Les menaces en ligne sont dans tous les esprits après la rupture de cette semaine chez OneLogin. La société de gestion des identités et des accès avec plus de 2 000 clients professionnels a été piratée et les retombées ne sont pas terminées. Pendant la violation de la sécurité, des informations privées sur les utilisateurs, les applications et les diverses clés peuvent avoir été obtenues par les pirates encore inconnus. Tout ce que nous savons actuellement, c'est ce que OneLogin a annoncé sur son blog d'entreprise: des données ont peut-être été collectées et le pirate informatique ou les hackers ont peut-être trouvé un moyen de déchiffrer des données.
pas seul, de nombreux entrepreneurs ne se rendent pas compte que les petites entreprises sont tout aussi à risque pour les cyberattaques que les grandes entreprises, mais ils le sont. Selon un rapport de Keeper Security et du Ponemon Institute, 50% des petites entreprises ont été violées au cours des 12 derniers mois.
Voici un aperçu de tout ce que vous devez savoir pour protéger votre entreprise
Dans cet article ...
Bien que les failles dans les grandes entreprises comme Target et Home Depot fassent la une des journaux, les petites entreprises sont encore très ciblées par les pirates informatiques. Stephen Cobb, chercheur senior en sécurité chez ESET, a déclaré que les petites entreprises tombent dans le «sweet spot» des hackers: «Ils ont plus d'actifs numériques à cibler qu'un seul consommateur, mais moins de sécurité qu'une grande entreprise. > L'autre raison pour laquelle les petites entreprises font des objectifs aussi attrayants est que les pirates savent que ces entreprises font moins attention à la sécurité. Une infographie de Towergate Insurance a montré que les petites entreprises sous-estiment souvent leur niveau de risque, 82% des propriétaires de petites entreprises déclarant ne pas être la cible d'attaques, parce qu'ils n'ont rien à voler.
Types de cyberattaques
APT:
Les menaces persistantes avancées, ou APT, sont ciblées à long terme les attaques qui pénètrent dans un réseau en plusieurs phases pour éviter la détection. Cette infographie Symantec décrivait les cinq étapes d'un APT
. DDoS: Acronyme de déni de service distribué, les attaques DDoS se produisent lorsqu'un serveur est intentionnellement surchargé de demandes, dans le but d'arrêter la cible. Site Web ou système réseau
Attaque interne: Une personne disposant de privilèges administratifs, généralement issus de l'organisation, utilise délibérément abusivement ses informations d'identification pour accéder aux informations confidentielles de la société. Les anciens employés, en particulier, présentent une menace s'ils quittent la société en de mauvaises conditions, votre entreprise devrait donc avoir un protocole en place pour révoquer tout accès aux données de l'entreprise dès la fin d'un contrat.
Malware: terme est l'abréviation de «logiciel malveillant» et couvre tout programme introduit dans l'ordinateur de la cible dans l'intention de causer des dommages ou d'obtenir un accès non autorisé. Plus sur les différentes variétés de logiciels malveillants peuvent être trouvés sur How to Geek.
Attaques par mot de passe: Il existe trois principaux types d'attaques par mot de passe: une attaque par force brute, qui consiste à deviner les mots de passe jusqu'à ce que le pirate arrive dans; une attaque de dictionnaire, qui utilise un programme pour essayer différentes combinaisons de mots du dictionnaire; et keylogging, qui suit toutes les frappes d'un utilisateur, y compris les identifiants de connexion et les mots de passe. Vous trouverez plus d'informations sur chaque type d'attaque (et sur la façon de les éviter) dans cet article du blog Scorpion Software.
Phishing: Peut-être la forme la plus répandue de cybertheft, le hameçonnage consiste à collecter des informations sensibles telles que les identifiants de connexion et les informations de carte de crédit via un site Web légitime (mais finalement frauduleux), souvent envoyé à des personnes non averties. Keeper Security et le Ponemon Institute ont rapporté que les attaques les plus répandues contre les PME sont l'ingénierie basée sur le Web et le phishing / social. TechRepublic a partagé 10 signes pour vous aider à repérer un courriel de phishing.
Ransomware: Ransomware est un type de malware qui infecte votre machine et, comme son nom l'indique, exige une rançon. Typiquement, les ransomwares vous verrouillent et vous demandent de l'argent en échange d'un accès ou menacent de publier des informations privées si vous ne payez pas un montant spécifique. Ransomware est l'un des types de violation de sécurité qui connaît la croissance la plus rapide
Solutions de sécurité et quoi rechercher Il existe différents types de logiciels de sécurité de base sur le marché, offrant différents niveaux de protection.
