Être propriétaire d'une petite entreprise comporte de nombreux défis, y compris la gestion sécuritaire de la technologie. Chaque risque peut avoir un effet démesuré sur votre capacité à rester en affaires. Et les ressources pour protéger votre entreprise sont souvent orientées vers des organisations beaucoup plus grandes. Le National Institute of Standards and Technology (NIST) vise à changer cela, avec la publication de son Small Business Cybersecurity Corner.
En quoi la protection d'une petite entreprise est-elle différente?
Fondamentalement, les techniques nécessaires pour protéger une petite entreprise ne sont pas si différentes de celles qui sont nécessaires pour protéger une très grande organisation. Les plus grandes différences se résument à la complexité, à l'expertise et à la résilience.
Un petit réseau sera nécessairement beaucoup moins complexe, ce qui signifie qu'il peut être plus facile à protéger. Mais si vous n'avez pas l'expertise nécessaire pour savoir si vous avez protégé adéquatement vos données et vos appareils, cette simplicité est largement hors de propos. Et même si le coût d'un incident de sécurité peut être moins élevé, en raison d'un petit nombre de disques ou de machines touchés, il peut représenter un pourcentage élevé d'un petit montant de profit, en quel cas, il peut être très difficile pour les entreprises de rebondir.
Les conseils existants en matière d'évaluation et de protection contre les risques liés à la cybersécurité peuvent souvent sembler écrasants pour ceux qui ne sont pas experts en informatique. Mais maintenant, il existe une ressource spécifique qui s'adresse aux petites entreprises. De plus, il utilise un langage plus accessible pour aider les petites entreprises à comprendre leurs risques spécifiques ainsi que les mesures utilisées pour les atténuer.
Ressources du NIST pour les petites entreprises
Faisons un rapide tour d'horizon du Coin de la cybersécurité des petites entreprises (ou Small Business Cybersecurity Corner) du NIST, pour illustrer la variété des ressources qu'il offre. La première section est Cybersecurity Basics, qui est un excellent point de départ.
-
Notions de base sur la cybersécurité
Cette section comporte trois sous-sections : « Risques liés à la cybersécurité », « Pour les gestionnaires » et le « Glossaire ». La page Risques liés à la cybersécurité comporte deux groupes d'articles. Le premier groupe s’intitule « Risques et menaces ». Il couvre une grande variété de préoccupations communes, et il est bien équilibré entre vous aider à comprendre les menaces ainsi que la façon de les aborder ou de les identifier. Le deuxième groupe, « Gestion du risque », traite spécifiquement des mythes liés à la gestion du risque et fournit des statistiques qui soulignent l'importance de la gestion du risque technologique.
La section « Pour les gestionnaires » traite de la sécurité du point de vue de la gestion. Cela comprend des discussions sur la sécurité et les risques au niveau du conseil d'administration, des sujets de discussion pour les PDG qui envisagent la posture de sécurité de leur entreprise, l'amélioration de la culture de sécurité à tous les niveaux de l'organisation et la façon d'embaucher du nouveau personnel de sécurité.
Le Glossaire est exactement ce à quoi vous vous attendez, et il couvre plusieurs douzaines de termes décrivant les concepts de sécurité qui sont utilisés dans tout le site.
La section « Les bases de la cybersécurité » constitue un bon point de départ pour ceux qui sont très novices dans le domaine de la sécurité, et peut être un bon point de départ pour les personnes qui sont plus familières. Le document sur les mythes est susceptible d'être particulièrement utile pour ceux qui arrivent avec un certain niveau d'idées préconçues sur la sécurité.
-
Guides de planification
Cette section contient le genre de contenu pour lequel le NIST est devenu bien connu, ainsi que des articles supplémentaires couvrant ces ressources dans un langage plus clair et moins technique.
La « Feuille de route des ressources sur la cybersécurité » représente un bon point de départ pour naviguer dans cette section. Il s'agit d'un infographique pour vous aider à déterminer par où commencer, ou où vous devez aller si vous êtes plus loin dans votre cheminement vers la protection de votre environnement. Chaque niveau vous dirigera vers les ressources spécifiques qui vous seront les plus utiles.
-
Intervention en cas d'incident cybernétique
Cette section vous indique où aller si vous avez été victime d'un incident de sécurité et que vous avez besoin de savoir quoi faire ensuite. Le guide sur l'atteinte à la protection des données comprend même un modèle d'avis d'intervention en cas d'atteinte à la protection des données, ce qui vous permet de vous assurer que vous avez couvert les bases nécessaires de façon aussi efficace et professionnelle que possible, même dans une situation très stressante.
-
Formation
Cette section a été créée avec le NIST Manufacturing Extension Partnership et s'adresse principalement aux petits fabricants. Ceci va plus en détail sur le manuel NIST 800-171 pour aider ceux qui fournissent des produits pour le Département de la Défense.
-
Répertoire des contributeurs
Cette section est une liste de ressources et d'autres organismes gouvernementaux qui aident à améliorer la cybersécurité. J'aimerais attirer votre attention sur le Guide de gestion de la main-d'œuvre du National Initiative for Cybersecurity Education (NICE), qui peut être particulièrement utile si vous êtes à la recherche de personnes pour vous aider à améliorer votre capacité de sécurité.
-
Foire aux questions
La section FAQ répond aux questions fréquemment posées au sujet du site de cybersécurité du NIST pour les petites et moyennes entreprises, par exemple pourquoi les petites et moyennes entreprises doivent se préoccuper de la sécurité.
-
Blogue
Une fois que vous vous serez familiarisé avec les notions de base, vous voudrez peut-être visiter le site régulièrement, pour voir quels sont les sujets d'intérêt les plus récents. La section Blogue est périodiquement mise à jour avec les activités du NIST, ainsi que les événements d'actualité d'intérêt.
J'espère que les efforts du NIST ne sont que le début d'une tendance majeure vers l'éducation des propriétaires de petites entreprises en matière de sécurité. Il y a un besoin énorme qui doit être comblé, surtout pour rendre la conformité réglementaire compréhensible pour les simples mortels. Si vous êtes propriétaire d'une petite entreprise, pensez-vous que ce niveau d'information est utile? Si oui, pourquoi? Sinon, qu'aimeriez-vous que l'on fasse différemment?