Cybersécurité pour les propriétaires d’entreprise: Comment protéger votre entreprise de la fraude
Lecture de 15 minutes
Si vous n’avez pas encore mis en place des mesures de protection contre le cybercrime, vous pourriez changer d’avis à la lecture de cette statistique inquiétante tirée d’une étude d’IBM: le coût moyen d’une atteinte à la protection des données pour une entreprise canadienne en 2023 avoisinait 7 millions de dollars.
La situation ne s’améliore pas pour les propriétaires qui voient leur entreprise attaquée par des organisations sophistiquées, bien outillées, ou des acteurs indépendants qui recourent à des outils faciles à utiliser et peu coûteux.
Pourtant, malgré la fréquence, la gravité et le coût croissants des cybercrimes, de nombreuses entreprises canadiennes n’ont pas fait de la gestion des cyberrisques une priorité. Par exemple, seulement 55 % des entreprises forment leur personnel contre d’éventuelles cyberattaques, selon un sondage de BDC.
Est-ce que les entreprises ne sont pas prêtes parce qu’elles ne se considèrent pas comme une cible? Ou parce qu’elles ne détiennent pas l’expertise technique nécessaire? Ou parce qu’elles ne tiennent pas compte du risque commercial?
Nous savons que de nombreuses entreprises canadiennes sont vulnérables à d’importantes menaces.
Comment les entreprises sont-elles touchées par la fraude en ligne?
Comme les attaques en ligne d’entreprises de grande notoriété font les manchettes, vous pourriez penser que votre entreprise plus petite pourrait passer inaperçue. Toutefois, vos moyens de défense moins robustes font de votre entreprise une cible de choix pour les cybercriminelles et cybercriminels qui pourraient pirater votre système pour réaliser des profits rapides, voler des renseignements personnels précieux ou accéder aux systèmes de grandes organisations partenaires.
Une étude de Mastercard a révélé que les entreprises en activité depuis moins de cinq ans – catégorie comptant de nombreuses petites entreprises – sont plus susceptibles d’être victimes d’une atteinte que d’autres.
Une attaque peut être dévastatrice pour une petite entreprise et engendrer de nombreuses conséquences:
- Temps d’arrêt des opérations
- Pertes financières
- Atteinte à la réputation
- Répercussions juridiques et réglementaires
- Répercussions sur les relations avec les entreprises fournisseuses et les partenaires
- Coûts liés à la sécurité et à la technologie
- Stress du personnel
De plus, la confiance de la clientèle peut être fortement ébranlée. Selon l’étude de Mastercard, plus de 80 % des consommatrices et consommateurs affirment ne pas vouloir s’approvisionner auprès d’une entreprise qui ne leur inspire pas confiance en termes de protection de leurs données.
Comme de nombreuses entreprises canadiennes se tournent vers les plateformes en ligne pour accroître leur rayonnement, il semble essentiel qu’elles élaborent et tiennent à jour une solide stratégie de cybersécurité, et qu’elles créent, idéalement, un plan d’intervention en cas d’incident grave qui est revu régulièrement.
Comment les entreprises subissent-elles des atteintes à la protection des données?
Les entreprises peuvent être victimes de divers incidents de perte de données ou d’atteinte à la sécurité des systèmes. En envoyant fréquemment des courriels d’hameçonnage dans l’espoir que le personnel clique dessus, les personnes ayant des activités cybercriminelles comptent accéder aux systèmes d’une entreprise et à tous les renseignements sensibles qu’il est possible d’y trouver.
Les pirates informatiques détiendront alors parfois cette information contre une rançon.
Le rançongiciel, arme constituant l’une des menaces les plus courantes pour les entreprises canadiennes de nos jours, compte pour quatre incidents de perte de données sur cinq, selon une étude récente de Verizon.
Quelques conseils pour vous aider à repérer un message frauduleux
Les fraudeuses et fraudeurs utilisent un éventail de plateformes pour tenter de duper leurs cibles, y compris des courriels, des messages textes, des appels téléphoniques et des codes QR. Les messages frauduleux sont de plus en plus sophistiqués et difficiles à repérer. Toutefois, vous pouvez souvent déceler un ou plusieurs des indices suivants:
1. Étrangeté du nom de domaine ou du site Web
Les messages frauduleux, généralement conçus pour donner l’impression de provenir d’une source de confiance, peuvent avoir un nom de domaine (la partie qui suit le @) ou contenir une adresse de site Web semblant être une organisation légitime. Soyez à l’affût d’éléments comme une coquille dans le nom de domaine, un faux sous-domaine (par exemple, company.xyz.com) ou l’utilisation d’un domaine public comme Gmail.
