LA CYBERSÉCURITÉ ET LA FRANCHISE : PROTÉGER LA MARQUE TOUT EN ÉVITANT LA RESPONSABILITÉ DU FAIT D'AUTRUI (PARTIE 2)
Par F. Georges Sayegh
F. Georges Sayegh, D.S.C., Adm. A., FCMC du Québec et de l'Ontario, est expert- conseil en franchise et transfert de technologie et auteur de 18 livres sur les franchises et les commerces associés. Parmi ses ouvrages, nous retrouvons « Les secrets de commerce et les renseignements confidentiels ». Visitez sa page de consultant ici
Pour le rejoindre : gsayegh@gsayegh.com ; Tél.: (514) 216-8458.
Cette publication est la deuxième et dernière partie d'un article paru le mois dernier. Cliquez ici pour consulter la première partie.
Stratégie de franchise pour le renforcement de la cybersécurité
Un aperçu de la préparation à la cybersécurité :
- Dédier des ressources humaines spécifiques à la sécurité des données et au respect de la confidentialité.
- Mener une évaluation/audit des risques. Cartographier les données du système de franchise en posant les questions suivantes : quelles informations sont stockées ? Qui a accès ? Est-ce indispensable ? Si c’est essentiel, est-ce correctement chiffré ? Si ce n'est pas indispensable, doit-on continuer à stocker ? Les entreprises devraient se débarrasser des données inutiles s'il agit d'une décision commerciale raisonnable.
- Impliquer des spécialistes pour déterminer quelles lois et exigences contractuelles s'appliquent au système franchisé et aux données découvertes grâce à l'exercice de cartographie.
- Demander à des spécialistes d'examiner les politiques de sécurité des données et de confidentialité du système de franchise, de les créer si nécessaire ou de les modifier pour se conformer aux lois applicables. Assurer la cohérence des politiques internes et des politiques partagées avec le public.
- Sélectionner les polices d'assurance cyber appropriées pour le franchiseur et exiger des franchisés qu'ils obtiennent une assurance appropriée. Les conseillers et les gestionnaires de risques expérimentés en matière de franchise, de cybersécurité et d'assurance jouent ici un rôle essentiel.
- Parallèlement, examiner et mettre à jour les contrats commerciaux avec des tiers (par exemple, les fournisseurs de points de vente, les fournisseurs de progiciel sur mesure pour un réseau de franchise en particulier) pour assurer une protection cohérente et appropriée à la lumière des types de données concernées.
- Examiner le contrat de franchise, le manuel d'exploitation, le manuel du franchiseur, le manuel de formation, le manuel de l’animateur de réseau, le manuel de la technologie de l’information, le manuel de sécurité, et tout autre documentation du système pour les protections et les politiques appropriées.
- Adoptez un plan de réponse aux incidents de cybersécurité.
En conclusion,
La transformation numérique et l'hyperconvergence créant des passerelles involontaires vers les risques, les vulnérabilités, les attaques et les défaillances, une stratégie de cyber-résilience devient rapidement nécessaire pour l’entreprise. Une stratégie de cyber-résilience aide l’entreprise à réduire les risques, l'impact financier et les atteintes à sa réputation.
Les logiciels malveillants modifient souvent les configurations avant de corrompre les données elles-mêmes. Il est donc essentiel de détecter tout changement de configuration avant que les données réelles ne soient infectées. La fonction de configuration de la plate-forme de Cyber Incident Recovery et autres protège les données de configuration des charges de travail, applications, systèmes de stockage et périphériques réseau virtuels et physiques de stockage et de périphériques réseau dans des environnements sur site, dans des clouds publics, hybride et multicloud.
La protection d’un réseau de franchise est un processus continu, qui nécessite une planification minutieuse. Mais avec les bonnes personnes, la technologie et les politiques en place, chaque franchiseur aura plus de chances de trouver et de corriger les vulnérabilités, de détecter et de contrecarrer les menaces et d'éviter les catastrophes.
Il faut que l’entreprise créé des modèles de plan d'intervention en tenant compte, notamment :
1. Modèle de plan de réponse aux incidents
- Responsabilités de l'équipe de réponse aux incidents ;
- Tests et mises à jour des modèles d’intervention ;
- Aperçu du processus de réponse aux incidents ;
- Listes de contrôle de la réponse aux incidents : Découverte et confirmation de l'incident,
- Confinement et continuité, Éradication, Récupération, Leçons apprises.
2. Plan de réponse aux incidents
- Équipe de réponse aux incidents ;
- Notifications de réponse aux incidents ;
- Responsabilités des employés ;
- Types d'incidents ;
- Définition d'une violation de la sécurité ;
- Procédure de classification des incidents potentiels ;
- Procédure de réponse ;
- Récupération ;
- Tests périodiques et remédiation.
3. Modèle de réponse aux incidents
- Rôles, responsabilités et informations de contact ;
- Classification des menaces ;
- Conformité et obligations légales ;
- Phases de la réponse aux incidents et mesures prises.
4. Plan de réponse aux incidents de sécurité
- Comment reconnaître un incident de sécurité ;
- Rôles et responsabilités ;
- Contacts externes ;
- Cartes de paiement - que faire en cas de compromission ;
- Étapes de la réponse à un incident :
- Signaler, enquêter, informer ;
- Maintenir la continuité ;
- Résoudre et récupérer ;
- Examiner ;
- Types spécifiques de réponse aux incidents :
- Logiciel malveillant ;
- Falsification des terminaux de paiement ;
- Points d'accès sans fil non autorisés ;
- Perte d'équipement ;
- Non-respect des politiques de sécurité ;
- Test et mises à jour périodiques du plan de RI.
5. Plan de réponse aux incidents du département de la technologie
- Procédure de réponses aux incidents renvoyant à des plans plus détaillés pour des types d'incidents spécifiques tels que les logiciels malveillants, les pannes de système, les tentatives d'ntrusion actives.
6. Modèle de réponse aux incidents
- Objectif ;
- Champ d'application ;
- Définitions et exemples d'incidents ;
- Rôles et responsabilités ;
- Étapes et procédures de réponse aux incidents.
Finalement, créé un programme de formation à la sensibilisation à la cybersécurité et des étapes pratiques pour instaurer une culture de la sécurité dans l'ensemble de l'entreprise, y compris comment :
- Élaborer une stratégie de sensibilisation à la sécurité d'abord ;
- S'appuyer sur des défenseurs pour créer un programme de sensibilisation efficace ;
- Établir un budget spécifique couvrant les programmes de cyber sécurité ;
- Présenter une formation de sensibilisation à la cyber sécurité à des cadres supérieurs ;
- Promouvoir et renforcer le programme de sensibilisation à la sécurité ;
- Savoir où en sont les autres organisations grâce à des informations et des points de référence ;
- Découvrir les meilleures pratiques et les composantes essentielles d'un programme efficace ;
- Définir les rôles et les responsabilités de votre équipe ;
- Développer un plan de réponse aux incidents plus matures grâce à des étapes concrètes ;
- Se connecter à des ressources industrielles de référence sur la gestion des incidents.
Voilà donc quelques éléments dont les gestionnaires des réseaux de franchises doivent se pencher pour faire évoluer l'ensemble de leur organisation vers un état d'esprit axé sur la sécurité.