Les PME réapprennent les bases de la sécurité dans les conditions de télétravail de COVID

  • FrançaisFrançais


  • Kiersten Todt, directeur général du Cyber ​​Readiness Institute. (Nouvelle Amérique)

    La Cybersecurity and Infrastructure Security Agency (CISA) du Department of Homeland Security (CISA) a lancé mercredi un «Telework Essentials Toolkit» gratuit conçu pour aider les entreprises à s’adapter aux réalités du travail à domicile pendant la pandémie COVID.

    Le DHS s’est associé au Cyber ​​Readiness Institute (CRI), à la Global Cyber ​​Alliance et à d’autres partenaires pour ajouter ces ressources à la gamme de produits de télétravail dédiée de l’agence, lancée en mai dernier. Le CRI se concentre principalement sur les petites et moyennes entreprises (PME), dont beaucoup ne disposent pas des fonds et du personnel dont elles ont besoin pour sécuriser correctement leur main-d’œuvre éloignée. Cette nouvelle boîte à outils pourrait aider ces entreprises à compenser.

    La boîte à outils contient des ressources pour aider les professionnels de l’informatique à exécuter six actions tactiques et techniques clés, y compris la gestion des correctifs et des vulnérabilités, la mise en œuvre d’applications de télétravail approuvées et la sécurité des e-mails. Il conseille également les télétravailleurs sur la manière de consolider leurs réseaux domestiques et fournit également aux dirigeants des recommandations stratégiques.

    «Le télétravail n’est plus une expérience ou une option temporaire pour la majorité des entreprises, des organisations et du gouvernement», a déclaré Bryan Ware, directeur adjoint de CISA, dans l’annonce. «Le télétravail élargi étant la« nouvelle norme »pour beaucoup, il est temps pour les organisations de procéder à une évaluation complète de leur entreprise élargie pour garantir ou établir une posture de cybersécurité stratégique à long terme.»

    Kiersten Todt, directeur général du CRI et directeur exécutif de la Commission présidentielle sur l’amélioration de la cybersécurité nationale, a parlé à SC Media du dernier partenariat de CRI avec le DHS et a abordé les domaines dans lesquels les PME continuent de lutter dans des conditions de travail à domicile, et ce que leur top les priorités devraient être.

    Vous vous êtes auparavant associé à CISA dans le cadre d’autres efforts visant à aider les petites entreprises à rester en sécurité. Rafraîchissez notre mémoire sur certaines de vos collaborations précédentes.

    Lorsque CISA… a commencé à chercher comment fournir des outils aux petites entreprises, je m’étais essentiellement connecté avec elles à propos du travail que nous faisions, avec la discussion selon laquelle «vous n’avez pas besoin de réinventer beaucoup de cela. Beaucoup d’entre nous se sont concentrés sur cela en particulier … »Et il était donc clair qu’en collaborant simplement, ils pourraient être, encore plus efficacement, un référentiel de tous ces outils qui existent, et ils pourraient devenir ce guichet unique .

    Et si tôt, nous avons commencé à nous associer avec eux sur des outils pour les petites entreprises et sur la manière de créer le moyen le plus accessible pour amener les petites entreprises à utiliser les outils, à comprendre ce qu’ils sont et sur quoi se concentrer, en particulier de notre point de vue, du côté du comportement humain.

    Et à la suite de cette relation initiale, au début de cette année, alors que nous examinions les ransomwares, CRI a contacté CISA et a dit: «Hé, nous aimerions créer un playbook de ransomware avec vous.» Et ce que nous avons fini par faire, c’est développer le playbook, puis ils ont aidé à la distribution.

    [We’re] continuer à collaborer sur ces boîtes à outils pour les petites entreprises… Et j’espère que leur base d’utilisateurs ne fait qu’augmenter grâce à cela et à l’IRC.

    Mais ensuite, Covid est arrivé et a secoué le monde des petites entreprises. Alors, comment cela a-t-il finalement abouti à cette nouvelle boîte à outils?

    Assez tôt, nous avons publié notre premier guide sur l’environnement distant le 13 mars. [I said], «Nous devons sortir cela, car les petites entreprises vont toutes se bousculer et leur filet de sécurité est dans de nombreux cas inexistant. Alors, très rapidement: comment vous assurer que dans cette pandémie, dans ce mode de crise, vous leur donnez les bases sur ce qu’ils devraient suivre, car ils déterminent comment déplacer les effectifs à distance, et ce qu’ils devraient faire attention à?