2. Contexte inhabituel
Les messages peuvent comprendre des erreurs d’orthographe ou de grammaire et recourir à un ton différent de celui employé pour la correspondance officielle. Vu la multitude d’outils d’aide à la rédaction et à l’examen des courriels (ne laissant aucune erreur flagrante), les destinataires doivent donc faire preuve de vigilance à l’égard des messages reçus dans un contexte inhabituel.
3. Pièces jointes ou liens suspects
En général, les auteurs de menaces tentent d’entrer en contact avec les destinataires pour obtenir de l’information, les encourager à divulguer leur nom d’utilisateur et leur mot de passe ou les inciter à prendre une mesure qui peut compromettre leurs systèmes. Dans les deux derniers cas, le message comprendra généralement un lien malveillant ou une pièce jointe malveillante, qui semble souvent provenir d’un site légitime.
Vérifiez toujours un lien avant de cliquer dessus en faisant passer le curseur sur l’hyperlien. Si vous voulez visiter un site, entrez l’adresse manuellement dans votre barre de recherche.
De plus, portez particulièrement attention au téléchargement de pièces jointes avec les extensions de fichiers suivantes (les trois lettres juste après le point à la fin du nom du fichier):
- exe
- iso
- zip
- rar
- msi
4. Sentiment d’urgence
Les messages d’hameçonnage tentent souvent de créer un sentiment d’urgence en indiquant, par exemple, que l’on doit prendre des mesures immédiatement pour éviter la suspension d’un compte ou pour être admissible à un prix. Souvent, ces messages jouent sur l’actualité. En cas de catastrophe naturelle, par exemple, le message pourrait sembler venir d’une entreprise de services publics ou d’une campagne d’aide humanitaire sollicitant des dons.
De bonnes pratiques pour protéger votre entreprise contre la fraude en ligne et les cyberattaques
Pour protéger votre entreprise contre la fraude en ligne et les cyberattaques, faites preuve de proactivité de manière à savoir reconnaître les menaces et agir en conséquence. Voici quelques étapes de base à inclure dans le plan de cybersécurité de votre entreprise:
Formez les membres de votre personnel pour les conscientiser sur les menaces
Assurez-vous que tous les membres du personnel lors de leur arrivé dans l’entreprise reçoivent une formation sur la cybersécurité, formation qui est mise à jour régulièrement. Offrez une formation personnalisée aux groupes qui risquent davantage d’être ciblés, comme les membres de la direction, les adjointes administratives et adjoints administratifs et les spécialistes des TI. Solidifiez la culture de cybersécurité de votre entreprise en fournissant des mises à jour pertinentes et en temps opportun.
Renseignez-vous sur les meilleures pratiques
Communiquez avec des organisations comparables, des groupes du secteur et des communautés de pratique en matière de cybersécurité pour vous familiariser avec les leçons qu’ils ont apprises. Des groupes comme Cybereco et le Centre canadien pour la cybersécurité peuvent fournir aux propriétaires de l’information pour les aider à renforcer la cybersécurité de leur entreprise.
Familiarisez-vous avec les exigences réglementaires
Assurez-vous de comprendre les exigences réglementaires et juridiques qui s’appliquent à votre entreprise en matière de cybersécurité, de fraude et de protection des renseignements personnels, car elles peuvent varier selon la province ou le territoire. La nouvelle Loi 25 du Québec, par exemple, exige que les entreprises prennent certaines mesures pour protéger les renseignements personnels qu’elles détiennent. Vous devez examiner régulièrement la réglementation en vigueur pour votre entreprise et vous préparer à tout changement possible.
Intégrez la cybersécurité et la protection des renseignements personnels à votre système
Essayez d’intégrer des mécanismes de contrôle de cybersécurité et de protection des renseignements personnels à tous vos nouveaux processus afin que les exigences en matière de confidentialité, d’intégrité et de disponibilité soient prises en compte. Cela vous aidera à éviter des correctifs coûteux et complexes et à réduire le plus possible les vulnérabilités exposées.
Restez au fait
Comme les auteurs de menaces cherchent à exploiter les vulnérabilités connues, il est essentiel de mettre à jour vos applications et vos systèmes d’exploitation. Heureusement, de nombreux systèmes et applications offrent automatiquement des mises à jour et des correctifs.
