Sécurité informatique : ce que les entreprises doivent savoir pour 2019

Sécurité informatique 2019

Sécurité informatique 2019

Botnets, attaques de mining de cryptomonnaie… De nouvelles menaces surgissent sans cesse dans le paysage de la sécurité informatique.

Il est essentiel de comprendre les tendances dans le domaine de la sécurité IT, non seulement pour faire face à ces menaces dès qu’elles apparaissent, mais aussi pour prévoir un budget cybersecurité suffisant pour l’année 2019.

Les résultats de l’une de nos enquêtes indiquent que de plus en plus d’entreprises investissent dans des solutions technologiques pour se protéger des cyberattaques. Les cybercrimes (attaques de logiciels rançonneurs, spear phishing et cryptojacking) devraient augmenter en 2019 et forcer les entreprises à dépenser des milliards d’euros pour compenser l’interruption de leurs activités, payer les rançons demandées et limiter les dégâts occasionnés par ces incidents.

Pour réduire les frais liés à une faille de sécurité et renforcer la confiance de leurs clients et de leurs partenaires, les PME doivent comprendre les évolutions du paysage des menaces, des technologies de protection des données et des réglementations en matière de sécurité informatique.

En 2019, on s’attend à observer une augmentation des risques associés aux objets connectés (IoT) ainsi que des investissements dans la protection des données en cloud et dans les technologies anti-malwares. De plus, la sécurité devrait devenir une fonction de gestion à part entière dans les entreprises.

Dans cet article, vous découvrirez les quatre tendances de sécurité informatique auxquelles les PME doivent s’attendre et les étapes à suivre pour s’y préparer.

Sécurité informatique prévision pour 2019

Prédiction 1 : les investissements en technologies de protection des données en cloud vont augmenter

En 2019, les PME investiront plus que les années précédentes dans la protection de leurs données en cloud via diverses technologies comme le cryptage, la prévention des pertes de données, le recours aux autorisations et autres. De nombreuses entreprises collaboreront dans ce cadre avec des prestataires d’infogérance fiables auxquels elles confieront la gestion des informations de leurs clients pour compenser leurs propres points faibles en matière de protection des données.

Selon un rapport de Gartner intitulé “Predicts 2018: Security Solutions” (en anglais – rapport complet disponible pour les clients Gartner), plus de 35 % des entreprises auraient investi dans plusieurs solutions de protection des données en 2017. Elles seront plus de 60 % d’ici 2020.

Quels sont les facteurs ?

  • Renforcement de l’arsenal réglementaire. La publication de nouvelles réglementations comme le RGPD ainsi que la perspective des lourdes amendes auxquelles s’exposent les contrevenants incitent les entreprises à investir dans des outils de protection des données.
    Les nouvelles réglementations permettent aux consommateurs d’exercer un contrôle plus direct sur la récolte, le stockage et l’exploitation de leurs informations. Elles poussent les entreprises à se mettre en règle en investissant dans des technologies permettant d’assurer la sécurité des données.
  • Stockage en cloud de la majorité des données. La plupart des PME stockent leurs données en cloud. La sécurisation des infrastructures de ce type et celle des services associés sont donc essentielles. Actuellement, 62 % des PME conservent les données de leurs clients en cloud et 54 % des entreprises enregistrent des informations médicales sensibles dans des plateformes de ce type, souvent sans assurer les contrôles de sécurité adéquats.

Ce que l’on vous conseille

  1. Adoptez des technologies de protection des données. Les PME doivent impérativement assurer la protection des informations confidentielles stockées en cloud par le biais de diverses technologiques comme le cryptage (des données au repos et en transit), lauthentification multifacteurs et le contrôle des accès. Les PME qui recourent à des services en cloud devraient également envisager dinvestir dans des cloud access security brokers (CASB) pour améliorer la protection des informations quelles conservent en cloud.
  2. Prévoyez la sauvegarde des données et un plan de reprise sur sinistre. Les PME ne doivent pas négliger limportance de la sauvegarde régulière des données. Des outils de backup en continu permettent de restaurer et de récupérer les informations si nécessaire. Les entreprises doivent également investir dans des outils de reprise sur sinistre et de business continuity pour pouvoir reprendre rapidement le travail en cas de problème informatique ou de catastrophe naturelle.
  3. Préparez-vous à l’évolution des réglementations. Les réglementations sur la protection des données évoluent sans cesse. De nouvelles règles sajoutent et dautres sont amendées. Les PME doivent donc se préparer à se mettre en conformité le plus rapidement possible en cas de changement.

Prédiction 2 : en 2019-2020, les entreprises devront relever de nouveaux défis en matière de sécurité des objets connectés (IoT)

En 2019, les attaques IoT devraient augmenter : on s’attend à en dénombrer plus de 300 000, soit 30 % de l’ensemble des cyberattaques.

En 2017, 50 000 cyberattaques ont visé des objets connectés, ce qui correspond à une augmentation de 600 % par rapport à l’année précédente. À la fin du premier semestre 2018, on recensait déjà plus de 121 000 attaques de logiciels malveillants visant des dispositifs IoT.

Or, de plus en plus d’objets non protégés sont connectés aux réseaux informatiques. On peut donc s’attendre à une croissance du nombre et de l’ampleur des cyberattaques par botnets contre des appareils IoT.

Pourtant, les propriétaires d’objets connectés sont plus conscients qu’auparavant des menaces pesant sur les appareils non protégés. Dans les prochaines années, on peut imaginer que les consommateurs et les fabricants prendront des mesures pour mettre en place des contrôles de sécurité renforcés (authentification, cryptage et logiciels anti-malwares, notamment).

Quels sont les facteurs ?

  • Prolifération rapide d’objets connectés (non protégés). Gartner estime que plus de 20 milliards de dispositifs IoT seront connectés à Internet d’ici 2020. Les PME connectent énormément d’objets physiques non protégés à leurs réseaux : verrous intelligents, éclairages intelligents, systèmes HVAC, lecteurs de codes-barres, caméras de surveillance, etc.
    Ces objets exposent les entreprises à des risques considérables, car ils peuvent être piratés et utilisés pour introduire des virus ou provoquer des attaques par déni de service (DDoS) massives. Pourtant, 54 % des utilisateurs n’utilisent aucune mesure de protection (mots de passe ou cryptage par exemple) sur leurs appareils connectés.
  • Amélioration de la protection des dispositifs IoT. De nombreux éditeurs de logiciels ajoutent déjà des fonctionnalités avancées de protection à leurs outils, notamment en recourant aux analytiques ou à l’intelligence artificielle. Ils implémentent également des systèmes de protection dans les dispositifs IoT dès leur conception ou leur production. Certaines technologies comme la protection réseau, l’authentification, la gestion des correctifs et les mécanismes de développement système sont actuellement en cours d’amélioration pour faire face aux nouvelles exigences en matière de sécurité des données.

Ce que l’on vous conseille

  1. Préparez un plan de sécurité IoT. Les PME doivent évaluer leur réseau IoT et établir un plan ou une stratégie de protection de leurs systèmes. Elles doivent prendre en compte les solutions technologiques disponibles comme les pare-feu intelligents et les systèmes dauthentification, ainsi que les procédures standard dinstallation dobjets connectés. Mieux vaut sélectionner des éditeurs de logiciels qui proposent des solutions adaptées à la situation actuelle, mais susceptibles dévoluer en fonction des besoins de lentreprise.
  2. Intégrez la sécurité dans les phases de conception et d’implémentation des objets connectés. Les dispositifs IoT peuvent prendre bien des formes et ils sont donc souvent difficiles à identifier. Un grille-pain ou une ampoule semblent a priori inoffensifs pour la sécurité du réseau dune entreprise, et pourtant… Lors de linstallation de nouveaux objets connectés, mieux vaut discuter des fonctionnalités de sécurité avec des experts et prendre les mesures préventives nécessaires comme lactivation dun pare-feu ou dun logiciel anti-malwares dès la conception ou limplémentation du dispositif.
  3. Utilisez des solutions logicielles pour protéger les objets déjà connectés. Les PME doivent envisager dutiliser des technologies actuelles pour protéger leurs dispositifs IoT : antivirus, pare-feu intelligents, contrôles d’accès privilégié et logiciels anti-malwares. Elles peuvent aussi penser à investir dans des solutions technologiques de protection incluant des fonctionnalités comme la recherche dappareil et la prévention dattaques par force brute pour assurer la sécurité de leurs dispositifs IoT et autres appareils aux extrémités des réseaux.

Prédiction 3 : les PME détecteront les menaces de manière précoce en investissant dans des mesures de sécurité active

En 2019, les PME auront une devise en matière de sécurité informatique : “Mieux vaut prévenir que guérir”. Elles investiront dans les technologies de sécurité active comme les logiciels anti-malwares pour prévenir et combattre précocement les risques de sécurité.

