• Innovation et transformation
    • Améliorer l’efficacité

Comment protéger votre entreprise contre les cybercriminels

  • Article

Selon l’Autorité canadienne pour les enregistrements Internet (ACEI), huit entreprises canadiennes sur 10 ont été victimes de brèches de sécurité informatique ou de cyberattaques en 2021. On parle d’environ un million d’entreprises. Imaginez l’hécatombe à l’échelle mondiale.

Plus rien n’étonne Barry Searle, directeur de l’éducation, Cyber Stars Initiative. Il a consacré sa carrière à aider les gens à comprendre les mesures pratiques qu’ils peuvent prendre pour se protéger, eux et leurs entreprises.

Mais la menace est-elle réelle? «Il s’agit d’un marché de 2,5 billions de dollars américains. Les cybercriminels peuvent faire fortune. À l’échelle mondiale, une cyberattaque ou un cybercrime sur 400 fait l’objet d’une enquête», explique M. Searle.

En fait, les attaques qui ciblent les petites et moyennes entreprises affichent la plus forte croissance. Pourquoi? Voici l’explication de M. Searle : «Votre entreprise possède une valeur économique, elle mise énormément sur Internet et se vante (avec raison) de son succès, mais vous n’avez peut-être pas encore investi autant dans l’infrastructure que les grandes entreprises pour vous protéger.»

Selon Peter Buckley, responsable en chef de la technologie et de la cyberrésilience de la Banque HSBC Canada, c’est plus facile que jamais pour les malfaiteurs.

«Il existe aujourd’hui un énorme potentiel de gains et beaucoup moins de risques, affirme M. Buckley. Nous sommes à l’ère de la vente de services de logiciels malveillants, où les outils de pointe s’achètent et se vendent à bon marché et s’utilisent pour attaquer n’importe quelle entreprise.»

Une attaque fructueuse contre votre entreprise n’est pas pour autant inévitable. Il existe cependant des mesures simples, économiques et rapides afin de vous protéger contre cette menace bien réelle.

1. La sensibilisation d’abord et avant tout

D’après Peter Buckley, les entreprises doivent concilier leurs efforts pour assurer la croissance de leur entreprise et ceux qu’ils déploient pour la protéger. «La meilleure façon de protéger votre entreprise, explique M. Buckley, consiste à informer vos employés au sujet des éléments qu’ils doivent surveiller.» Barry Searle est d’accord. «Plus de 90 % des cyberattaques sont facilitées par une erreur humaine», explique-t-il. Comment l’éviter? En intégrant la sensibilisation à la culture.

Selon M. Searle, une communication efficace est essentielle pour améliorer la réponse aux cybermenaces, car ce sont les gens qui sont ciblés en premier lieu.

«Tant qu’elle est à jour, la technologie est cohérente – contrairement aux gens, ajoute-t-il. Les cybercriminels ont compris qu’ils ont plus de chance de succès s’ils manipulent les gens.»

Il recommande d’utiliser la technologie en soutien aux employés. De simples ajouts, comme les gestionnaires de mots de passe, l’authentification multifacteur et les réseaux privés virtuels (RVP), réduisent les attaques les plus courantes.

L’autre mesure importante que vous pouvez prendre, c’est d’enseigner la prudence aux gens. Neuf cyberattaques sur 10 commencent par un courriel – il faut bien un vecteur de transmission – et nos boîtes de réception débordent. «Toutes les 60 secondes, 188 millions de courriels circulent dans le monde, selon M. Searle. En fait, en gérant mieux les courriels, nous pouvons atténuer plus ou moins immédiatement l’essentiel du cyberrisque.»

Il fait toutefois une mise en garde contre la phobie des courriels. «Les courriels sont indispensables, mais il faut apprendre à les gérer comme s’il s’agissait de traverser une intersection. En appliquant aux courriels la règle des deux ou trois secondes pour franchir une intersection, nous pouvons éliminer 90 % du risque pour l’entreprise.»

2. Il ne faut pas penser seulement aux ordinateurs portables et aux téléphones

Nous – et les objets que nous utilisons – sommes plus connectés que jamais. De la voiture à la machine à café, tout peut être connecté à Internet. M. Searle souligne que ces objets sont devenus les «portes et fenêtres» qu’un cybercriminel peut utiliser pour s’introduire dans votre entreprise.

Et le risque va croissant. «Le nombre d’objets courants connectés à Internet atteint 50 milliards, selon M. Searle. C’est tant mieux du point de vue de l’efficacité. Mais, un seul de ces appareils sur cinq est sécurisé, ce qui augmente la vulnérabilité de l’entreprise.

«L’attaque de type “homme du milieu” est de plus en plus fréquente, ajoute-t-il. Elle découle du fait que nous omettons de couper le Wi-Fi et le Bluetooth lorsque nous ne sommes pas en ligne. Or, ces derniers cherchent constamment à se connecter.»

