Ways To Help Protect a Small Business Without Breaking The Bank

By:

Krista Ciotoiu

Owning a small business comes with its own unique multitude of challenges - financial management, staffing, customers, and regulations being just a few. So, it comes as no surprise that the ever-evolving threat management can sometimes seem too complex a subject to even wrap your head around. Although many often assume that bigger companies are the ones targeted by cybercriminals the most, this is far from the truth.

Recent statistics reveal that smaller businesses have become the main target of cyberattacks due to the lack of security measures in place to protect them. Being an easier target, small businesses make up 43% of cyberattacks, receive the highest rates of malicious emails, as well as experience 350% more social engineering attacks than employees at larger companies.

While it can seem not only complicated but also costly to implement adequate security measures to protect a small business from a cyberattack, it might cost even more to recover from one. Or even worse, not recover at all, as 60% of small businesses have reported going out of business within six months of a security breach.

As alarming as the statistics have become, not every small business owner can afford to implement the newest security controls or hire someone to do it for them. So, I have summarized a list of tools anyone can use to harden their security posture, and the best part, they don’t cost a thing!

Secure passwords are one of the simplest ways to protect a business against unauthorized access to your devices. While this has been emphasized over and over again, it has not often been made clear exactly why using a certain type of password is so important.

One of the most common ways a cybercriminal can gain unauthorized access to an account is by using brute force attacks. This means a threat actor will submit different credentials until they guess the right one. It might seem like a time-consuming practice; however, there are intelligent software tools out there that are capable of trying millions of passwords in seconds, making the process a lot easier to execute.

This is where strong passwords come in. Brute force attacks often use popular words, which means that commonly used passwords such as the word 'password' would be cracked easily, thus giving away access to the account using it. So, to guard against this, using passwords that are at least 7 digits long, include upper and lower cases as well as numbers and symbols, can greatly help against the password being guessed, as they would less likely be found in a database used for these attacks. The National Institute of Standards and Technology (NIST) has a publication on strong password policies with more specific suggestions.

Another way to guess passwords is by using ones leaked during data breaches. While many wouldn't expect their credentials to be a part of the ones leaked, it is estimated that over two billion of them were released online in 2021 alone, so the chances of one's password floating around on the internet are higher than they might think. Due to this, it is highly important to change passwords regularly, as well as never use the same ones for personal and business use, as a leak of one password could result in the compromise of multiple accounts.

Employee training can vary depending on the goals and needs of the business; however, basic security training should always be considered, as social engineering attacks are the most common ones in cybersecurity.

There are many different social engineering attacks leveraging the use of emails, texts, or even calls, in order to get a victim to open an infected link or trick them into giving away personal information. These attacks vary, but what they all have in common is that they try to exploit human error. While some social engineering attacks can be easily identified, many have become increasingly sophisticated and hard to spot. These can include forged invoice statements, almost identical replicas of websites, and even someone posing as a technician to gain physical access.

Successful social engineering attacks can be detrimental to a business, so it is important to stay up to date with the latest attacks and conduct training for anyone involved in the business. This can be as simple as sharing the most common signs of phishing emails or going over the procedures that involve dealing with sensitive information. Just being aware of the type of things to look out for can significantly reduce the possibility of someone falling prey to a social engineering attack.

Keeping personal devices and software updated is another way to help keep yourself and your business safer, especially if personal devices are used in business operations. Outdated software has known vulnerabilities, and as soon as a patch is released, those vulnerabilities become known to everyone. This means that if there is an update available and you don't install it, your device now has an exploitable vulnerability known to threat actors. So, keeping up to date with the latest patches and updates eliminates being exposed to these well-known vulnerabilities.

Imposing policies among staff is another way to make a business less exposed to threats. This can include requiring everyone to follow rules about social media and how much information is allowed to be disclosed to the public. Having everyone sign contracts about following the rules and guidelines outlined by the business is something every owner should consider. This ensures that there is no confusion about what is expected of each individual as well as what the consequences are if those rules are not followed.

Refraining from using public Wi-Fi, especially when working with sensitive information is something that should be more discussed in small business settings. Public Wi-Fi networks are open to the public, which means that anyone can gain access to them. This, obviously, poses a great security risk. Public Wi-Fi is an easy target for a Man-In-The-Middle attack, which is an attack where a malicious actor that has access to the same network is able to capture all traffic coming from your device. This can include anything from passwords to credit card information. Such information getting stolen can greatly damage a business’s reputation as well as possibly result in fines.

Using a VPN is a way to protect yourself against these attacks, as it creates a secure connection between your device and a VPN server, so even if someone is able to intercept data being transferred over the network, it would be encrypted, and the attacker wouldn't be able to read it. While there are free VPNs available, they are known to have vulnerabilities. So, it might be safer to simply refrain from using public Wi-Fi while conducting business operations altogether.

While these are only a few cost-friendly ways a small business can protect itself, there are many great resources out there that provide much-needed information, such as the NIST IR 7621 Rev. 1 Small Business Information Security: The Fundamentals, blogs about cybersecurity, or even podcasts covering the newest and most well-known attacks everyone should be aware of. These diverse sources allow everyone to learn more about the security side of things.