Les entreprises comptant une équipe IT réduite s’associeront à des prestataires de services gérés de détection et de réponse (MDR) qui analyseront les données pour elles et les aideront à répondre aux menaces repérées sur leurs réseaux.

Différence entre sécurité passive et sécurité active

La sécurité passive est le point de départ de tout dispositif de protection. Elle implique le recours à des technologies comme les antivirus, les logiciels anti-spam ou encore les pare-feu pour monitorer et contrôler l’utilisation des applications et du réseau.

La sécurité active, elle, concerne la détection d’anomalies dans le système informatique ainsi que la prévention et la réponse aux attaques avant qu’elles ne se développent complètement. Elle inclut également l’intervention d’experts de la sécurité informatique qui rassemblent des informations pour prévenir de futures attaques en mettant en place des moyens de défense adéquats aux points les plus vulnérables du réseau.

Quels sont les facteurs ?

  • Nécessité de parer les attaques avant qu’elles ne provoquent une faille. Le coût moyen d’une faille de sécurité informatique en Amérique du Nord s’élève à 117 000 $. Une telle somme peut forcer bien des PME à mettre la clé sous la porte.
    Pour réduire le risque d’incident, les petites entreprises adoptent de plus en plus de moyens de sécurité active comme les services et les technologies de détection.
  • Croissance du marché des anti-malwares. Selon Marketsandmarkets, le marché des logiciels anti-malwares s’élevait à 48 milliards de dollars en 2015 et devrait atteindre les 119 milliards de dollars d’ici 2022. Gartner prédit en outre que les investissements dans les solutions de détection des logiciels malveillants et de réponse aux menaces deviendront une priorité pour les acheteurs avant 2020.

Le passage à une approche de détection et d’intervention face aux menaces informatiques concerne autant les individus que les processus et les technologies. Il motivera la majorité de la croissance du marché de la sécurité dans les cinq prochaines années.

– Sid Deshpande, Principal Research Analyst, Gartner

Ce que l’on vous conseille

  1. Adoptez des technologies de sécurité active. Les PME devraient investir dans les technologiques permettant d’identifier et de répondre à des menaces informatiques le plus rapidement possible. En effet, le coût de la réaction à une faille de sécurité est nettement plus élevé que le prix de ces solutions (sans parler de l’interruption des activités et de l’impact négatif sur la réputation d’une entreprise). Les logiciels de sécurité comme les SIEM, les systèmes de prévention des intrusions et les outils d’analyse peuvent améliorer les moyens de défense active. Les anti-malwares basés sur l’IA et le machine learning ont un certain intérêt, mais ils sont encore en cours de développement et peu répandus.
  2. Formez votre équipe et/ou engagez des experts en sécurité. La sécurité active passe par des technologies, mais aussi par des spécialistes de la sécurité chargés de monitorer activement les systèmes et de les entraîner à identifier et à prévenir les menaces. Selon leur budget, les entreprises peuvent soit former leurs propres informaticiens dans le domaine, soit engager des spécialistes qualifiés.

Prédiction 4 : la sécurité deviendra un critère essentiel dans le choix de partenaires commerciaux et de cibles de fusion-acquisition

Dès 2019, les entreprises seront demandeuses de garanties de sécurité plus solides de la part de leurs partenaires, fournisseurs et autres intermédiaires. Les scores de sécurité (indicateurs objectifs de la posture de sécurité d’une structure) ainsi que les évaluations en matière de protection informatique permettront de mesurer le niveau de sécurité de fournisseurs potentiels, de cibles de fusion-acquisition (M&A) et de clients directs.

Quels sont les facteurs ?

  • Piratage des données de grandes entreprises par l’intermédiaire de petites structures. Les PME sont des cibles de choix pour les hackers, car elles constituent une porte d’entrée vers les données de plus grandes entreprises.
    Plusieurs failles de sécurité d’envergure ont été causées par l’insuffisance des mesures de sécurité mises en place par des fournisseurs :
  • La faille de sécurité qui a touché Target, le géant américain de la grande distribution, a été provoquée par le vol des informations de connexion d’un sous-traitant HVAC.
  • Les informations confidentielles de chauffeurs de Lowe (le Leroy Merlin américain), notamment leurs numéros de sécurité sociale et leurs numéros de permis, ont pu être dérobées parce qu’une société de sécurité informatique a accidentellement sauvegardé les données sur un serveur non protégé en ligne.
  • Le système des points de vente de Home Depot, chaîne de grands magasins de décoration aux États-Unis, a été piraté et les détails des cartes de crédit de ses clients ont été récupérés par l’intermédiaire des informations de connexion d’un fournisseur externe.
  • Émergence et croissance des services d’évaluation de la sécurité. L’évaluation de la posture de sécurité des entreprises est en croissance, comme celle de leur santé financière. Selon un rapport de Gartner intitulé “Innovation Insight for Security Rating Service” (en anglais – rapport complet disponible pour les clients Gartner), “d’ici 2022, les indices de cybersécurité seront devenus aussi importants que les indices de solvabilité dans l’évaluation des risques associés aux relations commerciales.” Gartner va même plus loin en affirmant que, dans les années qui viennent, les scores de cybersécurité deviendront une condition sine qua non à l’établissement de relations commerciales. Ils auront même un impact sur le prix des assurances informatiques.

Ce que l’on vous conseille

  1. Associez-vous à des MSSP si vous n’êtes pas certain de la fiabilité de vos stratégies de sécurité. Les PME devraient faire appel à un prestataire d’infogérance spécialisé en sécurité (MSSP) lorsqu’elles ont mis en place des mesures de sécurité limitées et veulent améliorer ou évaluer leur posture de sécurité. Les MSSP aident à surveiller et à gérer les fonctions de sécurité des entreprises comme le monitoring des menaces, l’évaluation des risques, le déploiement de solutions technologiques et la gestion des intrusions. Mieux vaut choisir un MSSP réputé, habitué à travailler avec des PME et expérimenté dans le secteur d’activité de l’entreprise. Nous avons d’ailleurs consacré un article à la sous-traitance informatique.
  2. Menez régulièrement des évaluations de sécurité et des tests d’intrusion. Les évaluations régulières des systèmes de protection (conduites en interne ou par un organisme tiers) permettent d’identifier les points faibles et d’y remédier plus rapidement. Les évaluations de sécurité et les tests d’intrusion fournissent un aperçu complet de la posture de sécurité d’une entreprise.
  3. Mettez vos atouts en avant. Lors des discussions avec des clients potentiels, les PME ont tout intérêt à exposer leurs atouts en matière de sécurité pour les convaincre du respect de la confidentialité et de l’intégrité des données qu’ils vont leur confier. Les entreprises doivent également assurer leur conformité avec les réglementations principales pour renforcer la confiance de leurs clients et de leurs partenaires commerciaux.

Sécurité informatique : améliorez votre posture en 2019 !

  • La sécurité constituera une problématique incontournable pour toutes les entreprises, car les hackers utilisent déjà de nouvelles technologies comme l’IA et les botnets pour cibler les organisations de toutes tailles. Pour protéger les utilisateurs, les gouvernements du monde entier mettent en place des réglementations plus strictes de protection des données et de cybersécurité.
  • Les PME doivent donc investir plus massivement dans la sécurité informatique et l’envisager comme une fonction de gestion à part entière. Ignorer l’importance de la sécurité informatique risquerait même d’entraîner la fin de leurs activités.

tendance sécurité informatique 2019

N’hésitez pas à consulter notre répertoire de logiciels de sécurité informatique. Vous y trouverez une liste complète de logiciels antivirus, anti-spam, de sécurité cloud, de cryptage et bien d’autres. Lisez les avis des utilisateurs et comparez les produits pour faire le meilleur choix.

 

Cloud-Sicherheit, IoT und aktive Bedrohungserkennung: Die wichtigsten IT-Sicherheitsprognosen für 2019

Cloud-Sicherheit Titel

Cloud-Sicherheit Titel

In der Welt der Cyberrisiken sieht man sich ständig mit neuen Herausforderungen konfrontiert, beispielsweise bei der Cloud-Sicherheit, durch Botnets oder durch Malware zum Schürfen von Kryptowährungen.

Umso wichtiger ist es, IT-Sicherheitstrends zu kennen und zu verstehen – nicht nur, um diese neuen Sicherheitsproblemen bewältigen zu können, wenn und falls sie auftauchen, sondern auch, um im eigenen Cybersicherheitsbudget für 2019 ausreichende Mittel bereitzustellen.

