Vous aimez votre entreprise ? Les cybercriminels aussi ! En matière de sécurité informatique, il y a une réalité à garder à l’esprit : plus votre société est florissante, plus elle risque d’être victime d’une attaque en ligne.
En effet, vous avez un maillon faible : vos réseaux sociaux professionnels. Tout le relationnel que vous avez construit et développé au fil du temps constitue une précieuse porte d’entrée pour les pirates du web.
Un ebook récent publié par FireEye (en anglais) alerte sur ces risques invisibles mais bien réels.
Bien comprendre ce que recouvre le terme « réseaux sociaux »
En matière de cybersécurité, la notion de « réseaux sociaux » doit être entendue au sens large. Il ne s’agit pas seulement de Facebook ou de LinkedIn !
Les réseaux sociaux englobent vos clients/partenaires/collaborateurs/contacts en tout genre, et même vos associés.
Pour une raison simple : à chaque fois qu’il y a une connexion, il y a un risque de piratage. Or les connexions sont nombreuses et quotidiennes.
Savez vous par exemple :
- Quel est le niveau de sécurité informatique des entreprises de vos partenaires ?
- Où se trouvent vos associés/collaborateurs/commerciaux (domicile, transports en commun…), avec qui ils sont connectés et par quel moyen (wi-fi, cloud…) ?
- Quelle est l’importance et le degré de confidentialité des informations personnelles que vous échangez chaque jour avec vos clients ?
Pour les cybercriminels, une faille = une opportunité
Ne vous trompez pas : quelle que soit la taille de votre entreprise, elle intéresse les hackers. Savez-vous par exemple que 71% des petites structures sont attaquées via des ransomwares ? Qu’en 2018, le record du coût financier (2,5 millions de dollars !) a été atteint par un simple e-mail d’affaires compromis par un virus ?
Votre entreprise peut être utile aux cybercriminels à deux niveaux :
- Soit pour atteindre une autre entreprise (par exemple si vous êtes le sous-traitant d’une grosse structure) ;
- Soit parce que les informations personnelles et les données sensibles que vous détenez représentent un filon qu’ils aimeraient exploiter de différentes manières : blocage de votre système informatique et demande de rançon, vol de fichiers clients, espionnage industriel…
Ainsi, toutes les occasions sont bonnes pour accéder à votre entreprise. Il est donc important de prendre conscience que chaque point d’entrée vers votre entreprise (e-mail, cloud, etc…) représente une vulnérabilité potentielle.
Une indispensable prise de conscience concernant les réseaux sociaux
La bonne nouvelle, c’est que vous pouvez agir pour limiter considérablement les risques. À partir du moment où un imprévu est anticipé, il peut être évité ou au moins maîtrisé.
Prenons l’exemple du cloud et du multi-cloud. En utilisant une solution de chiffrement efficace, vous pouvez par exemple empêcher des prestataires de services peu vertueux de récupérer les informations personnelles qu’ils stockent pour vous.
Pour arriver à un bon niveau de sécurité des données, il faut donc commencer par admettre l’existence des risques cachés. Cette prise de conscience salutaire vous évitera de perdre vos actifs de valeurs, ou ceux de vos clients/partenaires.
Dans son e-book, FireEye insiste notamment sur la nécessité de regarder la réalité en face : toutes les organisations ont des lacunes de sécurité informatique, et la vôtre n’échappe pas à la règle.
Scrutez à la loupe vos points faibles, plutôt que de vous contenter de capitaliser sur vos atouts. Un cybercriminel qui n’aura pas pu vous attaquer par une porte d’entrée passera à la suivante… jusqu’à ce qu’il trouve un accès. Vous devez ainsi lister tous les risques et vecteurs de menaces probables.
N’oubliez pas non plus que la plupart des cyberattaques utilisent plusieurs leviers, il faut donc que l’ensemble de votre stratégie de cybersécurité soit soumise à un examen approfondi.
Plus vous avez de contacts, plus la menace est élevée
Vous devez notamment analyser vos pratiques avec deux types de contacts :
Vos collaborateurs
Posez-vous les bonnes questions :
- Avez-vous formé vos collaborateurs à la cybersécurité ?
- Avez-vous défini un guide des bonnes pratiques, notamment concernant l’ouverture des emails et des pièces jointes ?
- Votre équipe informatique est-elle en mesure d’évaluer et de traiter des communications suspectes ?
- Avez-vous hiérarchisé les accès aux informations personnelles les plus sensibles ?
- En cas d’attaque, disposez-vous des ressources internes (compétences, connaissances) pour réagir efficacement ?
- Proposez-vous des outils permettant le chiffrement des données à vos collaborateurs nomades ou ayant des usages nomades (télétravail, …) ?
Vos fournisseurs
Procédez à une évaluation minutieuse de vos fournisseurs et des services qu’ils vous proposent, en incluant les offres cloud. N’hésitez pas à leur poser des questions sur leur stratégie de sécurité informatique. Il est important d’en savoir un maximum pour prendre les bonnes décisions et diminuer au maximum la prise de risque.
À propos de MDK Solutions
MDK Solutions est une société française spécialisée dans la sécurité des données numériques pour usages nomades. Elle conçoit, développe et commercialise des solutions/produits sur la base d’un brevet publié à l’INPI. Ses solutions et produits permettent aux entreprises et au grand public de sécuriser leurs données grâce à la sauvegarde et au chiffrement, ainsi que de mettre en place un partage collaboratif sans impact sur les SI, de chiffrer facilement leurs données, de gérer un Disque Virtuel sécurisé …
MDK Solutions réalise également des solutions sur-mesure pour être au plus près des besoins de ses Clients.