septembre 13, 2021

Votre liste de contrôle pour éviter les failles de sécurité informatique

Le problème de sécurité des technologies de l’information le plus urgent auquel sont confrontés les entrepreneurs canadiens ne sont pas les pirates informatiques. La majorité des failles de sécurité proviennent en fait des propres employés d’une entreprise.

Cependant, ils ne le font généralement pas exprès : la plupart des violations sont des accidents, comme un employé envoyant par erreur des informations confidentielles sur un client à l’extérieur de l’entreprise, un caissier laissant les informations de carte de crédit d’un client sur un ordinateur accessible au public ou un responsable supprimant par inadvertance des informations importantes des dossiers.

Violations téléchargées

L’une des brèches les plus courantes : le téléchargement accidentel de logiciels malveillants, ces petits virus informatiques et chevaux de Troie qui peuvent perturber votre réseau informatique.

Selon une étude de l’industrie, quatre petites et moyennes entreprises (PME) canadiennes sur cinq déclarent avoir rencontré un problème de sécurité lié aux technologies de l’information et des communications (TIC) causé par un employé au cours de l’année précédente. Mais la plupart des PME ne font pas grand-chose jusqu’à ce qu’il soit trop tard.

De nombreux propriétaires d’entreprise font semblant de ne pas s’intéresser à la sécurité technologique, mais ils n’y investissent pas d’argent.

En conséquence, les actions sont généralement reportées jusqu’au jour où un ordinateur essentiel tombe en panne ou des données vitales sont effacées lors d’une attaque de malware. Et avec la prolifération des appareils mobiles, de l’informatique sans fil et des travailleurs à distance, le défi de la sécurité devient de plus en plus important pour les entrepreneurs.

Évaluez votre sécurité technologique

Mais la sécurité informatique ne doit pas être sporadique et fragmentaire. Idéalement, vous devriez évaluer régulièrement votre sécurité informatique dans le cadre d’un examen plus large de tous vos systèmes. L’idée est de vous assurer que votre équipement et vos processus technologiques ne sont pas en décalage avec votre stratégie commerciale.

Voici une liste de contrôle de la sécurité des TIC que les PME peuvent suivre dans le cadre de cet examen :

1. Stratégie et politiques de ressources humaines

• Votre entreprise a-t-elle une politique de sécurité informatique claire et connue du personnel ?

• Avez-vous une politique sur l’utilisation acceptable des TIC, des directives sur les mots de passe et des pratiques de sécurité ?

• Avez-vous des accords de confidentialité pour les sous-traitants et les fournisseurs ?

• Votre entreprise a-t-elle une politique de confidentialité ?

2. Sauvegarde des données

• Pour les données critiques (il s’agit de tout ce qui est nécessaire dans les opérations quotidiennes, y compris les informations client), les centralisez-vous sur un serveur et les sauvegardez-vous chaque nuit sur un emplacement distant ?

• Pour les données importantes (tout ce qui est important pour l’entreprise mais qui n’est pas mis à jour fréquemment), les centralisez-vous sur un serveur et les sauvegardez-vous semi-régulièrement hors site ?

3. Sécurité du bureau

• Tous les ordinateurs disposent-ils d’un logiciel antivirus fonctionnel ?

• Avez-vous une politique de sécurité pour le téléchargement et l’installation de nouveaux logiciels ?

• Avez-vous des mots de passe avec un minimum de huit caractères alphanumériques qui sont modifiés tous les 90 jours ?

• Tous les ordinateurs sont-ils mis à jour avec les dernières mises à jour système et correctifs de sécurité ?

4. Internet et sécurité des réseaux

• Disposez-vous d’un pare-feu et d’une détection d’intrusion sur toutes les connexions Web ?

• Utilisez-vous un réseau privé virtuel pour l’accès à distance ?

• Toutes les connexions modem et d’accès sans fil sont-elles connues et sécurisées ?

5. Confidentialité et informations sensibles

• Les informations financières des clients sont-elles cryptées et accessibles uniquement à ceux qui en ont besoin ?

• Les dossiers papier sont-ils conservés dans des classeurs verrouillés à accès contrôlé ?

6. Auditer

Faites-vous un audit périodique (tous les six mois au moins) de votre liste de contrôle de sécurité informatique ?