Voici comment les entreprises peuvent optimiser les coûts de la cybersécurité sans compromettre la protection à long terme.
Alors que nous entrons dans une période d’incertitude économique, la réduction des coûts sera une priorité pour les entreprises – même les budgets de cybersécurité seront menacés. Pourtant, avec l’augmentation de la fréquence des attaques, la réduction des dépenses dans ce domaine pourrait s’avérer une fausse économie car toute vulnérabilité pourrait être incroyablement dommageable. Elle peut entraîner des coûts supplémentaires, tant financiers que de réputation, à plus long terme.
Pour de nombreuses PME, les coupes dans les budgets de cybersécurité peuvent sembler justifiées en raison du manque de brèches rencontrées par le passé. Cependant, la réalité est que ces défenses sont la raison pour laquelle elles n’ont jamais subi d’attaque. Vous ne vous débarrasseriez pas d’une alarme domestique parce que vous n’avez jamais été cambriolé. La cybersécurité ne devrait pas être différente.
Les organisations peuvent également penser qu’elles peuvent se passer de mesures de sécurité parce qu’elles sont trop petites – qu’elles ne sont pas une cible assez juteuse. Mais le contraire peut être vrai. Les pirates peuvent considérer les petites entreprises comme des proies faciles qui n’auront pas le même niveau de défense qu’une grande société – et qui seront plus susceptibles de céder aux demandes.
Nous avons vu des cas de petites entreprises cédant à des exploitations de ransomware, lorsque les pirates cryptaient des fichiers et demandaient une somme de quelques milliers de livres pour les décrypter. Les petites organisations considèrent souvent qu’il s’agit d’un coût relativement faible par rapport aux implications potentielles.
>Voir aussi : Le jargon de la cybersécurité a un impact sur la communication entre la direction et les spécialistes.
Tirer profit de chaque livre sterling
Au lieu de se lancer immédiatement dans des coupes budgétaires, les organisations devraient plutôt chercher à rentabiliser leurs investissements. Pour ce faire, elles doivent d’une part s’assurer que le potentiel de chaque livre dépensée est pleinement exploité et, d’autre part, s’assurer que tout investissement supplémentaire est dépensé dans les bons domaines – la formation, par exemple, est un domaine qui garantit un retour sur investissement.
Une façon pour les organisations de s’assurer qu’elles en tirent pleinement parti est de tirer le meilleur parti du cloud. Lorsque les PME optent pour une offre groupée auprès d’un fournisseur tel que Google ou Microsoft, elles incluent généralement de nombreuses mesures de sécurité en standard, mais celles-ci ne sont pas toujours utilisées.
Des fonctions telles que l’authentification multifactorielle, qui ajoutent une couche supplémentaire de protection, ne sont trop souvent pas activées – alors qu’elles sont simples à mettre en place (il suffit d’un smartphone).
Une approche axée sur les personnes
Lorsqu’on pense à la cybersécurité, un autre domaine souvent négligé est la possibilité d’une erreur humaine. Si le risque qu’un employé conserve accidentellement des données peut être tout aussi grave qu’un pirate informatique externe, la prévention des violations accidentelles ne doit pas coûter la peau des fesses et il existe des moyens simples de minimiser les risques de violation.
Une formation régulière est le moyen le plus efficace d’éviter les dérapages et permettra au personnel de rester à l’affût des nouvelles menaces. Il est toutefois important que cette formation soit ciblée et appliquée dans les bons domaines.
Par exemple, une façon de comprendre où se situent les lacunes est de préparer les employés aux exploits courants en simulant des attaques. Il peut s’agir d’envoyer des courriels frauduleux ou des liens « douteux » pour voir comment les employés réagissent. Il ne s’agit pas de prendre les gens en défaut, mais de repérer les points faibles et d’identifier les domaines dans lesquels les employés peuvent avoir besoin d’un soutien supplémentaire.
Arrêter les initiés malveillants
Nous devons également envisager la possibilité que des actes malveillants puissent être commis délibérément par des employés mécontents qui quittent l’organisation à la suite d’un licenciement. Cela peut avoir de graves conséquences sur la conformité ou le statut d’assurance d’une organisation.
Par exemple, nous avons été contactés par une école dont l’ensemble de la base de données avait été effacée par un ancien membre du personnel rancunier dont les autorisations d’accès n’avaient pas encore été modifiées. S’assurer que les protocoles nécessaires sont en place – et qu’ils sont respectés – est facile et ne coûte rien. Et cela peut vous éviter d’en payer le prix plus tard.
Bien que le climat actuel soit certainement difficile, les entreprises ne devraient pas avoir à choisir entre les économies et la sécurité. S’il existe des mesures que les organisations peuvent prendre pour s’assurer qu’elles maximisent leur retour sur investissement, elles n’auront pas à dépenser davantage pour éviter que leur entreprise ne soit compromise.
Richard Nelson est consultant technique senior chez Probrand.
Related:
Comment la sécurisation des données en nuage a permis à une entreprise d’économiser 18 000 € – Voici comment les entreprises peuvent sécuriser correctement leurs données en nuage et économiser des milliers de livres.
Cinq couches de défense en profondeur à mettre en œuvre pour réussir la sécurité de l’entreprise – Les étapes idéales que votre organisation peut suivre pour parvenir à une véritable défense en profondeur dans l’ensemble de l’entreprise.