Unsere Untersuchungen deuten darauf hin, dass immer mehr Unternehmen in sicherheitstechnische Lösungen investieren, um sich vor Cyberangriffen zu schützen. Es wird erwartet, dass Cyberkriminalität, beispielsweise in Form von gezielten Ransomware-Angriffen, Spear Phishing oder Krypto-Jacking, 2019 weiter zunimmt. Unternehmen drohen Milliardenverluste durch Einnahmeausfälle, Lösegeldzahlungen und Schadensbegrenzung.

Um die Kosten für Datensicherheitsverletzungen zu minimieren und das Vertrauen ihrer Kunden und Geschäftspartner zu stärken, müssen auch kleine Unternehmen verstehen, wie sich Bedrohungslandschaft, Datenschutztechnologien und sicherheitsrelevante Gesetze und Vorschriften verändern.

Wir gehen davon aus, dass IoT-Risiken im Jahr 2019 stärker in den Vordergrund treten und gleichzeitig die Investitionen in den Datenschutz in der Cloud und in Technologien zur aktiven Bedrohungserkennung zunehmen werden. Die Sicherheit wird auch als Geschäftsfunktion an Bedeutung gewinnen.

In diesem Artikel möchten wir vier IT-Sicherheitstrends behandeln, die kleine Unternehmen kennen sollten, und aufzeigen, wie sie sich rüsten können.

 

Investitionen in Cloud-Datenschutztechnologien werden deutlich steigen

Unseren Vorhersagen zufolge werden kleine Unternehmen 2019 verstärkt in die Sicherung von Cloud-Daten investieren, beispielsweise in Technologien für Verschlüsselung, Data Loss Prevention, Autorisierung und Ähnliches. Zahlreiche kleine Unternehmen werden sich für die Verwaltung von Kundendaten mit vertrauenswürdigen, zuverlässigen Drittanbietern zusammentun, die im Bereich Datensicherheit über mehr Know-how verfügen als sie selbst. Wer sein Unternehmen schützen möchte, sollte sich diesem Trend nicht entziehen:

Dem Gartner-Bericht „Predicts 2018: Security Solutions“ zufolge (der gesamte Bericht steht Gartner-Kunden auf Englisch zur Verfügung) werden bis 2020 über 60 Prozent der Unternehmen in mehrere parallele Datensicherheitstools investieren. Zum Vergleich: 2017 waren es noch nur 35 Prozent.

Unsere Umfrage unter kleinen und mittleren Unternehmen (KMUs) ergab außerdem, dass 47 Prozent der kleinen Unternehmen Datenschutztechnologien 2019 in ihrem Budget einplanen.

Zu steigenden Ausgaben für die Cloud-Datensicherheit führen u. a. folgende Faktoren:

Strengere Umsetzung von Datenschutzbestimmungen

Neue Gesetze und Vorschriften wie die DSGVO sowie die Angst vor hohen Bußgeldern, die bei einem Verstoß drohen könnten, bringen viele kleine Unternehmen dazu, in Datenschutzmaßnahmen und -tools zu investieren.

Durch die neuen Vorschriften bekommen Kund*innen eine direktere Kontrolle darüber, wie ihre Daten erhoben, gespeichert und verwendet werden. Um diesen neuen Vorgaben entsprechen zu können, sind Unternehmen zu Neuanschaffungen gezwungen.

Ein Großteil der Daten wird in der Cloud gespeichert

Die meisten kleinen Unternehmen speichern ihre Daten in der Cloud. Entsprechend kritisch wird es für die Gewährleistung der Datensicherheit sein, auch Cloud-Infrastrukturen zu sichern. 62 Prozent der kleinen Unternehmen speichern Finanzdaten ihrer Kunden in der Cloud und 54 Prozent speichern sensible medizinische Daten – und das oft ohne angemessene Sicherheitsvorkehrungen.

Empfohlene Maßnahmen

1. Datenschutztechnologien einsetzen

Kleine Unternehmen müssen sicherstellen, dass in der Cloud gespeicherte vertrauliche Daten gut geschützt sind. Dazu kommen verschiedene Technologien zum Einsatz, beispielsweise für die Verschlüsselung (sowohl während der Speicherung als auch bei der Übertragung der Daten), mehrstufige Authentifizierung und Zugangskontrollen. Kleine Unternehmen, die Cloud-Services nutzen, sollten außerdem Investitionen in Cloud Access Security Broker (CASB) in Betracht ziehen, um die Sicherheit der in der Cloud gespeicherten Daten zu verbessern.

2. Datensicherungs- und Wiederherstellungspläne erstellen

Kleine Unternehmen dürfen nicht übersehen, wie wichtig es ist, Daten regelmäßig zu sichern. Tools für kontinuierliche Backups helfen dabei, die eigene Arbeit zu sichern und bei Bedarf wiederherzustellen. Auch Investitionen in die Notfallwiederherstellung (Disaster Recovery) sowie Tools für die Geschäftskontinuität (Business Continuity) sind unverzichtbar, um im Falle von Unglücken oder Naturkatastrophen die Arbeit mit den gesicherten Daten wiederaufnehmen zu können.

3. Sich im Voraus auf gesetzliche Neuerungen vorbereiten

Datenschutzvorschriften werden ständig weiterentwickelt. Neue Regeln werden hinzugefügt, bestehende geändert. Unternehmen müssen sich vor Ablauf der Frist darauf vorbereiten, all diese Vorschriften einzuhalten. Wichtigstes Beispiel ist aktuell zweifellos die EU-Datenschutzgrundverordnung (DSGVO). Die DSGVO trat bereits im Mai letzten Jahres in Kraft, doch in Umfragen gaben zum Jahreswechsel nur rund 20 % der Unternehmen an, die Vorgaben bereits vollständig umgesetzt zu haben. Wer keine Strafen riskieren will, sollte sich lieber schon im Voraus genau mit neuen Gesetzesanforderungen auseinandersetzen und die nötigen Maßnahmen in die Wege leiten.

 

Bei der IoT-Sicherheit stehen 2019 und 2020 neue Herausforderungen bevor

 Wir erwarten, dass 2019 die Zahl der IoT-Angriffe auf 300.000 steigt und mehr als 30 Prozent aller Cyberangriffe ausmacht.

2017 zielten 50.000 Cyberangriffe auf IoT-Geräte ab, was gegenüber dem Vorjahr einen Anstieg von 600 Prozent darstellte. Im Jahr 2018 gab es bereits über 121.000 IoT-getriebene Malware-Angriffe.

Immer mehr ungeschützte IoT-Geräte sind mit IT-Netzwerken verbunden und es ist zu erwarten, dass uns zukünftig immer häufiger größer dimensionierte Cyberangriffe bevorstehen, die von IoT-Botnetzen gesteuert werden.

Allmählich werden sich die Besitzer von IoT-Geräten der Bedrohungen durch ungesicherte IoT-Geräte immer deutlicher bewusst. Es ist zu hoffen, dass Verbraucher und Hersteller in den nächsten Jahren zunehmend Maßnahmen ergreifen, um Sicherheitskontrollen wie Authentifizierung, Verschlüsselung und Anti-Malware-Systeme in IoT-Geräten zu implementieren.

Faktoren, die diesen Trend deutlich machen, sind u. a.:

Die schnelle Verbreitung von (ungeschützten) IoT-Geräten

Schätzungen von Gartner zufolge werden bis 2020 mehr als 20 Milliarden IoT-Geräte mit dem Internet verbunden sein. Kleine Unternehmen verbinden viele ungeschützte physische Objekte mit ihren IT-Netzwerken, beispielsweise intelligente Schließ- und Beleuchtungssysteme, HLK-Systeme (Heizung, Lüftung und Klima), Überwachungskameras und mehr.Dabei entstehen ernsthafte Sicherheitsrisiken: Angreifer können IoT-Geräte unter ihre Kontrolle bringen und nutzen, um Malware zu verbreiten oder groß angelegte Distributed-Denial-of-Service-Angriffe (DDoS) durchzuführen. Trotz alledem haben 54 Prozent der Nutzer*innen für ihre IoT-Geräte keinerlei Sicherheitsmaßnahmen (wie Passwörter oder eine Verschlüsselung).

Verbesserte IoT-Sicherheitsfunktionen

Viele Softwareanbieter versehen IoT-Sicherheitstechnologien mit erweiterten Funktionen wie Analytik und künstlicher Intelligenz (KI). Außerdem werden IoT-Geräte bereits mit integrierten Sicherheitsfunktionen entwickelt und produziert. Auch Technologien für Netzwerkschutz, Authentifizierung, Patch-Management und Systementwicklung, die zur Lösung von IoT-Sicherheitsproblemen erforderlich sind, werden verbessert, um eventuell bevorstehenden Sicherheitsproblemen entgegenzutreten.