«Les pirates se contentent de reproduire la fréquence susceptible d’être reconnue par votre appareil… qui se connecte à votre insu.»

Ça vaut la peine de désactiver le Bluetooth et le Wi-Fi lorsque vous ne l’utilisez pas.

3. Corriger et mettre à jour vos systèmes

Nous sommes tous coupables de retarder les mises à jour de nos appareils le plus longtemps possible parce qu’elles nous empêchent de nous connecter pendant une courte période. Mais, en fait, ces mises à jour sont essentielles pour corriger les vulnérabilités des systèmes d’exploitation.

«S’il y avait une option pour reporter [une mise à jour] pendant 400 ans, nous la choisirions sans doute pour la plupart afin de nous en débarrasser», estime M. Searle.

«De fait, de 250 à 300 cyberattaques sont lancées chaque minute. Vous êtes beaucoup plus vulnérable si vous ne mettez pas à jour vos logiciels. Il ne s’agit donc pas seulement de procéder à la mise à jour de nos systèmes et réseaux quand bon nous semble, mais aussi de l’automatiser sur tous les appareils afin d’optimiser la sécurité – de tenir portes et fenêtres verrouillées en tout temps.»

Peter Buckley convient qu’il est essentiel d’installer les plus récents correctifs de sécurité.

«Les pirates informatiques n’ont besoin que d’un seul point faible pour accéder à un système. À partir de là, ils peuvent causer des dommages et entraîner des dépenses considérables, dit-il. S’ils réussissent une de leurs attaques, ils sont encore plus susceptibles d’essayer encore et encore.»

Barry Searle juge également important d’investir dans un antivirus et un antimaliciel. «J’ai dit que l’être humain est la meilleure solution, mais les antivirus et les antimaliciels stoppent plus de 98 % des virus existants», ajoute-t-il.

4. N’oubliez pas les télétravailleurs

Dans la dernière année, en raison de la pandémie, les entreprises du monde entier ont dû adapter rapidement leur mode et leur lieu de travail, notamment.

Le télétravail a permis dans bien des cas de poursuivre les activités et, pour nombre d’employés, le retour au bureau risque beaucoup moins de se faire à temps plein.

«L’augmentation du travail à la maison et à distance multiplie et fait évoluer les menaces», constate M. Searle. Il conseille notamment de revoir les politiques en matière de TI et de médias sociaux, d’inciter les collègues à modifier leur mot de passe de routeur par défaut et de séparer les réseaux.

5. Les sauvegardes

L’idée peut sembler simple, mais la sauvegarde régulière des données critiques peut être la clé pour réagir à un cyberincident.

«La seule vraie façon de réagir à une cyberattaque sans verser de rançon est d’éradiquer le maliciel et de rétablir le système à l’aide d’une sauvegarde. Mais, ça ne sert à rien d’effectuer des sauvegardes chaque semaine et chaque mois sans en vérifier le bon fonctionnement, affirme Barry.

«Récemment, dans une centrale électrique qui sauvegardait certaines données chaque semaine depuis des années, lorsque le système est tombé en panne, on s’est rendu compte que la sauvegarde ne s’était pas exécutée depuis trois ans – il n’y avait rien. Ne vous contentez pas d’effectuer des sauvegardes; vérifiez tous les six mois que les données ont bien été enregistrées.»

M. Searle considère aussi qu’il vaut la peine d’examiner toute entente conclue avec des fournisseurs de services infonuagiques. Selon l’entente, il pourrait s’écouler des jours avant que vous obteniez les données dont vous avez besoin pour relancer votre entreprise, une réalité coûteuse.

Sommaire

Les conseils ci-dessus n’entraînent pas de coûts énormes, le cas échéant. En fait, la responsabilité individuelle et l’information transmise aux employés constituent la meilleure défense contre les cybercriminels.

«Il s’agit de vous montrer plus proactifs dès le départ afin de limiter le risque d’une attaque, conclut M. Searle. Si votre entreprise était victime de 200 ou 300 crimes physiques : vandalisme, vol, incendie criminel, dommages causés à vos biens ou à votre propriété, vous changeriez votre façon de faire.

«Comme nous ne voyons pas les cybermenaces comme des attaques physiques, nous négligeons de prendre des mesures simples : ajouter un antivirus à tous nos appareils mobiles, modifier les mots de passe par défaut du routeur ou sécuriser le mot de passe des comptes d’administration. Ces conseils ne sont pas du tout techniques, ils exigent simplement de tenir compte du risque et d’agir en conséquence.»

Besoin d'aide?

Vous avez des questions? Vous êtes prêt à commencer? Demander qu'on vous rappelle