Les données de votre entreprise sont-elles en sécurité?

Il semble que pas un jour ne se passe sans que des informations sur les réseaux soient violées et les données piratées. L'un des plus récents, le piratage de SolarWinds, a conduit à des violations dans plusieurs domaines de notre gouvernement, tandis que des attaques de ransomwares individuelles contre des parties vitales de notre économie, y compris des villes et des hôpitaux entiers, sont de plus en plus fréquemment signalées.

Compte tenu du chaos que la pandémie COVID-19 a causé jusqu'en 2020, et sans résolution rapide en vue, la dernière chose dont vous avez besoin est que votre pratique soit piratée ou détenue contre une rançon. Mais la vérité, c'est que la nécessité de travailler à distance, alimentée par le coronavirus, a rendu votre cabinet et vos clients plus vulnérables qu'ils ne l'étaient par le passé.

«La vague d'attaques lucratives de ransomwares au cours de l'année écoulée a mis en évidence des groupes de pirates informatiques ciblant spécifiquement les entreprises médicales, juridiques et comptables où ils pouvaient non seulement invoquer la rançon, mais aussi voler un trésor d'informations client / entreprise», a déclaré Roman Kepczyk, directeur. de la stratégie technologique de l'entreprise chez Right Networks. «Cela a permis aux pirates de menacer de divulguer des informations confidentielles sur les clients ou la propriété intellectuelle si la rançon n'était pas payée. En plus d'utiliser les informations personnellement identifiables pour produire frauduleusement des déclarations de revenus et inciter au vol d'identité, dans certains cas, les pirates ont contacté les clients des entreprises pour une extorsion supplémentaire, menaçant de divulguer des informations confidentielles, compromettantes ou embarrassantes. "

De toute évidence, il est important de protéger vos systèmes et vos données des intrusions extérieures. Mais il est encore plus important de protéger les systèmes et les données de vos clients. Et le fait que beaucoup d'entre nous travaillent à domicile et continueront probablement de le faire, du moins à temps partiel, dans un avenir prévisible, ne fait qu'augmenter le risque d'exposition.

Les étapes que vous pouvez suivre vont du plus basique au plus sophistiqué. Vos premières lignes de défense sont de bonnes procédures de sauvegarde et l'utilisation d'une bonne application anti-malware. Mais ce ne sont que le début. Vous devez prendre des mesures actives pour protéger vos systèmes, qu'ils soient dans votre bureau physique ou votre bureau sur la table de la cuisine.

Il faut être deux

L'authentification et le cryptage à deux facteurs sont deux des mesures de sécurité les plus courantes et les plus faciles à mettre en œuvre. Bien que l'authentification à deux facteurs puisse être un peu ennuyeuse, le fait de devoir saisir à la fois un mot de passe et un code de vérification envoyés à un compte de messagerie ou envoyés à un compte mobile réduit considérablement les risques de violation si quelqu'un parvient à récupérer votre mot de passe.

Des mots de passe plus forts avec une plus grande sécurité sont également indispensables. Trop d’entre eux utilisent encore des mots de passe faibles tels que les noms de leurs conjoints, enfants ou chiens, ou même «Password123». De nombreuses applications distantes insistent désormais sur des mots de passe plus forts contenant des lettres majuscules et minuscules, des chiffres et des symboles spéciaux. Mais garder une trace de ceux-ci, en particulier lorsqu'ils sont différents pour chaque application, est une préoccupation majeure pour de nombreux utilisateurs. Si tel est le cas avec votre pratique, il existe plusieurs façons d'utiliser des mots de passe difficiles à deviner sans avoir à les écrire pour se souvenir de ce qu'ils sont pour chaque application.

Le plus courant consiste à utiliser un gestionnaire de mots de passe qui suit vos mots de passe et insère le mot de passe difficile à mémoriser dans l'application appropriée. Les gestionnaires de mots de passe populaires incluent 1Password et LastPass, mais il existe de nombreuses applications similaires pour PC, Mac, smartphones et tablettes.

