un courriel dangereux. Ils téléchargent des pièces jointes dangereuses à partir d'un expéditeur inconnu, ce qui entraîne une infection. La formation à la sécurité est un antidote peu coûteux et efficace à cette vulnérabilité.
Une évaluation complète des risques aide non seulement à protéger votre entreprise, mais vous permet également d'aligner les pratiques de sécurité sur vos besoins spécifiques, en optimisant les investissements en matière de sécurité et en économisant de l'argent.
Related stories
Restez informé avec notre bulletin