10 questions pour hausser la sécurité des TI dans votre entreprise
Quel est le plus important problème de sécurité des entreprises canadiennes en ce qui concerne les technologies? Si vous pensez aux pirates informatiques, détrompez-vous. Les membres du personnel constituent le maillon le plus faible. La bonne nouvelle, toutefois, est que leurs actes ne sont généralement pas délibérés.
La plupart des atteintes à la sécurité se produisent par accident, par exemple dans les cas suivants :
- une employée ou un employé transmet par erreur un courriel contenant des renseignements confidentiels sur une cliente ou un client à une ou un destinataire externe;
- une caissière ou un caissier laisse l’information de la carte de crédit d’une cliente ou un client affichée sur un ordinateur à la vue de tout le monde;
- une directrice ou un directeur supprime par inadvertance des fichiers importants.
Un maliciel peut avoir des effets dévastateurs
Parmi les bris de sécurité les plus courants, mentionnons le téléchargement accidentel de maliciels, ces virus et chevaux de Troie qui peuvent causer d’immenses dommages dans le réseau informatique. Très courant également : négliger de sauvegarder régulièrement ses données.
Il est essentiel de prendre le temps de vous renseigner sur les risques liés à la sécurité des technologies et d’en informer votre personnel afin de pouvoir protéger votre entreprise avant que des données soient perdues ou compromises.
Voici une liste de contrôle pour vous aider à assurer la sécurité de vos TI :
1. Avez vous une politique de sécurité des TI?
Votre politique de sécurité devrait traiter de l’utilisation acceptable des TI, des directives concernant les mots de passe, des pratiques de sécurité et des règles concernant le téléchargement et l’installation de nouveaux logiciels. Votre personnel doit être régulièrement informé et recevoir une formation, au besoin, lorsque des changements sont apportés à la politique de sécurité de votre entreprise. Les membres du personnel doivent également comprendre qu’elles et ils ne doivent pas partager ni révéler leur nom d’utilisatrice ou utilisateur et leur mot de passe.
2. Vos entreprises fournisseuses de services d’informatique en nuage ont-elles toutes été évaluées par le personnel des TI?
Choisissez avec soin votre entreprise fournisseuse de services d’informatique en nuage. Bien que de nombreuses entreprises fournisseuses de services infonuagiques offrent une bonne sécurité Internet, ce n’est pas le cas de toutes. Si le niveau de sécurité de votre entreprise fournisseuse laisse à désirer, vos données pourraient être vulnérables à une attaque. Sachez comment votre entreprise serait protégée si votre entreprise fournisseuse avait un problème de sécurité.
Il est également important de mettre en œuvre des procédures de sécurité particulières pour protéger les ordinateurs portatifs de votre entreprise lorsque votre personnel travaille à distance.
3. Les données essentielles sont-elles centralisées sur un serveur et sauvegardées régulièrement dans un endroit éloigné?
Identifiez vos données essentielles avec l’aide de la haute direction. Les données qui doivent être protégées incluent les informations financières et les renseignements sur les clientes et clients. Assurez-vous ensuite que ces données sont régulièrement sauvegardées dans un endroit où elles seront à l’abri si votre entreprise était touchée par un sinistre.
Les données importantes pour l’entreprise, mais qui ne changent pas souvent, doivent être sauvegardées hors site à intervalles réguliers.
4. Vos connexions Web sont-elles toutes protégées par un pare-feu et une fonction de détection des intrusions?
Un pare-feu peut prendre la forme de matériel ou d’un logiciel, ou les deux. Il surveille le trafic entrant et sortant du réseau. Il peut autoriser ou bloquer certains éléments de trafic à partir d’un ensemble de règles de sécurité défini. Les pare-feu constituent la première ligne de défense de la sécurité des réseaux depuis plus de 25 ans.
Un système de détection des intrusions est un logiciel qui peut détecter les attaques qui échappent à un pare-feu ordinaire. Il ne doit cependant pas remplacer un pare-feu, parce qu’une combinaison de ces deux dispositifs de sécurité est nécessaire pour assurer une protection adéquate.
5. Les ordinateurs sont-ils tous dotés d’un logiciel antivirus fonctionnel et à jour?
Assurez-vous de garder à jour les logiciels de votre entreprise pour tenir les cybercriminelles et cybercriminels à l’écart. Vous et votre personnel devez adopter de saines pratiques de sécurité Internet, comme s’abstenir d’ouvrir des pièces jointes ou de suivre des liens de source inconnue.
6. Les connexions par modem et les accès sans fil sont-ils tous connus et sécurisés?
Si la sécurité de votre Wi-Fi est insuffisante, votre entreprise peut être vulnérable aux attaques de pirates informatiques se trouvant à portée de votre réseau. Un pirate pourrait obtenir des renseignements sensibles, endommager vos systèmes ou installer des rançongiciels. Si vous ou votre personnel utilisez un accès Wi-Fi public, vous devriez éviter d'accéder à des renseignements sensibles, car le réseau n’est pas nécessairement sûr.
7. Vos entreprises sous-traitantes et fournisseuses protègent-elles adéquatement vos données?
Une politique sur la protection de la vie privée et une entente de confidentialité avec les fournisseuses et fournisseurs externes vous donnent l’assurance que toute information échangée entre votre entreprise et des parties externes doit être adéquatement protégée et que seul le personnel autorisé peut avoir accès à vos informations.
8. Les informations financières de vos clientes et clients sont elles chiffrées?
Les pirates informatiques et autres cybercriminelles et cybercriminels peuvent utiliser les données financières des clientes et clients non chiffrées, comme les numéros de carte de crédit, les adresses de courriel et les adresses de domicile, pour usurper l’identité de vos clientes et clients et leur voler de l’argent. Assurez-vous que seules les personnes qui ont besoin de ces informations au sein de votre entreprise y ont accès.
9. Les documents papier sont-ils conservés dans des classeurs verrouillés?
Le retrait de documents papier de leur lieu d’entreposage doit être soumis à une approbation. Fournissez un accès contrôlé aux membres du personnel lorsqu’elles et ils ont besoin de ces documents.
10. Votre entreprise procède-t-elle à une vérification périodique de la liste de contrôle de la sécurité des TI?
De nombreux propriétaires d’entreprise affirment attacher une grande importance à la sécurité informatique, mais s’abstiennent pourtant d’y investir. Malheureusement, elles et ils reportent souvent toute décision à cet égard jusqu’à ce qu’un ordinateur essentiel plante ou que les systèmes soient infectés par un virus. Avec la prolifération des appareils mobiles, de l’informatique sans fil et du télétravail, la sécurité des TIC devient un souci grandissant pour les propriétaires d’entreprise. Vérifiez toutes vos mesures de sécurité informatique au moins une fois tous les six mois pour protéger votre entreprise contre des attaques ou des pertes d’information majeures.
Si les processus énumérés ci-dessus semblent trop compliqués pour votre entreprise, vous pourriez envisager l’embauche de ressources externes.