Le monde de la cybersécurité peut être déroutant. Les organisations découvrent en permanence les nouvelles menaces dont elles doivent se protéger. À lui seul, le groupe de recherche sur les cybermenaces de Cisco Talos a identifié près d'une nouvelle vulnérabilité par jour en 2019. Les entreprises peuvent avoir des dizaines de produits de sécurité installés, mais elles peuvent se sentir submergées par de fausses alarmes et une maintenance sans fin. Et il y a de fortes chances qu'ils soient toujours victimes de tentatives de phishing, de violations de données ou d'attaques de ransomwares.
Toutes les entreprises doivent trouver un équilibre entre le niveau de risque avec lequel elles se sentent à l'aise et les ressources dont elles disposent pour se protéger. Ceci est particulièrement pertinent dans le secteur des PME. Pour ces organisations, avec leurs ressources limitées, tirer parti de leurs atouts pour pouvoir réfléchir et agir rapidement peut être un avantage pour lutter contre les menaces de sécurité et s'y préparer. Savoir à quoi ressemble un bon travail de sécurité préventive et pouvoir le faire peut avoir plus d'impact que de s'enliser dans les alertes générées par toute une suite de produits de sécurité mal configurés.
Sommaire
Pensée de niveau supérieur
La grande majorité (95%) des professionnels de la sécurité interrogés dans le cadre des recherches récentes de Cisco ont déclaré qu’ils pouvaient identifier les données et les systèmes de leur organisation qui nécessitent les niveaux de protection les plus élevés. Cependant, plus de la moitié d'entre eux ont également déclaré avoir subi un événement de sécurité important au cours de l'année écoulée, qu'il s'agisse d'une faille, d'une intrusion ou infection par un logiciel malveillant. Comprendre les priorités est une chose, mais en faire un programme de prévention efficace en est une autre.
Les PME peuvent commencer par faire le point sur l'emplacement des données et la manière dont elles sont partagées, qu'il s'agisse d'enregistrements de compte ou de données client. Les évaluations Cyber Essentials et Cyber Essentials Plus approuvées par le gouvernement sont une ressource qui peut vous aider dans cette aventure. Une fois que ces flux sont cartographiés, ils peuvent commencer à contrôler les changements apportés aux systèmes et aux ressources de manière plus organisée – afin que ceux qui en ont besoin puissent le faire et que les autres soient tenus à l'écart.
Faire cela de manière approfondie vient du développement de cette compréhension. Avoir une expertise approfondie et l'influence nécessaire pour faire avancer l'action peut être tout aussi important que des budgets plus importants. Après tout, l’un ne peut se produire sans l’autre.
Il y a encore beaucoup de progrès à faire pour développer ces compétences. Une recherche mondiale du Center for Strategic and International Studies, par exemple, a révélé que 82% des employeurs signalent une pénurie de compétences en cybersécurité, et 71% pensent que cette pénurie de talents cause des dommages directs et mesurables à leurs organisations.
Cette pénurie de compétences est également corroborée en examinant vers qui les personnes au sein des organisations se tournent pour leur expertise. Seuls 37% des répondants à l’enquête de Cisco ont estimé qu’ils comptaient sur le personnel interne pour leur savoir-faire en matière de sécurité – presque autant (28%) que ceux qui reposent sur des réseaux professionnels. Alors que les organisations reconnaissent le besoin de compétences cybernétiques accrues, l'aide est là.
La Cisco Net Academy est un exemple de cours de cybersécurité et, au cours des 20 dernières années, nous avons dirigé le programme, nous avons formé plus de 8 millions d'étudiants dans 180 pays. Qu'il s'agisse d'encourager les jeunes à envisager des carrières technologiques ou de donner les introductions essentielles à des sujets technologiques tels que la cybersécurité dont tout le monde peut bénéficier, tout cela aide à développer les talents dont nous aurons besoin pour relever ce défi.
Pas seulement un "module complémentaire"
Pour les petites entreprises, elles peuvent souvent manquer de support informatique spécifique, et le manque de compétences peut donc aller beaucoup plus loin que la simple sécurité. Dans ces situations, lutter efficacement contre cela ne peut se faire que grâce à un effort de groupe. Le regroupement et la mise en commun des ressources, par exemple, peuvent aider à intégrer les capacités informatiques que de nombreuses petites entreprises n’ont pas. Il est également important de considérer la cybersécurité moins comme un «complément» à l’infrastructure informatique, mais plutôt comme un élément vital pour protéger les intérêts de tous. La sécurité est de plus en plus autant une conversation commerciale que technique lorsqu'une cyberattaque réussie pourrait mettre une organisation complètement hors service. Ce n’est pas quelque chose que les dirigeants peuvent se permettre d’ignorer.
Le renforcement des capacités d'exécution est l'autre élément d'une sécurité efficace. Plus il y a de produits en jeu, plus il y a d'informations à connecter. Penser la sécurité de manière plus holistique, et pas seulement pilier par pilier, est un moyen pour les PME de tirer le meilleur parti de ressources limitées – en réduisant les coûts, les chevauchements et le temps de gestion informatique requis. L'automatisation des tâches de routine peut également être très utile pour permettre aux petites équipes de se concentrer sur des priorités plus importantes.
Comme le dit l'adage, la connaissance est le pouvoir. Le budget est une partie de l'équation, mais les organisations doivent également se rappeler qu'il existe d'autres facteurs en jeu. En travaillant avec des pairs, en partageant leurs connaissances et en renforçant leur influence, ils peuvent commencer à accroître leur confiance en matière de sécurité.