Faites preuve de prudence en matière d’accès
Veillez à ce que l’accès accordé aux nouvelles employées et aux nouveaux employés corresponde à leurs fonctions et assurez-vous que l’accès des personnes qui quittent l’entreprise est immédiatement révoqué. Mettez en œuvre une politique responsable en matière de mots de passe, qui comprend notamment l’authentification multifacteur pour les applications sensibles.
Sécurisez les fichiers et les systèmes
Prenez des mesures de base pour protéger les renseignements sensibles de votre entreprise en activant le chiffrement des appareils comme les ordinateurs portables et les téléphones intelligents. Il est également essentiel de sauvegarder régulièrement les fichiers importants dans un emplacement hors ligne sécurisé ou sur un disque dur externe ou grâce à un service de stockage infonuagique.
Comment vous préparer à réagir à un cyberincident?
Un plan d’intervention en cas d’incident aide à éviter des dépenses importantes. Il devrait être examiné et faire l’objet d’un exercice au moins une fois par année. Ainsi, tous les membres du personnel savent comment réagir et connaissent les répercussions potentielles de tout changement dans le paysage des menaces.
Pour préparer le plan, envisagez de recourir à une entreprise spécialisée qui travaillera avec vous à l’élaboration d’un guide de base. Le plan doit être adapté à votre entreprise et à vos systèmes, et vos équipes doivent le connaître et comprendre leur rôle dans la mise en application de celui-ci. Votre entreprise pourra ainsi mieux détecter les incidents potentiels, les contenir et s’en remettre, et ainsi limiter les dommages potentiels causés par une attaque cybercriminelle.
Il est également important de prévoir ce que vous ferez en cas de demande de rançon à la suite d’une atteinte. Le versement d’une rançon garantit rarement un bon résultat et pourrait faire de votre entreprise une cible future. Il n’est pas recommandé de verser une rançon aux cybercriminelles et cybercriminels.
Vous pouvez consulter un guide du gouvernement du Canada sur la façon de réagir aux rançongiciels, le type de cyberattaque le plus courant au Canada.
Questions auxquelles vous devez répondre lors de l’élaboration d’un plan d’intervention en cas de cyberincident
Quels sont vos principaux actifs?
Il est essentiel de connaître les renseignements les plus importants de votre entreprise ainsi que leur emplacement pour savoir comment réagir à un incident, et notamment en ce qui concerne vos systèmes clés. Vous devez savoir qui y a accès ainsi que les menaces possibles auxquelles ils sont exposés.
Les données sur la clientèle, les renseignements sur les paiements et la propriété intellectuelle sont généralement considérés comme étant des actifs clés, tout comme les données utilisées pour gérer votre entreprise et maintenir votre avantage concurrentiel.
Déterminez l’incidence négative de la perte, de la compromission ou de l’exposition de cette information ou de ces systèmes sur votre entreprise. Ainsi, vous pourrez comprendre la gravité d’une atteinte potentielle et axer vos efforts au bon endroit.
En vous concentrant sur les systèmes qui hébergent vos renseignements et les menaces auxquelles ils sont exposés, vous serez également mieux en mesure de contenir les atteintes potentielles en priorisant les bonnes mesures correctives aux bons endroits.
Assurez-vous qu’une évaluation des menaces est menée dans votre entreprise pour bien comprendre ce qu’il faut faire afin de protéger vos actifs les plus précieux. Ainsi, vous pourrez établir l’ordre de priorité de vos investissements pour sécuriser votre entreprise.
Qui doit participer aux réunions en cas d’atteinte?
En cas d’atteinte à la protection des données, les personnes suivantes doivent s’asseoir à la table de réunion:
- Responsables des décisions
- Responsables des technologies de l’information
- Responsables des secteurs d’activité
- Responsables des communications et du marketing
- Responsables des services juridiques
Vous pourriez également prévoir vos partenaires externes clés, notamment:
- Entreprise d’intervention en cas de cyberincident
- Compagnie d’assurance
- Cabinet de services juridiques
- Entreprise qui fournit vos services de communication
Il est toutefois essentiel de confier au moins la responsabilité de la cybersécurité à une personne à l’interne.
De nombreuses entreprises travaillent déjà avec des partenaires externes qui pourraient fournir une partie ou la totalité du soutien nécessaire en cas d’atteinte. Pour commencer, pensez à contacter vos conseillères et conseillers juridiques externes pour vérifier si votre contrat actuel prévoit des services d’accompagnement professionnel en cas d’atteinte à la protection des données.