Une autre alternative consiste à utiliser une clé d'authentification matérielle qui se branche sur un port USB-A oe USB-C ou fournit NFC (connectivité en champ proche – la technologie utilisée dans les cartes de crédit tap-and-pay et certains téléphones) pour fonctionner avec des appareils mobiles qui incorporer cette fonctionnalité. Une clé populaire est proposée par Yubico, bien qu'ils soient loin d'être le seul fournisseur.

«La YubiKey fournit aux utilisateurs une solution d'authentification multifactorielle forte, soutenue par du matériel, qui a fait ses preuves dans la protection des comptes», nous a dit Chad Thunberg, responsable de la sécurité de l'information chez Yubico. «Tous les fournisseurs de services ou applications – y compris certaines des suites logicielles de comptabilité populaires – n’ont pas encore adopté le FIDO [Fast IDentity Online] les normes d'authentification que nous utilisons pour la YubiKey. Cependant, bon nombre de ces applications prennent en charge l'utilisation d'une authentification unique [SSO] fournisseur d'identité qui prend en charge l'utilisation de YubiKeys. Pour commencer, les utilisateurs peuvent inscrire leur YubiKey auprès de leur fournisseur d'identité préféré (par exemple, Google, Apple ou Microsoft), puis utiliser ce fournisseur d'identité pour se connecter à leur logiciel de comptabilité. J'ai jeté un bref coup d'œil à certaines des offres les plus populaires, et FreshBooks, QuickBooks en ligne et Sage Comptabilité prennent tous en charge l'authentification unique. »

La plupart des clés d'authentification matérielles prennent en charge les principales normes de sécurité, notamment les mots de passe à usage unique (OTP), la carte à puce, OpenPGP, FIDO U2F (deuxième facteur universel) et FIDO2.

Le cryptage est une autre option dont vous devez être conscient. Richard Kanadjian, directeur commercial USB crypté chez Kingston Technology, a souligné que «le cryptage signifie essentiellement que si vous cryptez les données sur cette clé USB et que vous la perdez, la probabilité que quelqu'un puisse réellement récupérer ces données est en fait infinitésimale. C'est en fait presque zéro. Et la raison en est que nous avons des contrôles de mot de passe. Par exemple, vous avez un mot de passe ou une broche pour votre clé USB et notre lecteur crypté ne vous permettra d'entrer le mot de passe que 10 fois. Ainsi, si vous le saisissez plusieurs fois et si quelqu'un le devine, le lecteur effacera littéralement son contenu et effacera les données. Vous n'aurez en fait aucune donnée à exposer à une violation. »

Conserver les données de vos applications sur un lecteur crypté est une approche utilisable, mais gardez à l'esprit que les données sur un lecteur crypté doivent être sauvegardées dans un emplacement sécurisé, que ce soit le cloud ou un deuxième lecteur crypté, juste au cas où le lecteur crypté le lecteur contenant des données importantes est perdu ou volé.

Vous devez également être très conscient de l'endroit où vous utilisez votre ordinateur portable. Trop de gens se rendent au café ou à la bibliothèque du coin, où Internet est disponible gratuitement, et ne prennent pas de précautions raisonnables contre les infections et les intrusions. Infecter les routeurs de ces emplacements avec des logiciels malveillants devient très courant, et l'Internet compromis à ces emplacements peut infecter des centaines, voire des milliers de systèmes utilisés là-bas, ainsi que tous les réseaux auxquels les systèmes infectés sont ensuite connectés.

