Les PME ont-elles besoin d'un responsable de cybersécurité (CISO)?
Bon, peut-être qu’un chef en cybersécurité peut paraître exagéré. Mais oui, les PME ont besoin d'une ressource dédiée à la cybersécurité pour assurer une structure sécurisée et s'assurer que l'ensemble des professionnels de l'entreprise la respecte. Que se soit un responsable de la cybersécurité dans votre équipe interne ou de façon virtuelle (sous la forme d'un consultant), il n'en reste pas moins que la sécurité informatique requiert une vision stratégique et pas seulement des connaissances opérationnelles. Ainsi, quel que soit le titre accordé (CISO, vice-président de la cybersécurité ou directeur de la sécurité informatique), ce qui importe, c'est d’avoir un plan solide et efficace en cybersécurité.
D’abord, entendons-nous sur une chose. L'époque où la sécurité de votre réseau était entre les mains du plus jeune membre de votre équipe informatique est terminée. La cybersécurité est désormais un enjeu qui concerne tout le personnel de l’entreprise. Elle nécessite des pratiques et des procédures rigoureuses, mais aussi d’effectuer une constante éducation du personnel quant à ces normes. Des technologies spécifiques comme les pare-feu, les logiciels antivirus et la surveillance du réseau sont aussi de mise. Enfin, elle requiert une maintenance et une attention quotidiennes sous la forme de correctifs, d'analyses de réseau et de réponses aux incidents.
Nous sommes trop petits de toute façon...
Sachez que selon Statistique Canada, 47 % des piratages au Canada l'année dernière ont touché des entreprises de taille moyenne. Aux États-Unis, 60 % des PME font faillite dans les six mois suivant une grave cyberattaque. La vérité est que la taille de votre organisation n'a pas d'incidence sur votre niveau de vulnérabilité ou sur le fait que vous soyez ou non une cible. Les groupes de pirates ATP comme Fancy Bear ne vous ciblent peut-être pas, mais arrêtez de penser que vous êtes trop petit pour être piraté. Les robots qui attaquent aléatoirement ne se soucient pas de la taille de votre entreprise - ils recherchent simplement les vulnérabilités.
Et on ne possède pas de données sensibles...
La question à savoir si vous disposez ou non de données sensibles est discutable. Même si vous ne le pensez pas, vos responsables des ressources humaines traitent probablement des informations personnelles identifiables (IPI) et il y a sans doute d'autres informations de valeur qui se cachent dans votre réseau. De toute manière, les robots et les crawlers ne font pas de discrimination en fonction du type de données que vous avez dans votre réseau, ils recherchent simplement des vulnérabilités afin de s’infiltrer. Idem pour les courriels d'hameçonnage. Ils recherchent simplement l’employé peu sensibilisé à la cybersécurité qui cliquera sur un lien.
Dans les deux cas, vous êtes vulnérable à tous types d’attaques. Le fait de ne pas avoir de données sensibles à protéger n'est donc pas un argument contre la mise en œuvre d'un programme de cybersécurité efficace.
Nous n’avons même pas d’équipe de cybersécurité
C'est une chose que l’on entend souvent. Comment pouvons-nous avoir un responsable de la cybersécurité si nous n'avons même pas encore d'équipe ? Dites-vous que la première chose à considérer est d’avoir une bonne stratégie et quelqu’un avec du leadership. Cette personne doit être en mesure d’orienter vos efforts en cybersécurité et pouvoir élaborer un plan. Surtout, quelqu'un qui peut faire en sorte que votre stratégie soit soutenue par les gestionnaires de votre entreprise et apte à choisir des partenaires et/ou engager une équipe pour exécuter cette stratégie. Si cela ne vous semble pas être un emploi idéal pour un technicien junior, vous avez raison. Avant de pouvoir vous attaquer efficacement à la cybersécurité, vous avez besoin de leadership. Cette direction peut être assurée par le recrutement d'un CISO, d'un directeur de la sécurité de l'information ou par la recherche d'une aide extérieure sous la forme d'un CISO virtuel. Quelle que soit la manière dont vous le faites, vous aurez besoin de quelqu'un pour prendre la barre.
Si vous êtes une PME et que vous avez besoin d'aide pour élaborer un plan de cybersécurité, StreamScan peut vous aider. Nous pouvons même vous aider à trouver un CISO virtuel pour vous guider dans vos efforts.
Découvrez comment notre service de Détection et Réponse Gérées (MDR) peut protéger votre réseau
Nous sommes convaincus qu'après avoir vu notre solution MDR (alimentée par notre technologie de surveillance du réseau CDS) en action, vous ne voudrez plus laisser votre réseau sans protection. C'est pourquoi nous vous proposons un essai gratuit de 30 jours qui comprend :
- Une séance d'information
- Configuration du CDS
- Preuve de concept gratuite de 30 jours
- Rapport d'activité du premier mois et recommandation
Courriel: Freetrial@streamscan.ai
Téléphone : 1 877-208-9040