Comment identifier les risques de cybersécurité de votre entreprise

Cet article a été initialement publié sur IndustryWeek. Article de blog invité par Traci Spencer, responsable du programme de subventions pour TechSolve, Inc., le partenaire régional sud-ouest du MEP de l'Ohio, qui fait partie du réseau national du MEP ^TM .

Cet article est le premier volet d'une série en cinq parties décrivant les meilleures pratiques en matière de « Cybersécurité pour les fabricants ». Ces recommandations suivent le cadre de cybersécurité du National Institute of Standards and Technology (NIST), qui est devenu la norme pour le secteur manufacturier américain.

Selon une étude parrainée par IBM en 2018 par le Ponemon Institute, la moyenne mondiale pour une violation de données est de 3,86 millions de dollars. Cela revient à près de 150 $ par enregistrement volé. Si vous êtes un fabricant de petite ou moyenne taille, vous ne pensez peut-être pas que de telles statistiques s'appliquent à vous. Mais sur les 17 industries représentées dans le rapport, les secteurs les plus touchés étaient la finance, les services et l'attente :la fabrication.

Parce que les fabricants consacrent souvent moins de ressources à la sécurité de l'information, ils sont une cible populaire pour les cybercriminels. Et il suffit d'une seule cyberattaque pour dévaster l'ensemble du système opérationnel d'un petit fabricant. Les machines en réseau, les fournisseurs, les distributeurs ou même les clients peuvent tous être piratés via un ordinateur/appareil dans une usine de fabrication.

Les autres risques incluent :

• Perte d'informations essentielles à la gestion de votre entreprise
• Impact négatif sur la confiance des clients
• Amendes réglementaires et frais juridiques qui en découlent
• Diminution ou arrêt de la productivité.

Heureusement, vous pouvez apprendre à protéger vos opérations avec l'aide du National Institute of Standards and Technology (NIST), qui a développé un cadre de cybersécurité en cinq étapes pouvant être mis en œuvre par une entreprise de toute taille. Disponible en ligne, le cadre de cybersécurité du NIST peut être expliqué plus en détail par votre représentant local du réseau national MEP, les experts incontournables pour faire progresser la fabrication aux États-Unis. Vous pouvez également consulter le Guide des fabricants sur la cybersécurité (ajouter un lien une fois que nous connaissons l'emplacement du document) qui fournit aux fabricants les pratiques de base et les outils nécessaires pour développer un programme de cybersécurité.

Prêt à faire votre premier pas vers la sécurité des données ? Le processus commence par l'identification de vos risques.

Contrôlez qui a accès à vos informations

Faites une liste des employés ayant accès à un ordinateur et incluez tous vos comptes d'entreprise, le type d'accès (physique ou mots de passe) et sécurisez physiquement tous les ordinateurs portables et appareils mobiles lorsqu'ils ne sont pas utilisés. Demandez à vos employés d'utiliser un écran de confidentialité ou de positionner l'écran de l'ordinateur de sorte que les personnes qui passent ne puissent pas voir les informations affichées, et demandez-leur de configurer le verrouillage de l'écran pour qu'il s'active lorsque l'ordinateur n'est pas utilisé.

N'autorisez pas l'accès physique aux ordinateurs ou aux systèmes par du personnel non autorisé, tel que :  

• Équipes de nettoyage ou personnel d'entretien
• Personnel de réparation informatique ou réseau non supervisé travaillant sur des systèmes ou des appareils
• Personnes non reconnues qui entrent dans votre bureau ou votre atelier sans être interrogées par un employé

Il ne faut que quelques secondes à un criminel pour accéder à une machine déverrouillée. Ne leur permettez pas de voler facilement vos informations sensibles.

Réaliser des vérifications des antécédents et de sécurité pour tous les employés

Les vérifications des antécédents sont essentielles pour identifier vos risques de cybersécurité. Des recherches complètes à l'échelle nationale doivent être effectuées pour tous les employés potentiels ou autres qui auront accès à vos ordinateurs et aux systèmes et équipements de l'entreprise.

Ces contrôles doivent inclure :

• Vérification des antécédents criminels
• Contrôles des délinquants sexuels
• Vérifications de solvabilité, si possible (certains États américains limitent l'utilisation des vérifications de solvabilité)
• Références pour vérifier les dates de travail pour les employeurs précédents
• Vérification des études et des diplômes

Vous pouvez également envisager de procéder à une vérification de vos antécédents, ce qui peut vous alerter rapidement si vous êtes sans le savoir victime d'un vol d'identité.

Exiger des comptes utilisateur individuels pour chaque employé

Si vous subissez une perte de données ou une manipulation de données non autorisée, il peut être difficile d'enquêter sans comptes individuels pour chaque utilisateur. Configurez un compte distinct pour chaque employé et sous-traitant qui a besoin d'y accéder. Exigez-les d'utiliser des mots de passe forts et uniques pour chaque compte.

Limitez le nombre d'employés qui ont un accès administratif, surtout s'il ne leur est pas nécessaire pour effectuer leurs tâches quotidiennes. Considérez les comptes invités avec un accès Internet uniquement pour les visiteurs ou les clients de votre établissement.

Créer des politiques et procédures de cybersécurité

Bien que la création de votre première politique de cybersécurité puisse sembler une tâche intimidante, il existe de nombreux conseils faciles à suivre du réseau national MEP qui peuvent vous aider à démarrer. Vous pouvez également consulter un professionnel du droit familiarisé avec la cyberlégislation pour examiner vos politiques afin de vous assurer que vous vous conformez aux lois et réglementations locales.

Votre nouvelle politique de cybersécurité doit inclure :

• Vos attentes vis-à-vis de vos employés en matière de protection des informations de l'entreprise
• Ressources essentielles qui doivent être protégées et comment vous attendez de vos employés qu'ils protègent ces informations
• Un accord signé par chaque employé pour confirmer qu'il a lu la politique et qu'il la comprend.

Conservez l'accord signé dans le dossier RH de chaque employé. Examinez la politique au moins une fois par an et effectuez des mises à jour lorsque vous apportez des modifications à la technologie de votre entreprise. Vous pouvez ensuite utiliser votre politique de cybersécurité pour former vos nouveaux employés à leurs responsabilités en matière de sécurité des informations et définir des pratiques acceptables pour toutes vos opérations commerciales.

Maintenant que vous savez identifier vos risques et évaluer vos ressources, il est temps de penser à les protéger. Dans la deuxième partie de notre série en cinq parties « Cybersécurité pour les fabricants » du réseau national MEP, nous passons en revue les étapes clés pour protéger vos données et informations précieuses contre les cybermenaces.