Les cyberattaques contre les petites et moyennes entreprises (PME) se poursuivent à un rythme incessant, avec la grande majorité des violations de données venant de l’extérieur de l’organisation.

Certains pensent que les pirates informatiques ciblent agressivement ces petites entreprises, car ils pensent que les PME manquent de ressources adéquates et d’outils de sécurité de niveau entreprise, ce qui en fait des proies plus faciles que les grandes entreprises.

Un nouveau rapport de Cisco, cependant, conteste cette hypothèse. Les PME ont fait des progrès significatifs améliorant leurs protocoles de sécurité et comblent l’écart avec leurs homologues plus importants. Le rapport note que 87% des propriétaires d’entreprises PME considèrent la sécurité comme une priorité absolue et que plus de 99% disposent d’une ressource dédiée axée sur la sécurité.

Les PME sont également de plus en plus diligentes dans la définition de mesures pour évaluer leur efficacité en matière de sécurité et la mise en œuvre de contrôles et d’outils de sécurité à des taux similaires à ceux des grandes entreprises.

Nul doute que l’émergence de solutions de sécurité développées spécifiquement pour les PME accompagne cette tendance. Les fournisseurs de technologies de sécurité proposent désormais des outils abordables qui couvrent plusieurs vecteurs d’attaque, ce qui permet aux PME d’améliorer leurs défenses plus facilement et plus économiquement.

Raison Cybersécurité, par exemple, inclut des capacités de protection en temps réel aux côtés de ses fonctionnalités antivirus, anti-ransomware et anti-malware. Il protège également les applications non autorisées contre l’accès aux périphériques de communication tels que les webcams et les microphones, souvent utilisés par les pirates pour espionner les membres de l’équipe et voler des informations sensibles à distance.

L’accent accru sur la sécurité et une meilleure mise en œuvre des solutions de cybersécurité parmi les PME sont certainement des développements positifs. La protection de type entreprise étant désormais disponible pour les organisations de toutes tailles, la menace peut être considérablement réduite pour les organisations de toutes tailles.

Pourtant, même avec une technologie améliorée pour réduire les menaces, le facteur humain demeure une préoccupation importante; un seul faux pas de la part d’un employé peut provoquer une brèche menant à un incident de sécurité majeur. Pour parvenir à une position de sécurité vraiment efficace, les PME doivent mettre en place des systèmes pour minimiser les erreurs humaines qui peuvent transformer une erreur involontaire en un désastre de sécurité.

La psychologie de l’erreur humaine

La réalité est la suivante: les humains font des erreurs. Une étude tessienne a révélé que 88% des violations de données peut être lié à une erreur humaine. Cela ne signifie pas nécessairement que les humains sont le «maillon faible» de la sécurité de votre organisation, mais il est important de comprendre comment et pourquoi ils commettent ces erreurs trop humaines. Comme le souligne Tessian, les employés ont des réactions psychologiques aux stimuli et au jugement qui les rendent susceptibles de commettre des erreurs et d’être susceptibles d’être manipulés.

Les pirates utilisent attaques d’ingénierie sociale comme le phishing pour tirer parti de ces tendances humaines, en manipulant intelligemment les utilisateurs pour qu’ils renoncent à des informations sensibles ou en téléchargeant et exécutant des logiciels malveillants sur leurs appareils de travail.

Les pirates masquent soigneusement ces e-mails de phishing pour contourner les mesures de sécurité telles que les filtres anti-spam, les demandes de données sensibles ou d’accès semblant souvent provenir d’un collègue de confiance. Parce que nous avons peu de résistance à suivre les demandes de nos collègues, il est tout à fait possible pour un membre de l’équipe normalement averti en sécurité de cliquer sur un lien malveillant ou d’envoyer des informations sensibles.

Ces clics apparemment innocents font également des ransomwares une menace croissante; Prenez la récente cyberattaque qui a réussi à interrompre Garmin Connect, flyGarmin et Garmin Pilot, entraînant des pannes de plusieurs jours. Garmin aurait payé le rançon de plusieurs millions de dollars pour restaurer les fonctionnalités sur leur réseau d’utilisateurs.

Les attaques massives comme celles-ci sont celles qui attirent les médias, mais les PME ne sont pas à l’abri. Près de la moitié (46%) des PME ont été ciblées par des ransomwares et près de trois victimes sur quatre ont payé une rançon pour restaurer le contrôle de leurs systèmes.

Résoudre le problème

De toute évidence, il est essentiel d’adopter des solutions techniques qui protègent les zones vulnérables où les humains interagissent avec des risques potentiels.

Par exemple, l’installation de solutions de sécurité sur chaque poste de travail – en particulier maintenant avec une grande partie des activités mondiales effectuées à distance – peut protéger contre les attaques qui pourraient se produire au cours d’une journée de travail typique.

De plus, l’élément humain doit être pris en compte lors de l’évaluation de toute stratégie de sécurité. L’éducation et la formation du personnel sont essentielles. Les membres de l’équipe doivent savoir comment utiliser les ressources techniques de l’organisation en toute sécurité et correctement.

Dans le même temps, ils doivent être capables de reconnaître les attaques d’ingénierie sociale ou les réseaux et appareils douteux. Une formation continue en temps réel peut aider à développer cet état d’esprit axé sur la sécurité.

Tout comme les PME peuvent désormais accéder à des solutions de sécurité de niveau entreprise, elles peuvent également tirer parti des applications et des services de sécurité qui minimisent la contribution humaine à certaines tâches. Par exemple, de nombreuses entreprises traitent toujours les paiements par carte manuellement et stockent les informations de manière non sécurisée, les exposant ainsi à des violations de données.

Une solution simple consiste à utiliser un processeur de paiement tiers de confiance qui permet aux clients de payer en toute sécurité les commandes et les factures sans nécessiter de personnel humain pour accéder aux données financières des clients et les traiter.

Les entreprises doivent également rechercher des moyens de maximiser les capacités de leurs solutions de sécurité existantes. Reason for Business, par exemple, fournit des outils de développement qui permettent aux utilisateurs d’intégrer leur solution de sécurité dans les autres applications de l’organisation.

Grâce à son SDK et à son API cloud, les entreprises peuvent intégrer des fonctionnalités de protection dans leurs propres applications qui filtrent le spam, les URL suspectes et les attaques potentielles à tous les niveaux. Leurs alertes et notifications en temps réel permettent de tenir facilement les équipes informatiques informées et de communiquer rapidement en cas de problèmes de sécurité.

S’engager à s’améliorer

Les cyberattaques font partie du paysage commercial actuel; c’est une menace aussi réelle qu’un incendie, un vol ou toute autre perte possible. Quelle que soit leur taille, les entreprises s’attachent plus que jamais à faire de la cybersécurité une priorité pour leurs organisations. Cette amélioration de l’état d’esprit – en particulier parmi les PME – est remarquable. La disponibilité de solutions technologiques abordables devrait permettre à davantage de PME de sécuriser leur infrastructure.

Au-delà de ces mesures, les PME doivent être plus vigilantes sur la gestion de l’élément humain de la sécurité. Une simple erreur humaine continue de présenter un risque très réel.

La formation, l’automatisation et l’utilisation de solutions qui couvrent les angles morts de sécurité précédents aideront à développer cet état d’esprit critique de sécurité.