Les entreprises qui n’ont pas de cyberassurance devraient idéalement l’ajouter à leur protection actuelle.
Quand devez-vous sauvegarder vos systèmes?
Quel est le temps d’arrêt maximal que votre entreprise peut tolérer pour chaque système essentiel? Une estimation vous aidera à établir l’ordre de priorité de vos investissements, à organiser les efforts de vos équipes en cas d’atteinte à la sécurité et à préparer un plan de communication.
Pourquoi un plan d’intervention en cas de cyberincident est-il important pour votre entreprise?
Quels risques et répercussions souhaitez-vous éviter (opérationnels, financiers, réglementaires, d’atteinte à la réputation, etc.)? La réponse à cette question vous aidera à déterminer comment la gestion des cyberrisques s’inscrit dans vos priorités d’affaires générales et comment elle soutient d’autres fonctions de l’entreprise.
Signaler un incident
Si une personne clique sur un lien frauduleux ou communique de l’information par mégarde, elle devrait savoir rapidement comment réagir et avec qui communiquer. Ainsi, des mesures seront prises le plus rapidement possible.
Un signalement rapide réduit le risque de pertes. La personne responsable de la cybersécurité dans votre entreprise et la haute direction doivent en être informées.
Vous devriez signaler l’incident à la police locale et communiquer avec:
- le Centre antifraude du Canada - pour une fraude ou une tentative de fraude
- le Centre canadien pour la cybersécurité - en cas de cyberincident
Si vous recevez un courriel ou un appel suspect, voici trois étapes à suivre pour éviter la menace:
- S’arrêter: Ne ressentez pas le besoin de réagir immédiatement, même si le message crée un sentiment d’urgence.
- Réfléchir: Y a-t-il des indices étranges? Un expéditeur ou une adresse de courriel étranges, des coquilles, une demande inusitée ou un moment inhabituel, une demande de renseignements sensibles ou de transaction à risque élevé?
- Agir: N’interagissez pas avec l’expéditeur; cessez les communications et signalez le message si vous êtes en mesure de le faire.
Votre personnel constitue votre premier pare-feu.
Que faisons-nous pour protéger notre clientèle?
La sécurité de l’information constitue une priorité absolue pour BDC, tant sur le plan des contrôles que de l’intervention en cas d’incident. Nous avons porté une attention particulière à la protection des renseignements sur notre clientèle et aux systèmes utilisés pour protéger et stocker ces données.
Nous formons également les membres de notre personnel, y compris notre équipe en contact avec la clientèle, pour nous assurer de leur bonne compréhension de leurs responsabilités. En effet, ces personnes administrent les renseignements que notre clientèle nous confie.
De plus, nous nous employons à bien comprendre les menaces qui existent et la façon dont elles continuent d’évoluer. Afin d’assurer une sécurité complète, nous collaborons avec des entreprises de cybersécurité qui offrent une couverture en tout temps pour la surveillance, l’intervention et la détection d’atteintes potentielles.
Comprendre l’évolution de la cybersécurité
En tant qu’institution financière, il nous incombe de participer à des forums de partage d’information pour comprendre l’évolution de la cybersécurité. Nous nous efforçons de fournir les renseignements les plus exacts possibles à notre clientèle et à nos collègues.
Nous travaillons avec Cybereco, un consortium de partage d’information établi au Québec. Cette plateforme nous aide à faire connaître les dernières tendances et menaces de façon sécuritaire et anonyme afin que tout le monde puisse en profiter.
Nous faisons également partie du groupe FS-ISAC, forum de partage en matière de sécurité de l’information pour les institutions financières, qui nous aide à rester au fait des dernières tendances et menaces, et à protéger notre clientèle.
Plus de ressources pour aider à protéger les données de votre entreprise
Nous vous suggérons les ressources suivantes pour vous aider à prémunir votre entreprise contre les cybercrimes ou y faire face:
Prochaine étape
Apprenez-en plus sur la façon dont nous assurons la sécurité des données de notre clientèle.
De l’aide pour accroître la sécurité dans votre entreprise
BDC peut vous aider à investir dans la cybersécurité au moyen de prêts pour acheter la technologie, le matériel ou les logiciels nécessaires. Nous pouvons également vous aider à obtenir la certification ISO 27001 pour votre entreprise et à naviguer le processus de certification.
N’hésitez pas à communiquer avec nous si vous souhaitez enclencher le processus.