10 conseils pratiques pour une meilleure sécurité informatique

Il existe encore de nombreux mythes sur la sécurité. Pourtant, les entreprises ne devraient prendre leurs décisions que sur la base de faits concrets. Par exemple, 72 % des attaques visent aujourd'hui les identités des utilisateurs et les applications. Pourtant, seuls 10 % du budget de sécurité informatique sont consacrés à leur protection. De même, le danger représenté par les collaborateurs internes continue d'être sous-estimé. Selon Fortune, un employé sur cinq vendrait ses mots de passe personnels d'entreprise, dont près de la moitié pour moins de 1.000 dollars.

Peu d'entreprises sont suffisamment préparées

Plus de 4 millions d'enregistrements sont compromis chaque jour. Plus de 2 milliards de comptes compromis sont disponibles à l'achat en ligne. L'année dernière, Google a découvert chaque semaine entre 9 et 49 millions de sites de logiciels malveillants et entre 22 et 54 millions de sites de phishing. "Au vu de ces chiffres, la question n'est effectivement plus aujourd'hui de savoir si une entreprise est attaquée, mais quand", explique Andreas Riepen, vice-président DACH chez F5. "Mais peu d'entreprises sont vraiment suffisamment préparées à cette éventualité. Ainsi, rien que l'année dernière, plus de 26,5 millions de sites web ont été piratés. Une protection complète par une architecture de sécurité intégrée n'a pourtant rien de sorcier. Et même avec quelques conseils simples, on peut déjà obtenir beaucoup dans la pratique".

10 conseils pratiques pour augmenter la sécurité

1. Comprendre les motivations, les objectifs et les tactiques des pirates informatiques : La plupart des pirates informatiques sont des cybercriminels qui ne recherchent qu'une chose : L'argent. Et bien qu'ils aient la réputation d'élaborer sans cesse les plans les plus sophistiqués, nombre de leurs méthodes sont en réalité très simples. En fin de compte, ils choisissent toujours la voie de la moindre résistance et se trouvent des cibles faciles.
2. Adaptez votre budget à votre environnement de menaces - et prévoyez également une cyberassurance : Prévoyez impérativement une cyberassurance dans votre budget. Un petit montant pour la confiance des consommateurs ne ruinera guère votre entreprise, mais la violation de la protection des données causée par un piratage et les coûts qui y sont liés pourraient bien l'être.
3. Formez tous les collaborateurs - de l'administration au conseil d'administration : En matière de sécurité, tout le monde est concerné et il est donc important de sensibiliser chacun d'entre nous. Formez vos utilisateurs avec insistance pour qu'ils puissent reconnaître et repousser les attaques de phishing ciblées. Faites-leur comprendre l'importance d'une bonne gestion des mots de passe (et le danger que peuvent représenter des mots de passe non protégés) et mettez à leur disposition des outils tels que Password Safes.
4. Contrôlez correctement l'accès : Limitez le nombre d'identités d'utilisateurs. L'authentification à plusieurs niveaux (MFA) pour l'accès à votre réseau et à ses applications peut réduire le risque d'attaques contre les identités. N'utilisez pas de combinaisons nom d'utilisateur/mot de passe non sécurisées ou prédéfinies. Les mots de passe hachés n'offrent pratiquement aucune protection. N'oubliez pas que l'accès est un privilège.
5. Gérez vos points faibles : Utilisez une solution d'analyse pour chaque réseau, chaque système et chaque type de logiciel. Prioriser la gestion des vulnérabilités pour les applications web. Automatisez la gestion des vulnérabilités pour les applications web. Patchez tous les appareils - ordinateurs de bureau, ordinateurs portables, serveurs, etc. - tous les mois, en particulier si vous utilisez Windows.
6. Veillez toujours à la transparence nécessaire, en particulier pour vos données critiques, car ce que vous ne voyez pas, vous ne pouvez pas le protéger : Les systèmes de détection/prévention des intrusions (IDS/IPS), les gestionnaires d'événements d'information de sécurité (SIEM), la prévention des pertes de données (DLP) et autres systèmes doivent être correctement conçus, mis en œuvre et gérés en permanence.
7. Engagez un hacker et/ou mettez en place un programme de bug bounty Si une attaque réussie contre une application spécifique risque de causer des dommages importants à votre entreprise, il vaut la peine de faire appel à un technicien pour tenter de la pirater.
8. Faites appel à des experts, notamment dans les domaines de la conformité et de la réponse aux incidents : Security-as-a-Service est une excellente option pour la gestion efficace des contrôles à haut risque qui nécessitent une réponse rapide 24×7 de la part de techniciens compétents.
9. Adoptez une stratégie DDoS : Aujourd'hui, pratiquement n'importe qui peut créer sans grand effort des botnets IoT qui permettent de lancer des attaques de l'ordre de quelques téraoctets par seconde. Si vous n'avez pas encore de plan pour lutter contre les attaques DdoS, vous devriez en élaborer un rapidement.
10. Communiquez la probabilité et les conséquences d'une attaque : Informez votre conseil d'administration, votre comité d'audit et votre direction des attaques potentielles et de leurs conséquences. En aucun cas, vous ne devez les surprendre à un moment donné par une violation de sécurité totalement inattendue.

Si 10 conseils pratiques ne suffisent pas, un livre blanc de F5 Networks fournit des informations supplémentaires. Ce livre blanc, qui contient des informations détaillées sur les données actuelles et l'état des menaces, est disponible à l'adresse suivante https://interact.f5.com/ThreatLandscapeReportDE.html télécharger.