La cybersécurité est importante. Outre les dommages que peut causer une cyberattaque à vos données financières sensibles et à celles de vos clients, elle peut également entacher pour longtemps la réputation de votre entreprise.
Il peut sembler injuste que les clients tournent le dos à une entreprise victime d’une cyberattaque, mais c’est exactement ce qui pourrait se produire. KPMG a récemment réalisé un sondage auprès des Canadiens au sujet de la cybersécurité et a découvert que 90 % d’entre eux hésitent à transmettre leurs renseignements personnels ou financiers à une entreprise qui a été victime d’une cyberattaque ou d’un accès non autorisé.
Mark Sangster, vice-président et stratège en matière de sécurité industrielle d’eSentire, une entreprise de cybersécurité de Waterloo, affirme que « la majorité des cyberattaques visent les PME et passent souvent inaperçues, car elles ne font pas les manchettes comme leurs grandes cousines du Fortune 500 ou les marques connues comme les chaînes d’hôtels, les banques ou les sociétés aériennes ».
Types courants de cyberattaques à l’endroit des PME canadiennes
Les cybercriminels ciblent les petites entreprises de façon de plus en plus sophistiquée. Les entreprises font face à de nombreuses menaces courantes. Selon le Bureau d’assurance du Canada, elles comprennent les menances ci-dessous.
- Attaques par rançongiciels : ces attaques sont ainsi nommées parce que leurs auteurs prennent en otage des données ou des fichiers sensibles en les chiffrant, ce qui empêche l’entreprise d’y accéder à moins de verser une rançon aux cybercriminels.
- Logiciels malveillants : il s’agit de logiciels masqués qui sont installés sur un ordinateur afin de le surveiller, d’extraire ses données ou de les envoyer ailleurs.
- Hameçonnage : un cybercriminel berne des clients en faisant semblant d’être un employé ou un représentant d’une entreprise pour les amener à poser des gestes risqués ou à télécharger un logiciel malveillant.
- Déni de service : imaginez une sorte de saccage virtuel. Des cybercriminels engorgent les serveurs d’une entreprise avec tant de requêtes qu’une partie ou l’ensemble de ses services ne sont plus accessibles.
Comprendre la fraude du président
Un autre type courant d’attaque est la fraude du président, qui est souvent utilisée pour envoyer des factures frauduleuses.
« La fraude du président est effectuée avec des courriels hameçons qui semblent provenir d’un administrateur et qui présentent de fausses factures pour obtenir des paiements, qui seront transmis à des criminels plutôt qu’à un fournisseur autorisé », explique M. Sangster. « Les attaques de type fraude du président les plus simples prennent la forme de faux courriels avec une facture en pièce jointe pour obtenir des paiements de la part d’entreprises qui n’ont pas de contrôles financiers adéquats, comme l’exigence de deux signatures ou de deux approbations. »
Avantages de la cybersécurité pour les PME canadiennes
Dans un contexte rempli de risques et de personnes malveillantes, votre entreprise pourrait bénéficier de la mise en place d’une stratégie de cybersécurité. La bonne nouvelle est que les propriétaires d’entreprise peuvent souvent mettre en place rapidement des mesures de cybersécurité à l’aide d’employés qui s’y connaissent ou d’experts externes, selon Nate Nead, chef de la direction de Dev.co, une entreprise de développement de logiciels sur mesure.
« Sans de telles mesures, un simple piratage du réseau Wi-Fi personnel d’un employé qui travaille de la maison pourrait entraîner un accès non autorisé aux serveurs privés d’une entreprise. La menace est plus grande que jamais », affirme-t-il.
Les entreprises canadiennes qui gèrent leur cybersécurité peuvent :
- prédire et prévenir les risques de cyberattaques;
- éviter des pertes financières et l’atteinte à leur réputation;
- protéger les renseignements de leurs clients, de leurs employés et de leurs fournisseurs; et
- assurer la stabilité de leurs services et de leur productivité.
« Vous pouvez prendre quelques mesures pour améliorer immédiatement la sécurité de votre entreprise à peu de frais », dit John Svazic, fondateur et consultant principal d’EliteSec, une entreprise de services-conseils en cybersécurité de l’Ontario. Vous pouvez :
- installer des logiciels antivirus sur chaque ordinateur, téléphone et tablette de l’entreprise;
- utiliser l’authentification à deux facteurs pour les courriels (un code de sécurité et un mot de passe); et
- utiliser un gestionnaire de mots de passe au lieu de les partager entre les équipes.
« Ce sont pour moi les mesures minimales que toute entreprise doit prendre pour assurer sa sécurité, peu importe sa taille », dit M. Svazic.
Pourquoi la cybersécurité évolue
Le phénomène du télétravail a été commode pour un grand nombre d’employés, mais il a également créé d’énormes vulnérabilités, selon Nate Nead. « Nous encourageons fortement beaucoup d’entreprises à utiliser un chiffrement intégral de plus grande qualité sur leurs réseaux privés, ainsi que de meilleures mesures d’authentification pour l’accès à distance », dit-il.
Toutefois, les effets de la pandémie sur le monde des affaires ne représentent qu’une partie de l’augmentation actuelle des cyberrisques. Une grande partie de l’exposition des PME à ces risques est causée par la nature changeante des logiciels et du stockage.
Il y a plusieurs années, les PME exécutaient leurs applications sur un serveur local sur place, et toute l’information y était sauvegardée. En passant au stockage infonuagique, les entreprises pouvaient toujours contrôler et sauvegarder leurs bases de données. De nos jours, la plupart des logiciels sont également infonuagiques, et les entreprises utilisent une panoplie d’applications pour gérer des magasins, des listes de distribution et des sites Web.
« Les données qui étaient centralisées sont devenues décentralisées, et les dispositifs de sauvegarde traditionnels n’ont pas pu suivre le rythme », explique Mike Potter, chef de la direction et cofondateur de Rewind, un service de sauvegarde pour applications Web d’Ottawa. « Les appareils de sauvegarde doivent devenir distribués pour soutenir les données distribuées entre les applications. Dans le contexte commercial actuel, nous devons aller au-delà des appareils de sauvegarde élémentaires et miser sur une protection complète des données infonuagiques qui sécurise autant de données essentielles de l’entreprise que possible sur toutes les plateformes », dit-il.
Le présent article est présenté à des fins d’information générale uniquement. Il n’a pas pour but de donner des conseils juridiques ni n’exprime une opinion sur quelque question que ce soit. Il ne doit pas être considéré comme étant exhaustif et ne peut remplacer des conseils professionnels.