Après une migration massive vers le travail à distance au cours de la dernière année, les entreprises peuvent désormais s'appuyer fortement sur leur nouvelle infrastructure, malgré un ou deux raccourcis pris à coup sûr pour accélérer la transformation numérique. Kris Lovejoy, EY Global Cybersecurity Leader et ancien IBM CISO, a révélé qu'en réponse à la pandémie, "84 % du monde a introduit des capacités de travail à domicile, 60 % ont introduit une technologie pour permettre cela, et 60 % d'entre eux ont contourné ou contrôles de sécurité abrégés dans le cadre de cette mise en œuvre. " Avec de nouveaux vaccins et un possible rebond économique à l'horizon, les entreprises vont maintenant expérimenter des stratégies de croissance pour 2021. Cependant, il est essentiel qu'elles doublent - et triplent - vérifient qu'elles ont mis en place les bonnes mesures de sécurité. historique de croissance À propos de l'auteur Brent Stackhouse est directeur principal de la sécurité, de la GRC et de l'informatique chez WP Engine Voici trois conseils de sécurité Web que les chefs d'entreprise, les spécialistes du marketing et les développeurs devraient inclure dans leurs résolutions du Nouvel An :
Faites les bases avec brio
La question de sécurité Web la plus courante à l'approche du Nouvel An sera la même : "Quelle est la probabilité que je sois piraté ?" Les sites Web sont souvent piratés lorsqu'ils exécutent des plugins vulnérables qui ne sont pas corrigés. Malgré le mythe trop courant de WordPress Core en tant que point de vulnérabilité, ce sont les vulnérabilités des plugins tiers qui représentent 55,9 % des points d'entrée connus pour les attaques. (Par analogie, considérez la confiance de la sécurité d'Android par rapport à la vulnérabilité connue des applications dans le Play Store.) Cependant, c'est la moitié de l'équation - l'autre moitié est une bonne gestion de compte WordPress, notamment grâce à l'utilisation de l'authentification multi-facteurs (MFA Plugin). La solution est simple : évitez d'exécuter plus de plugins que nécessaire et assurez-vous que ceux que vous utilisez ont un bon historique de mise à jour après la publication des vulnérabilités. Pour faire face au fardeau de la mise à jour des plugins et au risque de casser des sites critiques, les outils d'apprentissage automatique et de test visuel peuvent désormais même automatiser les mises à jour nocturnes ou hebdomadaires des plugins sans subir aucune interruption. Conséquences imprévues pouvant entraîner des temps d'arrêt ou une perte de trafic. . Assurez-vous de limiter l'accès administrateur aux utilisateurs "obligatoires" et assurez-vous qu'ils utilisent MFA.
Construisez la bonne équipe
Le déficit de compétences en sécurité est désormais bien documenté : environ 653.000 48 entreprises (XNUMX %) présentent un déficit de compétences de base, selon le DCMS. Cela signifie que les responsables de la cybersécurité de ces entreprises manquent de confiance pour accomplir les types de tâches de base décrites dans le programme Cyber Essentials approuvé par le gouvernement. Ils ne reçoivent pas non plus de soutien de la part de fournisseurs de cybersécurité externes. Depuis lors, la pandémie a exacerbé cet écart alors que les travailleurs à distance se déplacent vers des environnements cloud sans l'expertise en matière de sécurité cloud pour évaluer les risques de ce développement. Pour vous assurer d'avoir la bonne équipe en place, vous devez commencer à cartographier le profil de risque unique de votre entreprise. Identifiez vos experts en matière de risques, de sécurité, de WordPress et de commerce électronique et réfléchissez à la façon dont votre secteur pose des défis particuliers, tels que les sites Web de soins de santé, qui ont sans aucun doute connu différents types d'augmentations de trafic cette année. Pour ceux qui hésitent entre l'embauche et la formation de personnel interne supplémentaire ou l'embauche d'un fournisseur, passez en revue les bases de la gestion des fournisseurs et la manière dont elle établit les responsabilités, en fonction de la personne qui fait partie de votre puzzle de sécurité. Si vous travaillez avec un partenaire, vous devrez avoir réalisé ces investissements en compétences et en technologie en son nom.
Préparez-vous pour les sommets
Pour les détaillants et les plateformes de commerce électronique, les grandes périodes d'achat saisonnières comme Noël, le lendemain de Noël et les soldes de janvier représentent un défi délicat. Les administrateurs de sites Web se démèneront pour répondre à un volume élevé d'activités génératrices de revenus sur leur site tout en s'attaquant à une augmentation des cyberattaques, telles que les attaques par déni de service distribué (DDoS), qui ont déjà doublé chaque trimestre cet anus. En cette période lucrative pour les cybercriminels, le National Cyber Security Center du Royaume-Uni a déjà mis à jour ses conseils aux acheteurs en ligne.
Les tests de charge, qui sont des tests de performances qui simulent des charges réelles sur des logiciels, des applications ou des sites Web, peuvent aider à répondre à la question : "Combien de personnes peuvent visiter mon site en même temps ?" Des tests de charge appropriés peuvent aider les administrateurs de site à évaluer des éléments tels que les capacités de mise à l'échelle, les liaisons de cycle de vie, la vulnérabilité aux attaques DDoS en raison d'une charge élevée, le déploiement automatique de code, les vérifications de l'état et le suivi des objectifs. Sans une planification et une action appropriées, les détaillants courent un plus grand risque d'attaques DDoS réussies entraînant une perte de revenus importante.
Alors que nous entrons dans la nouvelle année, il est essentiel que le désir de profiter de la saison des achats ne se fasse pas au détriment de la sécurité. Cela peut être incroyablement frustrant lorsque le Black Friday se déroule et que votre site Web se bloque en raison de l'augmentation du trafic. La principale préoccupation est de savoir comment une vulnérabilité a été exposée sur le site Web d'une entreprise. Un site Web qui est en panne en raison d'une augmentation soudaine du trafic devient une cible facile. Il peut facilement devenir une cible. Ainsi, avant d'attirer un afflux de nouveaux clients sur une page Web, les organisations doivent charger le test en conséquence.
Les chefs d'entreprise d'aujourd'hui comprennent l'importance de la sécurité pour la santé des clients et de la marque, mais ne savent souvent pas par où commencer. Si les organisations veulent prendre leur sécurité au sérieux et ne pas courir avant de pouvoir marcher, elles doivent se concentrer sur des choses simples. Les entreprises doivent mettre en place des mesures de sécurité Web de base afin que, même si WordPress Core est sécurisé, elles accordent une attention particulière aux plugins qu'elles utilisent et gèrent en toute sécurité leurs utilisateurs WordPress. Ils doivent également trouver le bon équilibre entre les personnes, les processus et la technologie pour s'assurer qu'ils disposent des bonnes personnes et des bonnes compétences. Enfin, ils doivent planifier à l'avance les périodes de pointe de consommation et les périodes saisonnières, en recherchant non seulement le trafic de pointe des visiteurs, mais également les différents types de cyberattaques.