Empfohlene Maßnahmen

1. Einen IoT-Sicherheitsplan erstellen

Überprüfe dein IoT-Netzwerk und entwickle einen Plan oder eine Strategie zum Schutz deiner IoT-Systeme. Dabei sind technische Lösungen wie intelligente Firewalls und Authentifizierungssysteme genauso zu berücksichtigen wie Standardverfahren und -prozesse für die Installation vernetzter Geräte. Nimm Anbieter von IoT-Sicherheitssoftware in die engere Wahl, deren Lösungen nicht nur aktuell passend sind, sondern auch Upgrade-/Update-Optionen bieten.

2. Die Sicherheit in der IoT-Entwicklungs- und Implementierungsphase einbeziehen

IoT-Geräte kommen in unterschiedlichster Gestalt daher und sind oft schwer als solche zu erkennen, da es sich praktisch um jedes physische Gerät handeln kann. Wer denkt schon daran, dass ein Toaster oder eine Glühbirne möglicherweise ein Sicherheitsrisiko für das Netzwerk ist? Wer plant, IoT-Geräte zu installieren, sollte daher ihre Sicherheitsmerkmale mit Experten besprechen und die notwendigen Vorkehrungen treffen, beispielsweise indem schon bei der Entwicklung und Implementierung auch eine Firewall oder Anti-Malware-Software eingebunden wird.

3. Vorhandene IoT-Geräte mittels Softwarelösungen sichern

Kleine Unternehmen müssen auf bestehende Sicherheitstechnologien zurückgreifen, beispielsweise erweiterte Antivirus-Lösungen, intelligente Firewalls, Zugriffskontrollsysteme (Privileged Access Management) und Anti-Malware-Systeme für vernetzte Geräte. Auch die Investition in IoT-Sicherheitslösungen mit Funktionen zur Geräteerkennung oder zur Verhinderung von Brute-Force-Angriffen lohnt sich, um IoT-Geräte und andere Endgeräte zu schützen.

 

Mehr kleine Unternehmen werden in aktive Sicherheitsmaßnahmen investieren, die bei der Bedrohungserkennung helfen

 „Vorsicht ist besser als Nachsicht“: Dieses Motto wird 2019 maßgeblich sein, was Sicherheitsvorfälle betrifft. Kleine Unternehmen werden in aktive Sicherheitstechnologien wie die Bedrohungserkennung investieren, um Risiken frühzeitig zu erfassen und zu minimieren.

Für kleine Unternehmen mit begrenztem IT-Personal bietet sich die Zusammenarbeit mit Drittanbietern für Managed Detection and Response (MDR) an, die Netzwerkdaten analysieren, um Anomalien zu erkennen und auf Bedrohungen zu reagieren.

Passive vs. aktive Sicherheit

Die passive Sicherheit ist der Startpunkt und die Grundlage jeder Sicherheitsinfrastruktur. Dazu gehört der Einsatz von Antivirusprogrammen, Anti-Spam-Software und Firewalls, um die Anwendungs- und Netzwerknutzung zu überwachen und zu kontrollieren.

Bei der aktiven Sicherheit geht es darum, Anomalien im IT-System zu erkennen, auf sie zu reagieren und Cyberangriffe zu unterbinden, bevor sie ernsthaften Schaden anrichten. Dabei sollten erfahrene Sicherheitsexpert*innen einbezogen werden, die Informationen sammeln und neuralgische Punkte durch geeignete Abwehrmechanismen schützen können.

Diesen Trend treiben u. a. folgende Marktbedingungen voran:

Bedrohungen müssen abgewehrt werden, bevor es zu Datensicherheitsverletzungen kommt

Eine Datensicherheitsverletzung kostet kleine Unternehmen in den USA durchschnittlich 117.000 $, in Deutschland dürfte die Zahl kaum niedriger sein. Derartige Verluste können kleine Unternehmen schnell in Bedrängnis bringen.Sie setzen daher zunehmend aktive Sicherheitsmaßnahmen ein und nutzen beispielsweise Dienste und Technologien zur Bedrohungserkennung, um die Zahl der Sicherheitsvorfälle zu verringern.

Der Markt für Software zur Bedrohungserkennung wächst

Marketsandmarkets zufolge wird der Markt für Bedrohungserkennungssysteme voraussichtlich von 48 Mrd. $ im Jahr 2015 auf 119 Mrd. $ im Jahr 2022 wachsen. Gartner erwartet, dass Investitionen in Software zur Erkennung und Reduzierung von Bedrohungen bis 2020 bei Käufer*innen ganz oben auf der Liste stehen werden.

„Der neue Fokus auf Früherkennungs- und Reaktionsmöglichkeiten umfasst Personen, Prozesse und Technologien gleichermaßen. In den nächsten fünf Jahren wird er einen Großteil des Wachstums des Sicherheitsmarkts darstellen“, sagt Sid Deshpande, leitender Forschungsanalytiker bei Gartner.

Empfohlene Maßnahmen

1. Aktive Sicherheitstechnologien einsetzen

Investiere in Technologien, die Bedrohungen frühzeitig erkennen und automatisch reagieren. Die durch einen Sicherheitsvorfall entstehenden Kosten sind viel höher als die Präventivausgaben – ganz zu schweigen von den damit verbundenen Ausfallzeiten und der Rufschädigung. Es gibt zahlreiche Sicherheitslösungen, die dazu beitragen können, aktive Abwehrmechanismen zu verbessern, beispielsweise SIEM (Security Information and Event Management), Intrusion-Prevention-Systeme und Sicherheitsanalysetools. Auch Tools zur Bedrohungserkennung mit KI- und Machine-Learning-Funktionen sollten gegebenenfalls geprüft werden, auch wenn sie noch in der Entwicklung befindlich und entsprechend nicht weit verbreitet sind.

2. Das Personal schulen und qualifizierte Sicherheitsanalyst*innen einstellen

Zu einer aktiven Sicherheitsstruktur gehört nicht nur der Einsatz von Software, sondern auch von geschultem Personal, das Systeme aktiv überwacht und darauf trainiert, Bedrohungen zu erkennen und zu minimieren. Je nach Budget kannst du eigene IT-Teammitglieder in der Bedrohungserkennung weiterbilden oder qualifizierte Fachleute einstellen.

 

Wachsende Bedeutung der Sicherheitslage bei der Auswahl von Geschäfts- und Fusionspartnern

 Ab 2019 werden Unternehmen von Partnerfirmen, Lieferanten und Zwischenhändlern strengere Sicherheitskontrollen verlangen. Sicherheitsprüfungen und -ratings werden als objektive Indikatoren für die Sicherheitslage eines Unternehmens genutzt werden. Auf dieser Grundlage wird bewertet, wie es bei potentiellen Anbietern, Fusions- und Übernahmepartnern, Kunden und allgemein in der Wertschöpfungskette um die Sicherheit bestellt ist.

Diesen Trend begünstigen u. a. folgende Marktbedingungen:

Hacker haben es auf kleinere Unternehmen abgesehen, um Zugang zu größeren Partnerfirmen zu erhalten

Kleine Unternehmen sind für Angreifer ein attraktives Ziel, weil sie sich über diese Zugang zu deren größeren Geschäftspartnern und schlecht gesicherten vertraulichen Daten verschaffen können oder wollen.Nicht wenige berüchtigte Sicherheitsverletzungen bei Großunternehmen wurden durch unzureichende Sicherheitsvorkehrungen bei Lieferanten und Partnern verursacht.

  • So konnte beispielsweise ein Hacker Zugriff auf Zahlungsdaten von Kunden des US-Einzelhandelsgiganten Target erlangen, indem er die Zugangsdaten eines HLK-Vertragspartners des Unternehmens ausnutzte.
  • Vertrauliche Daten von Fahrern des amerikanischen Einzelhandelsunternehmens Lowe‘s, darunter Sozialversicherungs- und Lizenznummern, wurden kompromittiert, als eine Sicherheitsfirma unabsichtlich ein Backup auf einem ungesicherten, mit dem Internet verbundenen Server erstellte.
  • Auch das Kassensystem der Baumarktkette Home Depot wurde über die Zugangsdaten eines Drittanbieters gehackt, der Diebstahl von Kreditkartendaten von Kunden war die Folge.

Entstehung und Wachstum von Sicherheitsrating-Services

Das Bewerten der Sicherheitslage von Unternehmen wird als Konzept immer beliebter, ganz ähnlich wie Bewertungen zur Kreditwürdigkeit, die die finanzielle Stabilität von Personen und Firmen beurteilen.