So yes, as overwhelming as the security landscape can be, investing time in educating yourself on these topics can significantly impact the safety of your business. With so many different ways to harm a business, it is more crucial now than ever to be mindful of everything owning a business includes and just how important making security a part of that is to the continuity of it.

Footnotes

Disclaimer
The views and opinions expressed in this article are those of the author and do not necessarily reflect the views or opinions of Olympia Trust Company, Olympia Financial Group Inc., or any of its affiliates. The author’s views and opinions are based upon information they consider reliable, but neither Olympia Trust Company, Olympia Financial Group Inc. nor any of its affiliates, warrant its completeness or accuracy, and it should not be relied upon as such.

Krista Ciotoiu

Krista is a newcomer to the cybersecurity field and is passionate about becoming part of this new and exciting community. Coming from a rural, non-tech background, she wants to prove that with the right mindset anyone can learn about cybersecurity.

Additional Links

How to Be a Standout Candidate in Your Job Search

Should an Issuer Be Its Own Dealer?

Taking Ginger to the Next Level

Issuer's Corner featuring Avenue Living

Calgary Fintech Business Flourishes

Issuer’s Corner featuring Centurion Asset Management Inc.

Protéger une petite entreprise sans se ruiner

Small Business

By:

Krista Ciotoiu

Posséder une petite entreprise s’accompagne d’une multitude de défis qui lui sont propres : la gestion financière, le personnel, les clients et les réglementations, pour n’en citer que quelques-uns. Il n’est donc pas surprenant que la gestion des menaces, en constante évolution, puisse parfois sembler un sujet trop complexe pour être abordé. Bien que beaucoup pensent que les grandes entreprises sont celles qui sont le plus ciblées par les cybercriminels, c’est loin d’être le cas.

Des statistiques récentes révèlent que les petites entreprises sont devenues la principale cible des cyberattaques en raison du manque de mesures de sécurité mises en place pour les protéger. Cible plus facile, les petites entreprises représentent 43 % des cyberattaques, reçoivent le plus grand nombre de courriels malveillants et subissent 350 % d’attaques d’ingénierie sociale de plus que les employés des grandes entreprises.

S’il peut sembler non seulement compliqué, mais aussi coûteux de mettre en œuvre des mesures de sécurité adéquates pour protéger une petite entreprise d’une cyberattaque, il peut être encore plus coûteux de se remettre d’une telle attaque. Ou pire encore, de ne pas s’en remettre du tout, puisque 60 % des petites entreprises ont déclaré avoir cessé leurs activités dans les six mois qui ont suivi une atteinte à la sécurité.

Aussi alarmantes que soient les statistiques, les propriétaires de petites entreprises ne peuvent pas tous se permettre de mettre en œuvre les nouveaux contrôles de sécurité ou d’embaucher quelqu’un pour le faire pour eux. J’ai donc dressé une liste d’outils que tout le monde peut utiliser pour renforcer sa position en matière de sécurité, et ce qui est encore mieux, c’est qu’ils ne coûtent rien !

Les mots de passe sécurisés constituent l’un des moyens les plus simples de protéger une entreprise contre l’accès non autorisé à ses appareils. Bien que cela ait été souligné à maintes reprises, il n’a pas souvent été expliqué clairement pourquoi l’utilisation d’un certain type de mot de passe est si importante.

L’une des façons les plus courantes pour un cybercriminel d’obtenir un accès non autorisé à un compte est d’utiliser des attaques par force brute. Cela signifie qu’un auteur de menaces soumettra différents identifiants jusqu’à ce qu’il devine le bon. Cette pratique peut sembler fastidieuse, mais il existe des logiciels intelligents capables d’essayer des millions de mots de passe en quelques secondes, ce qui facilite grandement l’exécution du processus.

C’est là qu’interviennent les mots de passe forts. Les attaques par force brute utilisent souvent des mots populaires, ce qui signifie que les mots de passe couramment utilisés, tels que le mot « mot de passe », peuvent être facilement déchiffrés, donnant ainsi accès au compte qui l’utilise. Pour se prémunir contre ce risque, l’utilisation de mots de passe d’au moins sept chiffres, comprenant des majuscules et des minuscules ainsi que des chiffres et des symboles, peut grandement aider à éviter que le mot de passe ne soit deviné, car ils ont moins de chances de se retrouver dans une base de données utilisée pour ce type d’attaques. La National Institute of Standards and Technology (NIST) a publié un document sur les politiques de mots de passe forts qui contient des suggestions plus spécifiques.

Une autre façon de deviner les mots de passe est d’utiliser ceux qui ont été divulgués lors de violations de données. Alors que beaucoup ne s’attendent pas à ce que leurs identifiants fassent partie de ces fuites, on estime que plus de deux milliards d’entre eux ont été publiés en ligne en 2021 seulement, de sorte que les chances de voir son mot de passe circuler sur l’internet sont plus élevées qu’on ne le pense. C’est pourquoi il est très important de changer régulièrement de mot de passe et de ne jamais utiliser le même pour un usage personnel et professionnel, car la fuite d’un mot de passe pourrait compromettre plusieurs comptes.