    Et en fait, si nous regardons au cours de cette année de la pandémie, les problèmes sur lesquels nous nous sommes concentrés – le phishing, le comportement humain – ont été les plus grandes vulnérabilités. Nous constatons une énorme augmentation du phishing. Alors [we’ve been] en aidant à créer cette fondation et en travaillant avec CISA sur le travail qu’ils font pour leur donner du contenu. »

    Quel est le contenu spécifique que vous fournissez?

    Nous fournissons des liens vers des politiques très spécifiques sur le phishing, les mots de passe et l’utilisation de l’USB. Alors évidemment, les directives pour le partage de fichiers dans un environnement de travail à distance deviennent vraiment essentielles. Alors leur [DHS’] toolkit fournit désormais des liens vers nos recommandations et nos conseils pour ces problèmes fondamentaux.

    Mais ensuite, nous avons également créé une série de guides – nous en sommes à environ neuf actuellement – sur différents problèmes de travail à distance. Et plus récemment, nous venons de faire un guide sur l’environnement de travail hybride. Je pense que cet environnement de travail hybride va créer beaucoup plus de défis de sécurité. Car s’il n’est pas facile d’avoir une main-d’œuvre uniquement distante, vous savez au moins où se trouve tout le monde. Mais lorsque certaines personnes travaillent au bureau et que certaines personnes travaillent à domicile, puis alternent, ce qu’elles font avec leurs politiques doit être examinée de plus près.

    Alors le nouveau [DHS] Le document de télétravail renvoie aux guides de travail à distance que nous avons produits depuis mars sur le partage de données, des conseils, des choses à faire et à ne pas faire, et maintenant, ce premier de notre série sur les environnements de travail hybrides.

    Cela fait plus de six mois que la pandémie a commencé à affecter de manière significative les entreprises américaines en mars dernier. Au cours de cette période, les PME ont-elles retrouvé leur équilibre et leur sécurité après avoir soudainement été amenées à passer à un modèle de travail à distance?

    Les petites entreprises – et vraiment tout entreprises – se réalignent, se souviennent et soulignent l’importance des bases…. La force des mots de passe, des mises à jour logicielles, la façon dont vous partagez des fichiers. Ces éléments sont essentiels, que vous soyez en pandémie ou non. Mais la pandémie les a mis en évidence. Et je pense que c’est un point positif, car ce que vous voyez, ce sont des organisations, des entreprises, qui s’assurent que ces politiques sont solides et que tous leurs employés savent quelles sont ces politiques.

    En revanche, je dirais que nous assistons à une réelle augmentation du phishing et des ransomwares… Une grande entreprise mondiale [that CRI has been talking to recently said] qu’ils ont beaucoup de petites entreprises dans leur chaîne d’approvisionnement qui sont martelées par les ransomwares…

    C’est la prémisse de la création de CRI, à savoir: Les petites entreprises sont des composants essentiels des chaînes d’approvisionnement mondiales. Il est donc essentiel de travailler avec eux sur les bases de la sécurité. Alors que le playbook de ransomware que nous avons fait avec DHS avant la pandémie, c’est quelque chose que nous utilisons beaucoup dans la pandémie parce que nous parlons de ce qu’il faut faire pour se préparer au ransomware, mais aussi de ce qu’il faut faire pour y répondre.

    Quelle est la question à laquelle le CRI a été le plus fréquemment posé par les petites entreprises qui ont demandé des conseils pendant l’épreuve du COVID?

    Si je ne suis que quelques employés, ou si je suis petit, la première question est: «Suis-je vraiment une cible? Et puis le deuxième est: «À quoi dois-je penser?» Nous avons commencé à voir un peu plus de détails comme: “Que dois-je faire contre le phishing et les ransomwares?”

    Mais c’est aussi: «Comment puis-je impliquer mes employés dans toutes ces politiques?» Nous nous concentrons donc en grande partie sur le comportement humain.

    C’est juste une communication de base: rencontrez un problème chaque semaine dont vous parlez, rappelez à vos employés à quoi ressemble un mot de passe fort, rappelez-leur de cliquer sur les mises à jour logicielles automatiques sur leurs ordinateurs et assurez-vous que vous disposez d’un cloud système de partage de fichiers, en particulier maintenant avec les hybrides, de sorte que vous n’êtes pas en USB dans un espace physique et que vous retournez ensuite chez vous et utilisez les clés USB. C’est donc ainsi que nous pouvons rendre ces principes de base acceptables et compréhensibles.

    Source

    Laisser un commentaire

    Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *