Après une migration massive vers travail à distance au cours de la dernière année, les entreprises peuvent désormais avoir une grande confiance dans leurs nouvelles infrastructures - malgré un ou deux raccourcis pris avec sécurité pour accélérer transformation numérique .
Kris Lovejoy, EY Global Cybersecurity Leader et ancien RSSI d'IBM a révélé qu'en réponse à la pandémie, «84% des pays du monde ont introduit des capacités de travail à domicile, 60% ont introduit la technologie pour permettre cela, et 60% des ceux-ci ont soit complètement ignoré, soit abrégé les contrôles de sécurité dans le cadre de cette implémentation. »
Avec de nouveaux vaccins et un rebond économique potentiel à l'horizon, les entreprises vont désormais expérimenter des stratégies de croissance pour 2021. Cependant, il est essentiel qu'elles doublent - et triplent - qu'elles ont les bonnes mesures de sécurité en place pour une trajectoire de croissance.
À propos de l'auteur Brent Stackhouse est directeur principal, Sécurité, GRC et IT à WP Engine
Voici trois conseils de sécurité Web pour les chefs d'entreprise et les spécialistes du marketing s, et les développeurs à inclure dans leurs résolutions du Nouvel An:
Faites les bases brillamment
La question de sécurité Web la plus courante à l’entrée de la nouvelle année sera la même: «Quelle est ma probabilité d’être piraté?»
Les sites Web sont généralement piratés lorsqu'ils exécutent des plugins vulnérables qui ne sont pas corrigés. Malgré le mythe trop courant de WordPress Core en tant que point de vulnérabilité, ce sont les vulnérabilités des plugins tiers qui représentent 55,9% des points d'entrée connus pour les attaques. (Par analogie, considérez la confiance de la sécurité d'Android par rapport à la vulnérabilité connue des applications sur le Play Store.) Cependant, cela représente la moitié de l'équation - l'autre moitié est une bonne gestion des comptes WordPress, en particulier en utilisant un Plugin d'authentification multifacteur (MFA).
La solution est simple: évitez d'exécuter plus de plugins que nécessaire et assurez-vous que ceux que vous utilisez ont un bon historique des mises à jour après les vulnérabilités publiées. Pour faire face au fardeau de la mise à jour des plugins et au risque de rupture de sites critiques, les outils d'apprentissage automatique et de test visuel peuvent désormais même automatiser les mises à jour des plugins sur une base nocturne ou hebdomadaire sans entraîner de conséquences involontaires pouvant entraîner des temps d'arrêt ou une perte de trafic. Assurez-vous de limiter l'accès administrateur aux utilisateurs «indispensables» et assurez-vous qu'ils utilisent MFA.
Créez la bonne équipe
Le déficit de compétences en sécurité est désormais bien documenté: environ 653 000 entreprises (48%) ont un déficit de compétences de base, selon le DCMS. Cela signifie que les personnes en charge de la cybersécurité dans ces entreprises n'ont pas la confiance nécessaire pour mener à bien les types de tâches de base énoncées dans le programme Cyber Essentials approuvé par le gouvernement. Ils ne reçoivent pas non plus de soutien de l'exte fournisseurs de cybersécurité rnaux. La pandémie a depuis exacerbé ce fossé alors que les travailleurs distants se déplacent vers des environnements cloud sans l'expertise en sécurité cloud pour évaluer les risques de cette évolution.
Pour vous assurer d'avoir la bonne équipe en place, vous devez commencer à cartographier les profil de risque propre à votre entreprise. Identifiez vos experts en risques, en sécurité, en WordPress et en commerce électronique et considérez comment votre secteur pose des défis particuliers, tels que les sites Web du secteur de la santé, qui ont sans aucun doute connu différents types de flambées de trafic cette année. Pour ceux qui pèsent entre l'embauche et la formation de personnel interne supplémentaire ou le recrutement d'un fournisseur, revisitez les bases de la gestion des fournisseurs et la façon dont vous tracez les lignes de responsabilité, en fonction de qui s'inscrit dans votre puzzle de sécurité. Si vous travaillez avec un partenaire, il devra avoir réalisé ces investissements dans les compétences et la technologie en votre nom.
Préparez-vous pour les pics
Pour les détaillants et les plates-formes de commerce électronique , les grandes périodes d'achats saisonnières telles que Noël, le lendemain de Noël et les soldes de janvier posent un défi délicat. Les gestionnaires de sites Web s'efforceront de répondre à un volume élevé d'activités génératrices de revenus sur leur site tout en s'attaquant à une augmentation des cyberattaques telles que le déni de service distribué ( DDoS ), qui ont déjà doublé chaque trimestre cette année. Au cours de cette période lucrative pour les cybercriminels, le National Cyber Security Center du Royaume-Uni a déjà mis à jour ses conseils pour les acheteurs en ligne.
Les tests de charge, qui sont des tests de performances qui simulent des charges réelles sur des logiciels, des applications ou des sites Web, peut aider à répondre à la question «combien de personnes peuvent visiter mon site à la fois?» Des tests de charge appropriés peuvent aider les gestionnaires de site à évaluer les choses comme Capacités de mise à l'échelle, hooks de cycle de vie, vulnérabilité aux attaques DDoS en raison d'une charge élevée, déploiement de code automatique, vérifications de l'état et suivi des cibles Sans une planification et une action appropriées, les détaillants courent un risque accru d'attaques DDoS réussies qui entraînent une perte de revenus significative.
À l'aube de la nouvelle année, il est essentiel que le désir de tirer profit de la la saison des achats ne se fait pas au détriment de la sécurité. Cela peut être incroyablement frustrant lorsque le Black Friday arrive et que votre site Web plante en raison de l'augmentation du trafic. La principale préoccupation est la façon dont une vulnérabilité du site Web d’une entreprise a été exposée. Un site Web qui est en baisse en raison d'une augmentation soudaine du trafic devient un canard assis. Il peut facilement devenir une cible. Donc, avant d'attirer un afflux de nouveaux clients sur une page Web, les organisations doivent charger le test en conséquence.
À l'heure actuelle, les chefs d'entreprise comprennent l'importance de la sécurité sur la santé des clients et de la marque, mais ne savent souvent pas par où commencer. Si les organisations veulent prendre leur sécurité au sérieux et ne pas courir avant de pouvoir marcher, elles doivent se concentrer sur les choses simples. Les entreprises doivent mettre en place des mesures de sécurité Web de base afin que, bien que WordPress Core soit sécurisé, elles accordent la bonne attention aux plugins qu'elles utilisent et gèrent en toute sécurité leurs utilisateurs WordPress. Ils doivent également trouver le bon équilibre entre les personnes, les processus et la technologie pour s'assurer qu'ils disposent des compétences et du personnel appropriés. Enfin, ils doivent planifier à l'avance les moments clés des consommateurs et les périodes saisonnières, en recherchant non seulement les pics de trafic des visiteurs, mais également différents types de cyberattaques. La voie de la récupération en 2021 ne sera pas facile, mais avec ces étapes, la conduite sera beaucoup plus fluide.