La formation des employés peut varier en fonction des objectifs et des besoins de l’entreprise ; toutefois, une formation de base à la sécurité devrait toujours être envisagée, car les attaques par ingénierie sociale sont les plus courantes en matière de cybersécurité.

Il existe de nombreuses attaques d’ingénierie sociale qui utilisent des courriels, des textes ou même des appels pour amener une victime à ouvrir un lien infecté ou à donner des informations personnelles. Ces attaques varient, mais elles ont toutes en commun d’essayer d’exploiter l’erreur humaine. Si certaines attaques d’ingénierie sociale peuvent être facilement identifiées, beaucoup sont devenues de plus en plus sophistiquées et difficiles à repérer. Il peut s’agir de faux relevés de factures, de répliques presque identiques de sites web, voire d’une personne se faisant passer pour un technicien afin d’obtenir un accès physique.

Les attaques d’ingénierie sociale réussies peuvent être préjudiciables à une entreprise. Il est donc important de se tenir au courant des dernières attaques et de dispenser une formation à toutes les personnes impliquées dans l’entreprise. Il peut s’agir simplement de partager les signes les plus courants des courriels d’hameçonnage ou de passer en revue les procédures qui impliquent le traitement d’informations sensibles. Le simple fait d’être conscient du type d’éléments à surveiller peut réduire de manière significative la possibilité que quelqu’un devienne la proie d’une attaque d’ingénierie sociale.

La mise à jour des appareils personnels et des logiciels est un autre moyen de renforcer votre sécurité et celle de votre entreprise, en particulier si les appareils personnels sont utilisés dans le cadre d’activités professionnelles. Les logiciels obsolètes présentent des vulnérabilités connues, et dès qu’un correctif est publié, ces vulnérabilités sont connues de tous. Cela signifie que si une mise à jour est disponible et que vous ne l’installez pas, votre appareil présente désormais une vulnérabilité exploitable connue des acteurs de la menace. Par conséquent, le fait de se tenir au courant des derniers correctifs et mises à jour permet d’éviter d’être exposé à ces vulnérabilités bien connues.

Imposer des politiques au personnel est un autre moyen de rendre une entreprise moins exposée aux menaces. Il peut s’agir d’exiger de chacun qu’il respecte les règles relatives aux médias sociaux et à la quantité d’informations qu’il est autorisé à divulguer au public. Chaque propriétaire devrait envisager de faire signer à tous les employés un contrat les engageant à respecter les règles et les lignes directrices définies par l’entreprise. Cela permet de s’assurer qu’il n’y a pas de confusion sur ce qui est attendu de chaque personne et sur les conséquences du non-respect de ces règles.

S’abstenir d’utiliser les réseaux Wi-Fi publics, en particulier lorsque l’on travaille avec des informations sensibles, est un point qui devrait être davantage discuté dans les petites entreprises. Les réseaux Wi-Fi publics sont ouverts au public, ce qui signifie que n’importe qui peut y accéder. Cela représente évidemment un risque important pour la sécurité. Le Wi-Fi public est une cible facile pour une attaque de type « Man-In-The-Middle », c’est-à-dire une attaque par laquelle un acteur malveillant ayant accès au même réseau est en mesure de capturer tout le trafic provenant de votre appareil. Cela peut aller des mots de passe aux informations relatives aux cartes de crédit. Le vol de ces informations peut nuire considérablement à la réputation d’une entreprise et entraîner des amendes.

L’utilisation d’un VPN est un moyen de se protéger contre ces attaques, car il crée une connexion sécurisée entre votre appareil et un serveur VPN. Ainsi, même si quelqu’un parvient à intercepter les données transférées sur le réseau, celles-ci sont cryptées et l’attaquant ne peut pas les lire. Bien qu’il existe des VPN gratuits, ils sont connus pour leurs vulnérabilités. Il serait donc plus prudent de s’abstenir d’utiliser le Wi-Fi public dans le cadre de ses activités professionnelles.

Bien qu’il ne s’agisse là que de quelques moyens peu coûteux pour une petite entreprise de se protéger, il existe de nombreuses ressources qui fournissent des informations indispensables, telles que la publication « NIST IR 7621 Rev. 1 Small Business Information Security : The Fundamentals » (en anglais seulement), des blogues sur la cybersécurité, ou même des balados (podcasts) couvrant les attaques les plus récentes et les plus connues que tout le monde devrait connaître. Ces diverses sources permettent à chacun d’en apprendre davantage sur la sécurité.

Alors oui, aussi accablant que puisse être le paysage de la sécurité, investir du temps pour se former sur ces sujets peut avoir un impact significatif sur la sécurité de votre entreprise. Compte tenu de la multiplicité de moyens de nuire à une entreprise, il est plus que jamais essentiel d’être conscient de tout ce qu’implique la possession d’une entreprise et de l’importance de la sécurité pour la continuité de l’activité.