«L'une des plus grandes préoccupations que nous constatons est que de nombreux employés ont été forcés de travailler à domicile et qu'ils sont soudainement assis sur des réseaux qui échappent au contrôle de l'informatique de l'entreprise», Stephen Lawton, directeur de la rédaction des projets spéciaux chez SC Media, a souligné. «Si vous laissez l'employé utiliser simplement ses systèmes domestiques et ses réseaux domestiques sans aucun contrôle IP, vous obtiendrez franchement le BYOD – pas« Apportez votre propre appareil », mais« Apportez votre propre désastre ». Le manque des contrôles de sécurité sur la plupart des réseaux domestiques est vraiment assez stupéfiant. De nombreuses personnes n'ont jamais mis à jour le firmware et leurs routeurs. Ils n’ont jamais installé de contrôle ou de logiciel de sécurité sur leurs systèmes. Si vos employés doivent travailler à domicile, la pratique doit vraiment investir dans des ordinateurs portables spécialement à cette fin, qui ont des contrôles de sécurité intégrés. Au minimum, vous avez besoin d'un antivirus de classe entreprise, d'un logiciel anti-malware anti-ransomware. Vous devriez également faire en sorte que les systèmes passent par un réseau privé virtuel vers une base d'origine. Les VPN ne sont certainement pas infaillibles, mais ils valent mieux que de ne rien avoir du tout, ou simplement de passer par le réseau personnel de l'employé. "

Votre visage et votre imprimante

La biométrie comme substitut de mot de passe est également de plus en plus courante. Non, vous n’avez pas besoin d’avoir un scanner de rétine monté sur votre PC ou ordinateur portable, mais il ne serait guère surprenant de voir quelque chose de ce genre en utilisant la webcam presque omniprésente dans un proche avenir. Mais alors que les scanners rétiniens existent depuis des années, ainsi que les lecteurs d'empreintes manuelles souvent vus dans les films, ils sont à peu près relégués à des installations de très haute sécurité avec des budgets et des ressources de sécurité tout aussi élevés.

Mais des obstacles biométriques réels et utilisables à la pénétration non autorisée de réseaux et d'appareils sont disponibles depuis des années. Les lecteurs d'empreintes digitales, en particulier dans les ordinateurs portables, sont courants de nos jours. Et les systèmes d'exploitation iOS et Windows ont des capacités de reconnaissance faciale qui peuvent non seulement servir d'alternative aux mots de passe système, mais dans de nombreux cas peuvent également être utilisés comme mots de passe pour des applications sensibles telles que les comptes bancaires et de cartes de crédit.

C'est une percée pratique pour vos systèmes et applications sensibles, mais elle est quelque peu émoussée par le fait que la plupart des capacités de reconnaissance faciale au niveau d'entrée, telles que celles incluses dans le système d'exploitation, nécessitent que le visage entier soit visible pour fournir l'authentification. . Le port d'un masque, une nécessité en public ou dans votre bureau ces jours-ci, va souvent à l'encontre de cette méthode de connexion pratique.

Les appareils connectés à l'Internet des objets – des composants, tels que les imprimantes et les imprimantes multifonctions, qui sont connectés à votre réseau et qui ont également leurs propres voies d'accès à Internet sont un domaine de vulnérabilité qui a récemment retenu l'attention. La plupart d'entre nous connaissent les menaces telles que le phishing et les logiciels malveillants intégrés, mais il existe une autre voie d'accès à votre réseau que vous n'avez peut-être pas envisagée.

«Souvent, le périmètre du réseau a été utilisé dans le passé pour sécuriser les appareils.» Shivaun Albright, technologue en chef de la sécurité d'impression chez Hewlett Packard, a souligné. «Et à notre époque, avec les e-mails, les attaques de phishing, les clics sur quelque chose, tout type d'e-mail ou de lien, vous ne pouvez pas garantir que votre réseau de périmètre intérieur est sécurisé. Vous ne pouvez tout simplement pas. Et l'une des choses que nous avons vues, en fait l'année dernière, était un article de Microsoft en août 2019. Ils avaient souligné qu'ils avaient attrapé des pirates informatiques russes utilisant les réseaux piratés de l'IoT. Et, en passant, ils ont découvert que les appareils qui avaient été piratés étaient des téléphones Voice over IP et des imprimantes de bureau. »