Firewalls , qui peuvent être mis en œuvre avec du matériel ou des logiciels, offrent une couche supplémentaire de protection par empêcher un utilisateur non autorisé d'accéder à un ordinateur ou un réseau. Dans un article eHow.com, l'auteur Sam N. Austin a noté que certains systèmes d'exploitation, tels que Microsoft Windows, sont équipés de pare-feu intégrés. Ces protections peuvent également être ajoutées séparément aux routeurs et aux serveurs. Cobb, d'ESET, a déclaré que les entreprises devraient également investir dans une solution de sauvegarde de données
, afin que toute information compromise ou perdue puisse facilement être récupérée. à partir d'un autre emplacement; logiciel de chiffrement
pour protéger les données sensibles telles que les dossiers des employés, les informations client / client et les états financiers; et l'authentification en deux étapes ou le logiciel de sécurité par mot de passe pour leurs programmes internes afin de réduire la probabilité de craquage des mots de passe Il est important de se rappeler qu'il n'existe pas de solution de sécurité unique. Henderson, responsable mondial des menaces de sécurité et des tests chez IBM, conseillait d'effectuer une évaluation des risques, de préférence via une firme externe Assurance cybersécurité Une solution importante qui n'implique pas de logiciels et que beaucoup de petites entreprises négligent est l'assurance cybersécurité. Comme mentionné ci-dessus, votre politique de responsabilité générale ne vous aidera pas à récupérer les pertes ou les frais juridiques associés à une violation de données, donc une police distincte couvrant ces types de dommages peut être extrêmement utile en cas d'attaque. Tim Francis, cyberentreprise Lead chez Travelers, un fournisseur de cyberassurance, a déclaré que les petites entreprises supposent souvent que les politiques de cyber-assurance sont conçues uniquement pour les grandes entreprises, car ces entreprises sont les cibles les plus fréquentes des pirates informatiques. Mais beaucoup de compagnies d'assurance commencent à offrir une couverture sur mesure pour les petites entreprises afin de respecter leurs budgets et leurs niveaux d'exposition au risque, a-t-il dit.
Francis a conseillé aux propriétaires d'entreprises de rechercher une combinaison de couverture première et tierce. La couverture responsabilité civile comprend tous les frais généraux résultant d'une violation, tels que l'expertise juridique, les campagnes de relations publiques, la notification aux clients et les interruptions d'activité. La couverture de tiers vous protège si votre entreprise est au centre d'une violation qui expose des informations sensibles. Ce type de protection couvre les frais de défense si les parties touchées poursuivent votre entreprise.
Meilleures pratiques pour votre entreprise
Prêt à protéger votre entreprise et ses données? Ces meilleures pratiques garderont votre entreprise aussi sûre que possible.
Gardez votre logiciel à jour.
Comme indiqué dans cet article de Tom's Guide, «un ordinateur obsolète est plus vulnérable aux pannes, aux failles de sécurité et aux cyberattaques qu'un ordinateur entièrement corrigé». Les pirates recherchent constamment des failles de sécurité, a déclaré Cobb d'ESET, et si vous laissez ces faiblesses trop longtemps, vous augmentez considérablement vos chances d'être ciblé.
Faites prendre conscience à vos employés de Les cybercriminels peuvent infiltrer vos systèmes, leur apprendre à reconnaître les signes d'une violation et les éduquer sur comment rester en sécurité lorsqu'ils utilisent le réseau de l'entreprise.
Mettre en œuvre des politiques de sécurité officielles Bill Carey, vice-président du marketing et des affaires développement chez Siber Systems, a noté que les politiques de sécurité à l'échelle de l'entreprise en place peuvent aider à réduire votre probabilité d'une attaque. Il a conseillé d'exiger des mots de passe forts - ceux avec des majuscules et minuscules, des chiffres et des symboles - qui devraient être changés tous les 60 à 90 jours
. Soixante-cinq pour cent des PME ayant une politique de mot de passe ne l'appliquent pas
Pratiquez votre plan d'intervention en cas d'incident. IBM Henderson a recommandé d'exécuter un exercice de votre plan de réponse (et d'affiner, si nécessaire) afin que votre personnel puisse détecter et contenir la violation. En fin de compte, la meilleure chose que vous pouvez faire pour votre entreprise est d'avoir une mentalité de sécurité d'abord, a déclaré Henderson. Il a rappelé aux petites entreprises qu'elles ne devraient pas supposer qu'elles ne sont pas victimes d'une violation en raison de leur taille. Pour plus d'informations sur la gestion d'une violation de données, consultez ce Mobby Business guide. Des entrevues avec des sources ont été réalisées pour une version précédente de cet article.
6 Risques liés à l'assurance des grandes entreprises (et comment les atténuer)
Chaque entreprise comporte un certain niveau de risque. Bien que les pièges et les défis ne puissent être évités, ils peuvent être atténués avec les précautions appropriées, la planification et la couverture d'assurance. Les experts en assurance et en droit ont partagé leurs pensées sur les risques d'assurance les plus importants pour les propriétaires d'entreprise.
Restez à la piscine: comment naviguer dans les mers de l'entrepreneuriat
En tant qu'entrepreneur tout au long de la vie, être pris au piège dans une entreprise dirigée par plusieurs patrons ne m'a jamais séduit. J'ai toujours été passionné par l'entrepreneuriat. Enfant, j'ai vendu de fausses pièces de monnaie et des perles à mes voisins. En tant qu'étudiant, j'ai connecté des acheteurs avec des ventes aux enchères de concessionnaires automobiles sur Internet.