15 février 2019

Comment prévenir la cybercriminalité

La cybercriminalité est en hausse. La protection de votre entreprise contre les cyberattaques, et contre leurs conséquences potentielles comme la perte de revenu, la perturbation de vos activités et l’atteinte à la réputation de votre organisation, nécessite des efforts continus et une vigilance constante. Découvrez comment protéger votre entreprise contre la cybercriminalité en gérant les risques et en compliquant la tâche des pirates qui tentent d’exploiter les vulnérabilités de votre technologie, de vos processus et de votre personnel.

Vous avez des questions? Vous êtes prêt à commencer?

Les atteintes à la cybersécurité sont de plus en plus courantes

En 2017, près de 11 000 entreprises canadiennes comptant 10 employés ou plus ont participé à la première Enquête canadienne sur la cybersécurité et le cybercrime1 et ont signalé les incidents qui les ont touchés. Plus d’un répondant sur cinq a indiqué que son entreprise avait été ciblée, et les grandes entreprises étaient deux fois plus susceptibles d’être visées par ces attaques. Les incidents rapportés étaient variés, de l’intervention de pirates tentant d’accéder sans autorisation à différents secteurs pour voler des renseignements personnels ou financiers à l’installation de rançongiciels bloquant l’accès à des données ou à des services jusqu’à ce qu’un paiement soit effectué.

Un rapport d’Accenture réalisé en 2017 et basé sur un sondage effectué auprès de plus de 250 entreprises présentes dans sept pays a révélé que les violations au chapitre de la sécurité avaient augmenté de 27 % depuis 2016 et que le nombre d’attaques par rançongiciel avait doublé de 2016 à 2017. Les entreprises consacrent de plus en plus de temps et d’argent à se remettre des perturbations causées à leur organisation et à leurs clients. Les coûts financiers associés aux cyberattaques ont augmenté de 62 % depuis les cinq dernières années2, et le temps requis pour contrer les attaques de programmes malveillants et les rançongiciels est également en augmentation (moyenne de 55 et 23 jours2, respectivement).

L’étude d’Accenture a également révélé que les plus grandes entreprises étaient plus susceptibles d’être victimes d’attaques de déni de service et de programmes malveillants, alors que les plus petites entreprises risquaient davantage d’être touchées par des logiciels malveillants ou de l’hameçonnage.

Cliquez ici pour en savoir plus sur les vulnérabilités typiques

Nous avons tous déjà reçu des courriels qui ressemblaient à des demandes de renseignements légitimes, où l’on nous demandait de cliquer sur un lien ou de télécharger une pièce jointe, mais qui, en y regardant de plus près, semblaient suspects.

Par le passé, ces courriels étaient souvent risibles et non professionnels. Mais ils deviennent de plus en plus sophistiqués. De nombreux pirates font des recherches approfondies pour adapter les courriels en y ajoutant des renseignements précis et personnalisés. Il est facile de se laisser berner.

En cliquant sur un lien, vous pourriez installer sur votre système un rançongiciel ou un logiciel malveillant conçu pour enregistrer des données de frappe, ou encore altérer ou voler des fichiers. On peut aussi vous rediriger sur une page apparemment identique à un site légitime que vous consultez fréquemment et où on vous demande d’ouvrir une session. Les pirates accèdent ainsi à votre mot de passe, à votre nom d’utilisateur et à d’autres données sensibles.

Les brèches de sécurité se produisent d’autres façons également, que ce soit lorsque vous cliquez sur des liens corrompus sur des sites Web ou lorsqu’une clé USB infectée est insérée dans votre ordinateur portable. Les pirates peuvent aussi cibler délibérément votre système de réseau pour y accéder.

Prévenir le cybercrime

Pour protéger votre entreprise contre la cybercriminalité, vous devez établir une stratégie à multiples facettes. Diminuez votre vulnérabilité en travaillant sur les points faibles de votre technologie et de vos processus. Prenez les mesures suivantes:

  • Mettez en place des processus rigoureux de réponse, de sauvegarde et de récupération des données.
  • Assurez-vous que des pare-feux, un logiciel antivirus et des contrôles de sécurité des points d’extrémité sont activés et mis à jour régulièrement.
  • Analysez les anomalies dans le comportement du réseau.
  • Installez un logiciel de détection des anomalies dans le comportement du réseau.
  • Limitez l’accès aux systèmes et aux données en fonction des tâches de chacun et répartissez les responsabilités financières entre les employés.

