Votre liste de vérification pour éviter les failles de sécurité des TI
Lecture de 3 minutes
Le plus important problème de sécurité informatique des propriétaires d’entreprise canadiens n’est pas les pirates informatiques. Ce sont les membres du personnel. Bonne nouvelle: ce n’est généralement pas intentionnel.
La plupart des atteintes à la sécurité se produisent par accident, par exemple lorsqu’une employée ou un employé transmet par courriel des renseignements confidentiels à une ou un destinataire externe, quand une caissière ou un caissier laisse l’information de la carte de crédit d’une cliente ou un client affichée sur un ordinateur à la vue de tout le monde, ou lorsqu’une directrice ou un directeur supprime par inadvertance des fichiers importants.
Atteintes à la sécurité par téléchargement
Parmi les bris de sécurité les plus courants, mentionnons le téléchargement accidentel de logiciels malveillants, ces pernicieux virus et chevaux de Troie qui peuvent causer d’immenses dommages dans le réseau informatique.
Selon une étude de l’industrie, l’année dernière, quatre PME canadiennes sur cinq ont connu un problème de sécurité des technologies de l’information (STI) causé par une employée ou un employé. Or, la plupart des entreprises ne réagissent que lorsqu’il est trop tard.
Un grand nombre de propriétaires d’entreprise parlent abondamment de la sécurité des technologies, sans toutefois y investir.
Par conséquent, les entreprises délaissent la question jusqu’au jour où un ordinateur essentiel plante ou qu’une attaque par un maliciel supprime des données vitales.
Avec la prolifération des appareils mobiles, de l’informatique sans fil et du télétravail, la sécurité devient un souci grandissant pour les propriétaires d’entreprise.
Évaluez la sécurité de votre technologie
La sécurité des TI n’a pas besoin d’être discontinue et partielle.
Idéalement, vous devriez régulièrement évaluer votre sécurité des TI dans le cadre d’un examen plus vaste de l’ensemble de vos systèmes. On vise ainsi à éviter un décalage entre ses technologies et sa stratégie d’entreprise.
Voici la liste de contrôle de la sécurité des TI que les PME peuvent suivre dans le cadre de cette évaluation.
1. Stratégie et politiques des Ressources humaines
- Possédez-vous une politique claire connue du personnel en matière de sécurité des TI?
- Avez-vous établi une politique sur l’utilisation acceptable des TI, des directives concernant les mots de passe et des pratiques de sécurité?
- Existe-t-il des accords de confidentialité avec les propriétaires d’entreprise et les entreprises fournisseuses?
- Disposez-vous d’une politique sur la protection de la vie privée?
2. Sauvegarde des données
- Les données essentielles (c’est-à-dire nécessaires aux activités quotidiennes, y compris les renseignements sur la clientèle) sont-elles centralisées sur un serveur et sauvegardées chaque jour à un emplacement éloigné?
- Les données importantes (c’est-à-dire vitales pour l’entreprise, mais qui ne changent pas souvent) sont-elles centralisées sur un serveur et sauvegardées à distance à intervalles réguliers?
3. Sécurité des ordinateurs
- Les ordinateurs sont-ils tous dotés d’un logiciel antivirus?
- Existe-t-il une politique de sécurité concernant le téléchargement et l’installation de nouveaux logiciels?
- Les mots de passe comptent-ils au moins huit caractères alphanumériques et doivent-ils être changés tous les 90 jours?
- Les mises à niveau logicielles et les rustines de sécurité sont-ils appliqués sur tous les ordinateurs?
4. Sécurité d’Internet et du réseau
- Un pare-feu et une fonction de détection des intrusions protègent-ils toutes les connexions Web?
- L’accès à distance aux systèmes de l’entreprise se fait-il au moyen d’un réseau privé virtuel?
- Les connexions par modem et les accès sans fil sont-ils tous connus et sécurisés?
5. Protection des renseignements personnels et de l’information sensible
- Les renseignements financiers des clientes et clients sont-ils chiffrés et accessibles uniquement aux personnes qui doivent les connaître?
- Conserve-t-on les documents papier dans des classeurs verrouillés et d’accès contrôlé?
6. Vérification
- Procédez-vous à une vérification périodique (au minimum chaque semestre) de la liste de contrôle de la sécurité des TI?
Prochaine étape
Communiquez avec nous pour obtenir l’aide de spécialistes. Nous pouvons vous aider à obtenir une certification en cybersécurité qui rehaussera la confiance de votre clientèle.