Im Gartner-Bericht „Innovation Insight for Security Rating Service“ heißt es (eigene Übersetzung, Original für Gartner-Kunden auf Englisch verfügbar):

Bis 2022 werden Cybersicherheitsratings genauso wichtig wie Bonitätsprüfungen, wenn es darum geht, das Risiko von Geschäftsbeziehungen zu beurteilen.“

Gartner gibt außerdem an, Cybersicherheitsbewertungen würden in den nächsten sechs Jahren zu einer zwingenden Voraussetzung für die Aufnahme von Geschäftsbeziehungen, die sich sogar auf die Kosten der Cyberversicherung auswirkt.

Empfohlene Maßnahmen

1. Bei Unsicherheit in Bezug auf Sicherheitsstrategien mit einem Managed Security Service Provider zusammenarbeiten

Wer eingeschränkte Sicherheitsmaßnahmen implementiert hat und unsicher ist, wie die Sicherheitslage bewertet oder weiter verbessert werden kann, sollte die Dienste eines Managed Security Service Providers (MSSP) in Anspruch nehmen. MSSPs sind Drittanbieter, die Unternehmen beim Überwachen und Verwalten von Sicherheitsfunktionen wie Bedrohungsüberwachung, Risikobewertung, Bereitstellung von Technologielösungen und Intrusion Management unterstützen. Wähle bekannte MSSPs, die Erfahrung mit kleinen Unternehmenskunden in deiner Branche haben.

2. Regelmäßige Sicherheitsbewertungen und Penetrationstests durchführen

Regelmäßige Sicherheitsbewertungen durch interne Teams oder externe Anbieter helfen, neue Schwachstellen zu erkennen und schneller zu beheben. Sicherheitsbewertungen und Penetrationstests bieten ein umfassendes Bild der Sicherheitslage im Unternehmen.

3. Sicherheitskompetenz werbewirksam nutzen

Stelle im Gespräch mit potentiellen Kunden deine Kompetenz in Sicherheitsfragen heraus, um sie davon zu überzeugen, dass du die Vertraulichkeit und Integrität ihrer Daten gewährleisten kannst. Natürlich muss auch die Einhaltung aller wichtigen gesetzlichen Vorschriften garantiert sein. Dies trägt dazu bei, das Vertrauen der Kunden und Geschäftspartner zu gewinnen.

 

Eine verbesserte Sicherheitslage als guter Vorsatz fürs Jahr 2019

Je mehr sich Angreifer neuer Technologien wie KI und Botnets bedienen und Unternehmen aller Größen ins Visier nehmen, desto stärker muss die Sicherheit für alle Unternehmen im Fokus stehen. Weltweit führen Regierungen stärkere Datenschutz- und Cybersicherheitsvorschriften ein, um Nutzer zu schützen.

Kleine Unternehmen müssen stärker in die IT-Sicherheit investieren und sie als strategische Geschäftsfunktion betrachten, bei der alles funktionieren muss – sonst steht die Existenz des Unternehmens auf dem Spiel.

Cloud-Sicherheit Trends Empfehlungen

Du suchst nach zusätzlichen Ressourcen, um die IT- und Cloud-Sicherheit im Griff zu behalten? In unserem Softwareverzeichnis findest du die verschiedensten sicherheitsrelevanten Softwarelösungen, beispielsweise Antivirus- und Anti-Spam-Lösungen, Tools für Cloud-Sicherheit, Verschlüsselung und mehr. Lies dir die Bewertungen durch und vergleiche unterschiedliche Produkte, um eine fundierte Kaufentscheidung zu treffen.


Unsere Daten entstammen einer von Juli bis September 2018 online unter 715 Inhabern kleiner Unternehmen in den USA durchgeführten Umfrage. Die Befragten waren als Manager*innen oder in höheren Positionen tätig und wurden danach ausgewählt, inwieweit sie in Kaufentscheidungen für Unternehmenssoftware involviert sind. Die ausgewählten Unternehmen haben 2 bis 249 Angestellte und einen Umsatz von weniger als 100 Millionen US-Dollar.

PME et sous-traitance informatique : les questions à se poser

PME et sous traitance informatique

PME et sous traitance informatique

Lorsque vous avez besoin de documents légaux, vous vous adressez à un avocat. En matière de comptes et de chiffres, c’est un comptable qui assure la santé financière de votre entreprise. Alors pourquoi ne pas confier la gestion de votre parc informatique à un professionnel, à savoir un prestataire d’infogérance ?

Les arguments en faveur de la sous-traitance informatique sont nombreux. Toutefois, quel que soit votre secteur d’activité, elle peut être risquée. Une panne peut rapidement bloquer toutes vos opérations, vous coûter cher et entacher votre réputation. Pour vous épargner ces mésaventures, vous devez soigneusement évaluer vos besoins informatiques et l’intérêt de confier à une entreprise tierce la gestion de votre parc informatique.

Les priorités et le budget alloué à l’IT dépendent du fonctionnement de chaque société. Certaines entreprises veillent à disposer de structures et d’équipements informatiques solides et modernes pour maximiser leur efficacité opérationnelle, tandis que d’autres disposent d’un parc informatique à peine fonctionnel.

Un bulletin prévisionnel publié récemment par Gartner (en anglais, disponible pour les clients) indique, sans surprise, que les dépenses informatiques des PME vont significativement augmenter dans les prochaines années. Cependant, on ne sait pas si les budgets prévus seront consacrés à la création d’équipes IT en interne ou à l’externalisation informatique.

Dans cet article, nous allons mettre en avant les implications de ces deux options, décoder les risques de la sous-traitance informatique et comment les réduire, et vous proposer une marche à suivre pour faire votre choix.

Création d’une équipe IT

Dans la plupart des PME, en règle générale, un seul employé gère une série de tâches informatiques comme l’installation de logiciels ou quelques dépannages occasionnels. Mais au fur et à mesure de la croissance des activités, les besoins informatiques évoluent et exigent un plus grand nombre de travailleurs de mieux en mieux formés.

Si les ressources sont suffisantes, l’idéal est de constituer une équipe solide d’informaticiens : un petit groupe de professionnels 100 % disponibles et efficaces, conscients des défis techniques auxquels l’entreprise fait face, prêts à s’adapter à ses objectifs stratégiques et motivés à l’idée de faire aboutir la vision de votre entreprise.

Malheureusement, qui dit équipe interne, dit frais fixes supplémentaires (salaires, avantages et taxes notamment). Or, les PME disposent souvent d’un budget limité et ne peuvent pas toujours se permettre d’engager de nouveaux experts IT.

De plus, les tendances et les pratiques dans le secteur informatique changent sans cesse et les compétences nécessaires évoluent tout aussi rapidement. Cela signifie qu’il faut assurer la formation continue de son équipe pour rester compétitif.

Et c’est un véritable défi en soi : selon un rapport (en anglais) de New Horizons, société de formation en informatique, seules 12 % des entreprises pensent que leurs efforts de formation IT sont suffisants pour assurer le maintien de la qualité du travail de leurs informaticiens. Le manque de ressources de formation appropriées est souvent montré du doigt.

Externalisation informatique

Pour réduire les coûts et rester concurrentielles, les PME font souvent appel à des prestataires de services d’infogérance.

Les petites entreprises externalisent généralement plusieurs services :

  • Le support technique
  • La sécurité
  • Le centre de données (data center)
  • La sauvegarde et la récupération des données
  • Le monitoring et la maintenance du réseau

Les PME qui souhaitent confier la gestion de leur parc informatique à un sous-traitant ont généralement deux options : faire appel un technicien ponctuellement, en cas de problème, ou bien s’offrir les services réguliers d’un prestataire en infogérance.

appel technicien  Contacter un technicien ponctuellement 

Cette solution, purement réactive, consiste à faire appel à un technicien uniquement en cas de problème. Elle convient très bien aux entreprises qui ne rencontrent que rarement des soucis informatiques et à celles qui n’ont pas véritablement besoin de support IT.

Cependant, les informaticiens qui interviennent dans ce genre de cas sont payés à l’heure et les coûts peuvent gonfler rapidement. De plus, il faut consigner le nombre d’heures de travail et les services fournis pour vérifier que la facture corresponde bien aux prestations. Cette solution temporaire est intéressante, mais elle ne constitue pas une réponse complète aux besoins informatiques des PME.

prestataire infogérance  Passer par un prestataire d’infogérance

Les prestataires d’infogérance prennent en charge la gestion du parc informatique des entreprises de manière personnalisée contre une rétribution mensuelle ou annuelle. Ils opèrent à distance et proposent chacun leur propre éventail de services. Toutefois, parmi le grand nombre de sociétés proposant ce genre de services, il n’est pas si facile que ça de trouver le bon partenaire.

Passer par un prestataire d’infogérance, pour les PME, c’est généralement l’alternative économique à engager une équipe IT interne. Un prestataire peut intervenir parfois en seconde ligne, dans les entreprises qui disposent d’un service informatique, ou pour prendre en charge des projets particuliers (intégration logicielle par exemple).