Les clients sont aussi des cibles

Il y a évidemment beaucoup plus à examiner en termes de sécurité que ce qui est couvert ici. Et, comme pour de nombreux aspects de la technologie, la sécurité informatique est une cible mouvante – ce qui est vrai et sûr aujourd'hui pourrait être vulnérable demain. Développer l'expertise et les connaissances pour faire face aux nouvelles menaces qui émergent chaque jour n'est pas seulement un processus continu, mais un processus qui peut être difficile à maintenir et à développer, ce qui est une autre bonne raison d'examiner les pratiques et les protocoles en place dans votre pratique. et chez vos clients.

Protéger vos données et celles de vos clients n’est pas seulement une responsabilité fiduciaire, c’est aussi une bonne pratique commerciale. «Les entreprises qui ont été violées devront non seulement faire face à une réputation endommagée, mais peuvent s'attendre à voir des clients churn et à devoir faire face à des litiges en cours de la part des clients qui ont été touchés», a averti Kepczyk.

Il faut du temps et de l'argent pour acquérir une expertise dans ce domaine. Et même après une immersion approfondie dans la sécurité, il est probable que vous n’ayez toujours pas l’expérience nécessaire pour savoir exactement où se trouvent les vulnérabilités de votre cabinet et comment y remédier lorsque vous les découvrez.

Une approche suggérée par Randy Johnston, vice-président exécutif de K2 Enterprises, qui est particulièrement applicable si vous sous-traitez une partie ou la totalité de votre support informatique, est de «choisir des fournisseurs informatiques réputés qui comprennent et mettent en œuvre les meilleures pratiques en matière de sécurité pour aider votre personnel informatique interne . Alors que les risques de sécurité évoluent avec le temps, le fournisseur doit réagir activement aux nouvelles menaces et ajuster en permanence ses protocoles de sécurité et sa configuration technique pour protéger votre entreprise. »

Et Kepczyk a ajouté: «La formation des employés est essentielle, en particulier en ce qui concerne les menaces de phishing, qui expliquent l'entrée de la grande majorité des violations, nous vous suggérons donc de sous-traiter cela à des tiers tels que KnowBe4, PhishMe, Wombat Security, etc., qui effectuera des tests de phishing et la formation des employés. »

Si vous envisagez d'étendre votre pratique dans ce domaine de plus en plus préoccupant, ou si vous souhaitez simplement mieux vous renseigner, Jim Bourke, associé et directeur général des services de conseil chez Top 100 Firm WithumSmith + Brown, a quelques suggestions pour commencer. . Pour commencer, «je vous recommande vivement de mettre la main sur le cadre de reporting de gestion des risques de cybersécurité de l'AICPA.»

Bourke a ajouté: «Je discuterais de l’engagement« SOC for Cybersecurity »de l’AICPA avec vos clients. Chez Withum, nous sommes partout dans cet espace. En tant que CPA, nous sommes les seuls à pouvoir publier un rapport «SOC for Cybersecurity»! Il existe aujourd'hui une demande énorme pour ce type de livrable. L'AICPA a des cours et des ateliers dans cet espace, permettant à tout CPA d'acquérir les connaissances et l'expertise dont il a besoin pour fournir ces services.

Mais que vous décidiez ou non d'ajouter des conseils en sécurité à votre cabinet ou de vous associer à une entreprise qui possède une expertise et une réputation dans ce domaine, gardez à l'esprit que la toute dernière chose que vous voulez dire à un client est que vous avez eu une violation de données. piraté ou que votre système est verrouillé en raison d'un ransomware. Une bonne stratégie de sauvegarde est une première étape nécessaire, mais à partir de là, vous déterminerez à quel point votre gagne-pain sera sûr. Et même s'il n'existe pas de sécurité parfaite, vous devez savoir où vous êtes vulnérable et prendre des mesures pour renforcer ces domaines de vos procédures et pratiques.