Siva Ram, responsable en chef de la sécurité et des fraudes, service mondial de gestion des liquidités et de trésorerie de la HSBC, indique que les précautions de base à prendre pour protéger les systèmes financiers de votre entreprise et repérer toute brèche potentielle comprennent «des approbations à plusieurs niveaux, une intégration sécuritaire des systèmes internes et bancaires et un rapprochement quotidien des comptes afin d’éviter les paiements non autorisés ou de repérer rapidement ces paiements».

De plus, ces processus et vérifications internes doivent être uniformes au sein de l’entreprise et être mis à l’essai régulièrement.

Oui à la technologie, mais à la formation aussi

De nombreux outils fournissent des lignes de défense solides contre la cybercriminalité, de l’utilisation de systèmes de renseignements de sécurité et de commandes perfectionnées de périmètre de sécurité au déploiement de technologies de chiffrement.

Mais la formation est tout aussi importante. Comme Siva Ram l’indique, «la plupart des accès non autorisés sont commis au moyen de fraude par usurpation d’identité ou par hameçonnage, où la vulnérabilité provient du comportement de l’utilisateur plutôt que des failles de l’infrastructure».

Il faut donc encourager tous les employés à adopter une saine méfiance relativement à tout courriel inhabituel, lien Internet, clé USB ou autre élément à risque. La vigilance est essentielle. Les conseils pratiques pour prévenir la cybercriminalité comprennent les suivants :

  • Vous ne devez jamais ouvrir des pièces jointes, cliquer sur des liens ou télécharger des logiciels de sources inconnues ou de sites Web louches.
  • Signalez les comportements inhabituels comme l’affichage de fenêtres intempestives, un temps de réponse très long ou des demandes répétées de saisie de vos codes de sécurité.
  • N’utilisez pas le même mot de passe pour l’ouverture de session sur des sites différents, et changez fréquemment vos mots de passe.
  • N’utilisez pas la connexion Wi-Fi des réseaux publics lorsque vous utilisez vos ordinateurs pour le travail.
  • Assurez-vous de protéger votre ordinateur portable ou vos appareils mobiles contre le vol.

Si une brèche de sécurité se produit et qu’un employé pense avoir été, par mégarde, victime d’un cybercrime, il doit être encouragé à communiquer ce renseignement immédiatement, sans craindre des répercussions. Plus une brèche est signalée rapidement, plus vous avez d’options pour résoudre le problème et prévenir des dommages supplémentaires.

Vous souhaitez en savoir plus sur la prévention d’attaques de cybercriminalité?

Nous avons rassemblé quelques documents généraux sur les moyens de protéger votre entreprise contre le cybercrime, dont des conseils pratiques pour lutter contre les fraudes par téléphone et messages textes, l’hameçonnage et les logiciels malveillants.

1 https://www150.statcan.gc.ca/n1/daily-quotidien/181015/dq181015a-fra.htm
2 https://www.accenture.com/t20170926T072837Z__w__/us-en/_acnmedia/PDF-61/Accenture-2017-CostCyberCrimeStudy.pdf

Dénis de responsabilité

Les renseignements fournis ne sont pas nécessairement exhaustifs et ne sauraient être interprétés comme des conseils professionnels de nature financière, juridique, fiscale ou autre. Vous ne devriez pas agir sur la foi de cette information sans avoir obtenu les conseils d’un professionnel. Le présent document a été préparé avec soin, mais la HSBC ne peut garantir, ni s’engager à déclarer (explicitement ou implicitement) que ces renseignements sont exacts et complets. Les renseignements présentés dans ce document peuvent être modifiés sans préavis.

Certains des produits et services proposés par la HSBC, ses filiales et ses sociétés affiliées sont offerts sous réserve d’une approbation de crédit. Ce document ne saurait constituer une offre de fournir les services et les produits qui y sont décrits et la prestation de ces services et produits demeure assujettie au contrat.

Publié par la Banque HSBC Canada (la «HSBC»)

Vous êtes sur le point de quitter le site de la HSBC au Canada pour les clients entreprises.

Veuillez prendre note que les politiques du site externe sont différentes de celles de notre site Web et de la politique en matière de confidentialité. Le prochain site s'ouvrira dans une nouvelle fenêtre ou dans un nouvel onglet du navigateur.

Vous quittez le site Web des services aux entreprises de la HSBC.

Veuillez noter que les politiques du site externe seront différentes des conditions et de la politique de confidentialité de notre site Web. Le prochain site s’ouvrira dans une nouvelle fenêtre de navigation ou dans un nouvel onglet.