Les sous-traitants sont généralement spécialisés dans divers sous-domaines IT et sont capables de suivre les évolutions technologiques constantes et rapides du secteur. De plus, selon la croissance de l’entreprise, il est parfois plus avantageux d’élargir la gamme de services souscrits auprès d’un prestataire que de mettre à niveau une infrastructure informatique en interne.

Cependant, avant toute chose, les PME ont tout intérêt à analyser en profondeur les risques et les besoins de leur réseau. En effet, si le prestataire est chargé de définir les besoins, il recommandera sans doute son pack de services le plus complet… et le plus cher.

Pour faire le bon choix en matière d’externalisation informatique, les entreprises doivent prendre l’initiative, identifier les failles de leur système et définir les menaces les plus probables risquant de nuire à leurs activités.

Risques de la sous-traitance informatique

L’externalisation informatique d’une entreprise n’est pas sans risque. Voici les plus importants.

sécurité des données  Sécurité des données

C’est bien connu, la sécurité des données est un problème clé de l’externalisation informatique. Pourtant, une étude (en anglais) menée récemment par le Ponemon Institute révèle que 58 % des petites entreprises ne savent pas si les politiques de sécurité de leurs fournisseurs sont suffisantes pour les protéger d’une faille de sécurité. Or, les réglementations sur la protection des données se multiplient. Les entreprises doivent donc faire preuve de prudence lorsqu’elles ouvrent leur réseau à n’importe quel acteur tiers. À titre d’exemple, en 2013, le géant américain de la grande distribution Target a subi une faille de sécurité qui a entraîné la fuite des données de 40 millions de consommateurs. Cette faille a été reliée à un vol de données de connexion non pas chez un MSP, mais chez un sous-traitant en HVAC. Target avait en fait, sans le savoir, ouvert l’accès à son réseau à une entreprise tierce qui ne respectait pas les standards de protection des données : les serveurs étaient accessibles à distance sans que l’authentification à deux facteurs ne soit requise. Target a survécu à la tempête, mais une petite entreprise aurait peut-être bu la tasse.

conformité réglementaire  Conformité réglementaire

Les PME actives dans un secteur fortement réglementé comme la santé doivent impérativement vérifier l’étendue de l’expérience de leurs fournisseurs de services gérés dans leur domaine et leur capacité à se conformer aux réglementations en vigueur. Si un prestataire peut accéder aux informations médicales protégées des clients, il doit se conformer au RGPD.

Vous devrez donc établir avec lui un contrat de sous-traitance lui imposant de respecter les conditions de protection des données réglementaires.

Malheureusement, il n’est pas toujours possible de savoir quelles données risquent d’être utilisées ou traitées par un sous-traitant informatique. Tout prestataire de services avec lequel une entreprise envisage de collaborer devrait être à jour en matière de standards de protection des données et de questions réglementaires, en particulier dans le secteur d’activité de la société. Cependant, quelles que soient les garanties fournies, lorsque des données sont dupliquées ou déplacées, elles risquent fortement d’être compromises.

cyberattaques  Cyberattaques

Les cyberattaques sont de plus en plus nombreuses et de plus en plus sophistiquées. Selon un rapport de F-Secure, société spécialisée dans la sécurité informatique, on a observé en 2017 une hausse de 415 % dans la détection des logiciels rançonneurs. De plus, le nombre de points d’extrémité des réseaux a explosé ces dernières années.

L’adoption généralisée du cloud, la prolifération des appareils mobiles et la connexion soudaine à Internet de plus de 20 milliards d’objets dans le cadre de l’IoT donnent du fil à retordre à la sécurité informatique. De nombreux sous-traitants informatiques sont à la hauteur de la tâche, mais d’autres le sont moins et sont tout aussi présents sur le marché.

L’externalisation de l’entièreté des services informatiques d’une PME ne contribue absolument pas à sa protection contre la cybercriminalité. Toutes les petites entreprises devraient s’armer contre les hackers en établissant et en assurant l’application d’une politique d’utilisation des services web et e-mail.

D’autres mesures, comme la régulation de l’utilisation des appareils personnels, l’imposition de l’authentification à double facteur et la sensibilisation continue à la cybercriminalité, peuvent aussi réduire la vulnérabilité des entreprises face aux cyberattaques les plus communes.

service level agreement  Attentes

Les petites entreprises craignent souvent que les sous-traitants informatiques ne puissent pas tenir leurs promesses ou qu’ils soient trop absorbés par une large clientèle. Leurs inquiétudes sont justifiées. Si une petite entreprise s’engage avec un partenaire qui s’occupe déjà de nombreuses autres PME, comment peut-elle s’assurer de recevoir autant d’attention que des clients de plus grande envergure, plus rentables pour le prestataire ?

C’est pour cette raison qu’il est important de négocier un bon accord de niveau de service ou SLA (service-level agreement). Ce document établi les attentes des deux parties et les conséquences en cas de non-respect de l’accord. Le SLA devrait également définir les critères de mesure des performances et la manière dont ils sont appliqués.

prix grilles tarifaires  Prix

Avant d’engager un sous-traitant informatique, il faut étudier en détail les grilles tarifaires pour comprendre les méthodes de facturation et identifier les charges supplémentaires potentielles. Les structures de prix varient
énormément : les tarifs peuvent être progressifs et les services proposés en pack, par appareil ou par utilisateur. Mieux vaut opter pour un tarif mensuel fixe qui englobe tous les services nécessaires (mais sans inclure ceux dont l’entreprise peut se passer).

Atténuation des risques

En tant que PME, vous pouvez réduire les risques de l’externalisation informatique en suivant ces quelques conseils :

  • Assurez-vous que les deux parties ont conscience de ce qu’implique un partenariat fructueux.
  • Revoyez en détail les SLA et assurez-vous qu’ils répondent bien à vos attentes.
  • Demandez à votre prestataire de vous fournir le nombre et la taille des entreprises avec lesquelles il travaille actuellement.
  • Exigez des références. Contactez les clients actuels de ce prestataire et demandez-leur s’il est réactif en dehors des heures de bureau.
  • Demandez si certaines activités du prestataire d’infogérance sont sous-traitées.
  • Déterminez comment le prestataire compte assurer la sécurité de vos données.
  • Prenez en compte les données soumises à une réglementation et les facteurs qui pourraient mettre à mal la conformité du prestataire.

Posez les questions qui fâchent sur les pratiques de protection des données, les plans d’intervention en cas d’incident, les heures d’intervention et les problèmes spécifiques à votre secteur. Les échanges écrits sont intéressants, car ils peuvent être conservés, mais un petit coup de téléphone à un sous-traitant informatique vous permettra peut-être d’obtenir des informations plus précises sur ses compétences par rapport à vos besoins particuliers et de vous assurer qu’il ne vous fournira pas des prestations génériques.

 

Pour terminer, sachez qu’il vaut mieux renoncer à l’externalisation d’éléments stratégiques de votre infrastructure IT si vos activités dépendent de l’innovation et du développement agile de vos opérations en ligne. De plus, si vous êtes actif dans un secteur soumis à des réglementations strictes et que vous devez absolument assurer la sécurité des données et la conformité de leur traitement, réfléchissez bien avant de sous-traiter la gestion de votre parc informatique. Dans ces situations et dans de nombreux autres cas, il vaut la peine d’investir dans la création d’une équipe informatique interne.

Et maintenant ?

La recherche d’un partenaire IT peut être frustrante : les informaticiens les plus qualifiés sont aussi les plus difficiles à trouver et les sous-traitants informatiques ne tiennent pas toujours leurs promesses.

Mais la bonne nouvelle, c’est que les PME n’ont pas toujours besoin de personnel supplémentaire ni des services d’un sous-traitant. Des applications SaaS faciles à prendre en main et des options de stockage des données en cloud répondent déjà très bien aux besoins des PME. Il vous suffira peut-être simplement d’investir dans des logiciels qui répondront à vos préoccupations immédiates comme l’engagement de vos clients en ligne ou l’amélioration de votre communication interne.

Ceci étant dit, en considérant objectivement vos besoins, vous vous assurez de prendre la meilleure décision possible pour la croissance de votre PME, que vous décidiez d’externaliser vos services informatiques, de tout gérer en interne ou simplement de vous doter de nouveaux outils.

 

Die vier am häufigsten rezensierten Passwort Management Tools für IT-Teams

Passwort Management Software

Neulich haben wir darüber gesprochen, wie Hillary Clintons Wahlkampfmanager John Podesta mit einer Passwortverwaltung-Software hätte verhindern können, dass seine privaten E-Mails von Hackern veröffentlicht wurden.

Diese Woche stelle ich vier Passwort Management Tools vor, mit denen du deine Daten besser schützen kannst.

Passwort Management Software

Welche Passwortverwaltung sollte ich verwenden?

1. LastPass

Passwort Management LastPass

Übersicht

Jason Fitzpatrick von How-To Geek erklärt die Beliebtheit von LastPass damit, dass das Programm ganz leicht zu verwenden ist, auch in der kostenlosen Version sehr viele Funktionen bietet und neben iOS und Android auch Windows Phone- und BlackBerry-Geräte unterstützt.

„Dank der hervorragenden Browser-Integration und der großartigen mobilen Apps bietet LastPass eine gute Passwortverwaltung, ohne den Endbenutzer zu behindern“, schreibt Fitzpatrick.

Während Dashlane „sicherlich die beste Benutzeroberfläche bietet, und das schon seit Jahren“, kommentiert Fitzpatrick, ist LastPass seit seinem letzten Update ein echter Konkurrent für Dashlane.

Die Synchronisierung deiner Kennwörter zwischen deinem Smartphone und deinem Desktop-PC kostet dich nur einen US-Dollar im Monat. LastPass ist auf Deutsch verfügbar.

Besondere Eigenschaften

LastPass bietet nicht nur eine Zwei-Faktor-Authentifizierung, sondern auch Optionen für die Einrichtung ganz nach deinen Wünschen. Bei der Methode für die Zwei-Faktor-Authentifizierung hat du die Wahl zwischen Google Authenticator, einem USB-Stick und einem YubiKey.

Außerdem bietet LastPass Tools zum automatischen Ausfüllen von Formularen und Unterstützung beim Online-Shopping.

Rezensionen

Das schwierige Thema ist, dass LastPass 2015 gehackt wurde. Ich weiß nicht, wie gut die Sicherheitsmaßnahmen von LastPass im Vergleich mit denen anderer Anbieter sind. Ich möchte jedoch sagen, dass ein großer Benutzerstamm eine Belastung für die Sicherheit darstellt. Je mehr Benutzer ein Unternehmen hat, umso attraktiver ist es für Hacker. Also wenden Hacker hier mehr Zeit und Mühe auf.

2. Dashlane

Passwort Management Dashlane

Übersicht

Eine der besten Eigenschaften von Dashlane ist die anwenderfreundliche Benutzeroberfläche. Und wie du weißt: Je leichter ein Tool zu verwenden ist, umso wahrscheinlicher wird es auch wirklich verwendet.

Lifehacker hat seine Leser gebeten, die Passwortverwaltungen zu nominieren, die ihnen am besten gefallen. Im Nominierungs-Thread für Dashlane lobten laut Lifehacker-Autor Alan Henry viele Anwender das Tool dafür, dass es die Verwaltung von Kennwörtern „einfach und mühelos macht – fast eine angenehme Aufgabe, auf die man wirklich Lust hat.“

„Dashlane ist wahrscheinlich die Passwortverwaltung mit der ausgefeiltesten Benutzeroberfläche“, schreibt Chris Hoffman von How-To Geek.

Auf WIRED bezeichnet April Glaser das Design von Dashlane als „clever und einfach zu verwenden“.

Der zweite große Vorteil von Dashlane liegt darin, dass es völlig kostenlos ist, wenn deine Mitarbeiter es nur auf ihren Arbeitscomputern für ihre arbeitsbezogenen Accounts verwenden. Wenn sie auf mehreren Geräten arbeiten, benötigst du jedoch ein Upgrade. Dies kostet nur 39,99 US-Dollar pro Jahr und Benutzer. Das ist nicht sehr viel Geld für hohe Sicherheit. Wenn du 30 oder mehr Mitarbeiter hast, sieh dir Dashlane Business an. Dashlane ist auf Deutsch verfügbar.

Besondere Eigenschaften

Der große Vorteil von Dashlane (neben dem Preis) besteht darin, dass du anders als bei LastPass die Wahl hast, deine Kennwörter online oder offline zu speichern. Standardmäßig wird die sicherere Offline-Option verwendet, aber du kannst dich auch für die Online-Speicherung entscheiden.

„Wenn du die Benutzerfreundlichkeit von LastPass möchtest, aber dir der Offline-Ansatz von KeePass gefällt, ist Dashlane ein hervorragender Kompromiss, mit dem du mit lokalen Kennwörtern beginnen und auf Wunsch ganz leicht auf eine vollständig synchronisierte Online-Variante umsteigen kannst“, schreibt Fitzpatrick.

Ein Sicherheits-Dashboard analysiert deine Kennwörter, und du kannst es so einrichten, dass es sie automatisch regelmäßig ändert. Wenn du dich dafür entscheidest, deine Passwörter über die Cloud zu synchronisieren, werden sie mit AES verschlüsselt.

Außerdem kannst du mit dem Cyberwallet-Service von Dashlane leicht deine Quittungen erfassen und speichern, um dein Budget zu planen und Aufstellungen deiner Ausgaben anzusehen.

Um deine Daten mit deinem Smartphone und anderen Computern über Cloud-Speicher zu synchronisieren, brauchst du Dashlane Premium für 39,99 $ pro Jahr.

Rezensionen

Capterra-Rezensentin und Netzwerk-Administratorin Micah DeVries verwendet Dashlane seit Jahren. „Ich bin überwältigt davon, wie benutzerfreundlich, sicher und funktionsreich das Tool ist.“ James Parkinson ist begeistert davon, dass er mit Dashlane komplexe Kennwörter verwenden und sie häufig ändern kann. „Ich muss mir nie Zahlen merken und niemals etwas auf Papier notieren, was sehr gefährlich wäre. Der Nutzen von Dashlane ist, dass das Tool einfach, sicher und bequem ist und auf allen Geräten verwendet werden kann.“ Der einzige Nachteil, den er sieht, ist, „dass das Erlernen der Verwendung einige Zeit dauert.“

3. KeePass

Passwort Management KeePass

Übersicht

Das Besondere an KeePass ist ganz einfach: Deine Kennwörter werden nicht in der Cloud gespeichert. Außerdem ist KeePass ein Open-Source-Tool, das ganz leicht erweitert werden kann. Wenn du ein Tüftler bist und das Risiko der Cloud-Speicherung vermeiden möchtest, ist KeePass das Richtige für dich. KeePass ist auf Deutsch verfügbar.

Besondere Eigenschaften

KeePass ist die wahrscheinlich sicherste Option in dieser Liste, sofern du die Cloud nicht verwendest. Du kannst deine Kennwörter in die Formate TXT, HTML, XML und CSV exportieren.

Rezensionen

Die Kehrseite dieser zusätzlichen Sicherheit und Anpassbarkeit sind einige Abstriche bei der Benutzerfreundlichkeit. „KeePass kann man nicht einfach mit ein paar Klicks einrichten und fertig“, warnt Fitzpatrick. Ein weiteres Beispiel: KeePass-Benutzer müssen ihre Kennwörter manuell zwischen ihren Geräten synchronisieren. Du kannst mit Dropbox tricksen, um das zu automatisieren, aber dann sind deine Kennwörter in der Cloud gespeichert – und das ist genau das, was du mithilfe von KeePass vermeiden wolltest.

KeePass „ist nicht allzu leicht zu verwenden“, schreibt Glaser. „Die Benutzeroberfläche ist einfach nicht so sehr optimiert wie die der kommerziellen Alternativen.“

KeePass ist wahrscheinlich nicht die beste Wahl für eine unternehmensweite Passwortverwaltung, da kaum eine hohe Benutzerakzeptanz zu erwarten ist.

4. Clearlogin

Passwort Management Clearlogin

Übersicht

Clearlogin ist eine hervorragende Lösung für Unternehmen.

Die Cloud-basierte Software bietet Integrationen in Hunderte von Apps und unterstützt außerdem individuelle Integrationen. IT-Teams können den Zugriff für Gruppen oder Einzelpersonen leicht im Dashboard gewähren und widerrufen. Die erstellten Berichte sind detailliert genug, um dir zu zeigen, wer versucht hat, sich mit welchen Geräten bei welchen Apps anzumelden, und ob dies erfolgreich war. Außerdem werden alle Kennwortänderungen erfasst.

Besondere Eigenschaften

Zu den Vorteilen von Clearlogin gehören Optionen für die Zwei-Faktor-Authentifizierung und eine einfache Preisgestaltung. Unternehmen zahlen pro Jahr und Benutzer 8 US-Dollar und Bildungseinrichtungen 1,50 $.

Rezensionen

IT-Manager Breanden Duval schreibt, dass Clearlogin „uns definitiv hilft, die Zugriffe unserer Mitarbeiter zu verwalten. Das spart uns jede Woche eine Menge Zeit. Auch die Berichte gefallen mir sehr gut. Ich kann alle Angehörigen unseres Campus anhand ihrer IPs auf die Whitelist setzen und alle Spam-IPs auf die Blacklist, und das sehr schnell.“

IT-Administrator Marc McPherson wollte sicherstellen, dass nur einige der über 50 Personen in seinem Non-Profit von außerhalb des Büros auf bestimmte Cloud-basierte Apps zugreifen konnten. McPherson schreibt, dass dies mit den integrierten Zugriffsregeln von Clearlogin, die auf einer Filterung von IP-Adressen basieren, „kinderleicht“ ist. Außerdem „ist es sehr praktisch, dass Clearlogin eine SSO-Lösung ist. Dies gefällt uns, da es unseren Mitarbeitern ermöglicht, produktiver zu arbeiten, ohne über die Passwortverwaltung nachdenken zu müssen.“

McPherson beschreibt die Einrichtung als „blitzschnell“ und „extrem einfach“.

Das einzige Problem war, dass in Clearlogin einige Anwendungen fehlten, die McPhersons Team verwendet. Diese konnten jedoch innerhalb weniger Tage zum Dashboard hinzugefügt werden.

Schlussbemerkungen

Wenn dir robuste Funktionen und Dokumentation wichtig sind, nimm LastPass. Dashlane ist am besten, wenn du eine clevere, einfach zu erlernende und einfach zu verwendende Benutzeroberfläche suchst. Wenn deine Daten unbedingt sicher sein müssen: KeePass ist am schwersten zu knacken. Und Clearlogin bietet dem Administrator am meisten Kontrolle über das Team.

Welche weiteren Passwort Management Tools hätte ich in diesen Beitrag aufnehmen sollen? Bitte schreib deine Antwort in die Kommentare!

Möchtest du etwas über eine dieser Lösungen sagen? Hinterlasse uns einen Kommentar.

Was ist Passwort Management Software? Teil 1

Passwort Management Software

Fragst du dich, wie die privaten E-Mails von Hillary Clintons Wahlkampfmanager John Podesta an die Öffentlichkeit gedrungen sind?

Passwort Management Software

Motherboard hat mit dem Sicherheitsunternehmen SecureWorks gesprochen. Laut SecureWorks wurde Podesta Opfer einer altbekannten Phishing-Methode. Fancy Bear, ein russisches Hacker-Kollektiv, sendete Mitarbeitern von Hillary Clinton per E-Mail eine verkürzte URL, die zu einer vorgeblichen Gmail-Anmeldeseite führte. Die Opfer gaben ihre E-Mail-Adressen und Passwörter ein, in der Annahme, sie würden sich bei Gmail anmelden. Stattdessen teilten sie so den Hackern ihre Anmeldedaten mit.

Passwort Management Software

Natürlich musst du deinen Mitarbeitern einschärfen, sich die URL genau anzusehen, bevor sie ihre Kennwörter eingeben. Du weißt jedoch auch, dass Cybersicherheit mehr sein sollte als die Hoffnung, dass Menschen das Richtige tun. Am besten gehst du davon aus, dass Menschen ab und zu ein Brett vor dem Kopf haben, und richtest Prozesse ein, die ihnen die Arbeit abnehmen. In diesem Fall hätten die US-Demokraten eine Passwort Management Software dringend gebraucht.

Was ist Passwort Management?

Passwort Management oder Passwortverwaltung funktioniert wie ein Generalschlüssel. Du musst dir nur ein einziges Passwort merken, um dich bei allen Websites anmelden zu können, auf denen du registriert bist. Und das geht so: Du richtest ein Konto für dein Passwort Management ein und wählst ein Master-Kennwort. Dann gibst du an, für welche Websites du die Passwortverwaltung verwenden möchtest, wie FacebookGmail, dein Online-Banking usw. Die Passwortverwaltung erstellt für jede dieser Websites ein extrem sicheres Kennwort. Diese Kennwörter musst du dir nicht merken. Die Software speichert sie.

Passwort Management Software

Eine Passwortverwaltung wird meist als Browser-Plug-In installiert.

Wenn du dich nach Installation der Passwortverwaltung auf einer Website zum ersten Mal anmeldest, wirst du gefragt, ob deine Anmeldeinformationen gespeichert werden sollen. Wenn du zustimmst, wirst du beim nächsten Besuch dieser Website gefragt, ob die Passwortverwaltung deinen Benutzernamen und dein Kennwort automatisch eingeben soll.

Es ist etwa so wie die AutoFill-Funktion von Google Chrome – nur eben sicher.

Eine Passwortverwaltung hätte verhindern können, dass Podestas E-Mails in die falschen Hände gerieten. Wenn Podesta für sein Gmail-Konto eine Passwortverwaltung verwendet hätte, hätte diese ihn beim Aufruf der gefälschten Gmail-Anmeldeseite gefragt, ob er ein Kennwort für diese zum ersten Mal besuchte Website erstellen wollte. Das hätte ihn darauf hingewiesen, dass er sich nicht bei Gmail anmeldete.

Warum Passwort Management?

Der wichtigste Grund, aus dem jeder in deinem Unternehmen Passwort Management verwenden sollte, liegt darin, dass die meisten Mitarbeiter zu einfache Kennwörter wählen und ein und dasselbe Kennwort für mehrere Websites verwenden. Wirklich sichere Kennwörter kann man sich sehr schlecht merken. Was kannst du dir leichter merken, „P@ssw0rt“ oder „asjd;fj&^Ci_“?

Fast niemand denkt sich für jede Website ein neues sicheres Kennwort aus und merkt es sich.

Dies bedeutet: Wenn beispielsweise sein Ashley Madison-Konto gehackt wird und er dasselbe Kennwort auch für seine berufliche Gmail-Adresse verwendet, war’s das mit dem Datenschutz. Alle beruflichen E-Mails dieses Menschen sind jetzt einsehbar.

Nach welchen Kriterien sollte ich eine Passwortverwaltung auswählen?

Hier sind einige wichtige Aspekte für den Vergleich von Passwortverwaltungen. Du wirst wahrscheinlich nicht alle von ihnen brauchen.

Offline-Speicherung

Mit einigen Passwortverwaltungen kannst du deine Kennwörter auf deiner Festplatte speichern statt in der Cloud.

Zwei-Faktor-Authentifizierung

Dies bedeutet einfach, dass du dich zusätzlich identifizieren musst, wenn du dich von einem neuen Gerät aus anmeldest. Beispielsweise kann es sein, dass du einen Code eingeben musst, der per SMS auf dein Handy gesendet wird. Dies ist etwas mehr Aufwand für dich. Es ist jedoch unwahrscheinlich, dass ein Hacker sowohl das Master-Kennwort als auch das Handy seines Opfers hat. Daher trägt es dazu bei, dass nur der echte Benutzer sich anmelden kann.

Automatische Passwortänderung

Deine Passwörter sollten lang und zufällig und sehr unterschiedlich sein. Außerdem sollten sie jedoch auch häufig geändert werden, um es Hackern schwer zu machen. Mit einer guten Passwort Management Software musst du dies nicht selbst tun. Sie erledigt es in bestimmten Zeitabständen automatisch, sodass du nicht einmal darüber nachdenken musst.

Benachrichtigungen

Jeden Tag werden Websites gehackt. Möchtest du wissen, ob es eine Website erwischt hat, die du regelmäßig verwendest? Es kann eine gute Idee sein, dich über Sicherheitsverstöße informieren zu lassen. Einige Passwortverwaltungen senden dir eine E-Mail, andere zeigen dir bei der Anmeldung eine Benachrichtigung an.

Gemeinsame Nutzung von Kennwörtern

Diese Funktion ist vor allem in Unternehmen relevant. Angenommen, du bezahlst für eine Einzelbenutzerlizenz für einen Service, aber mehrere Personen in deinem Team verwenden ihn. (Sowas tust du nicht, oder?)

Passwort Management Software

In diesem Fall solltest du eine Passwortverwaltung verwenden, mit der dies auf sichere Weise möglich ist.

Cyberwallet

Ein Cyberwallet ist eine Software, die deine Bankdaten speichert, sodass du online shoppen kannst, ohne deine Kreditkarte rauszukramen.

Schlussbemerkungen

Fancy Bear klingt vielleicht wie der Name einer neuen Trendbar in Brooklyn, aber in Wirklichkeit ist es etwas sehr Gefährliches. Um deine Informationen vor Fancy Bear und anderen Hackern zu schützen, kann eine Passwortverwaltung sehr nützlich sein.

Nächste Woche sehen wir uns einige Passwort Management Lösungen an.

Verwendest du eine Passwortverwaltungs-Software? Warum oder warum nicht? Bitte schreib deine Antwort in die Kommentare.