Publié le février 23, 2023 • 8 min de lecture
Les incidents de cybersécurité étant devenus plus fréquents et médiatisés ces dernières années, toutes les entreprises, quelle que soit leur taille, ont pris conscience des menaces émanant des cybercriminels. Mais du fait de l’incertitude économique, du roulement important du personnel et de l’évolution des modèles de travail, les menaces continuent de changer, ce qui oblige les propriétaires d’entreprise à être encore plus prévoyants et vigilants.
Lors d’une récente discussion, Michael Argast, cofondateur et chef de la direction de la société de cybersécurité Kobalt.io nous a présenté les principales cybertendances à surveiller en 2023, ainsi que les moyens de protéger votre entreprise.
1) Le nombre d’attaques liées à des fraudes financières est en hausse
L’année ne fait que débuter et l’une des tendances dont on a peu parlé en 2022, et qui se poursuit en 2023, est l’augmentation considérable du nombre d’attaques liées à des fraudes financières. Comme l’explique M. Argast, « un pirate peut s’introduire dans l’environnement d’un client et, en s’insérant dans le système de messagerie d’une entreprise, peut convaincre un client ou un fournisseur de détourner des fonds vers une source illégitime. »
Il explique également que les pirates surveillent souvent un système de messagerie pendant de longues périodes, en contrôlant les échanges entre les fournisseurs et les entrepreneurs sur des questions financières. Lorsqu’un virement important survient, ils sont capables de s’insérer dans les fils de communication existants et de persuader l’une des parties d’envoyer les fonds à un autre endroit.
Ce type d’attaque, qui s’appuie sur des tactiques d’ingénierie sociale renforcées et un ensemble d’outils techniques de plus en plus sophistiqués qui permettent aux pirates de pénétrer dans l’environnement, est particulièrement efficace car les communications par courrier électronique semblent légitimes. « Vous n’avez aucune raison de vous méfier de la demande parce que la dizaine d’échanges précédents de ce fil vous paraissait crédible », ajoute M. Argast.
2) Les rançongiciels demeurent une menace
Selon un récent sondage RBC, 44 % des propriétaires de petite entreprise pensent que leur société pourrait être victime d’un cybercrime au cours des 12 prochains mois, tandis que 32 % admettent ne pas être préparés en cas de cyberattaque.
Ces dernières années, M. Argast et son équipe ont constaté des changements dans la complexité et le degré de sophistication des rançongiciels. De plus, on est passé d’attaques ciblant principalement les consommateurs à des attaques axées sur les entreprises. « À présent, les incidents dus aux rançongiciels visent beaucoup plus le long terme et les criminels sont plus persévérants. Ils attendent d’avoir un ancrage vraiment solide dans une organisation pour pouvoir la faire tomber au complet. » Les pirates peuvent verrouiller les systèmes, voler les données des consommateurs et faire chanter les organisations, ce qui, selon M. Argast, constitue une nouveauté dans leur mode opératoire.
M. Argast explique toutefois que de nombreuses entreprises ont opté pour l’infonuagique, ce qui les protège davantage de l’impact des rançongiciels. « Si vous n’avez pas beaucoup de serveurs sur place et de données critiques sur vos ordinateurs portables, la capacité des rançongiciels à nuire à votre entreprise est considérablement réduite. Les organisations bénéficient naturellement de ce passage à l’infonuagique », dit-il, ajoutant que les fournisseurs de services infonuagiques de premier plan ont tendance à protéger efficacement leurs systèmes.
3) Le télétravail : une source de vulnérabilité
Alors que les travailleurs canadiens ont commencé à retourner au bureau, les modèles de travail à distance et hybrides sont très courants, ce qui provoque quelques fissures dans l’armure de cybersécurité des entreprises. Pour M. Argast, « l’un des plus grands défis pour les entreprises réside dans la difficulté à valider ce qui se passe au niveau des communications. Vous ne pouvez pas traverser le hall et parler à votre agent financier. Vous devez faire confiance à la communication numérique. »
Devant l’impossibilité d’avoir des conversations en face à face sur des questions financières, il conseille aux entreprises de partir du principe que le courrier électronique est une chaîne de communication compromise et que la validation par d’autres canaux est vitale, en particulier lorsque les instructions peuvent causer un préjudice financier.
4) Un univers multicanaux présente des risques, mais ouvre aussi des possibilités
Selon le CRTC, 83 % des messages d’hameçonnage ont été envoyés par texto sur une période de trois mois l’année dernière. Étant donné que les entreprises commencent à s’appuyer sur une variété de canaux – entre la messagerie Slack, les courriels, les textos et les médias sociaux –, les employés sont surchargés de messages. « Quand nous sommes confrontés à un volume de messages qui nous parviennent chaque jour de différents canaux, il est difficile d’être aussi vigilant que lorsque les escroqueries par courrier électronique étaient notre seule source de préoccupation », affirme M. Argast.
Cependant, un environnement multicanaux offre l’avantage de permettre à un employé qui n’est pas sûr de la provenance d’un courriel de le valider en envoyant un texto à l’expéditeur, ou en communiquant avec lui par téléphone ou par Slack. « Il est moins probable qu’un pirate réussisse à compromettre à la fois votre système de courrier électronique et votre système de messagerie. »
5) Les réglementations gouvernementales poussent à agir
Jusqu’à ces dernières années, le Canada et les États-Unis étaient à la traîne de l’Europe en matière de règlements gouvernementaux visant à protéger les données privées. Le Règlement général sur la protection des données (RGPD), qui est entré en vigueur en 2018, a pour but d’harmoniser les lois nationales sur la confidentialité des données dans toute l’Union européenne et de mieux protéger les données personnelles des résidents de l’Union. « Les normes du RGPD sont transposées en Amérique du Nord au moment où nous parlons », déclare M. Argast.
Il ajoute qu’il y a aujourd’hui des droits et des protections qui n’existaient pas il y a quelques années. « Il est donc primordial que les entreprises se familiarisent avec ces règles et trouvent des moyens de mettre leurs systèmes et processus en conformité, car les amendes peuvent atteindre jusqu’à 5 % de leurs revenus annuels. »
Les entreprises peuvent accéder à une liste des normes réglementaires en matière de respect de la vie privée sur le site Web de Kobalt.io.
Écoutez le récent balado avec Michael Argast de Kobalt.io et Adam Evans, chef de la sécurité de l’information de RBC (lire le récapitulatif).
Comment protéger votre entreprise : deux choses à faire
Selon M. Argast, « la sécurité est souvent considérée comme quelque chose d’“agréable à avoir » plutôt qu’“indispensable » ». C’est particulièrement vrai lorsque les conditions économiques mettent les entreprises à rude épreuve. Avec le resserrement général des budgets partout au Canada, de nombreuses entreprises renvoient à plus tard leurs investissements dans la sécurité. En outre, certaines licencient du personnel, ce qui met la pression sur les ressources existantes.
Cela dit, les entreprises ont la possibilité de prendre quelques mesures essentielles pour assurer leur sécurité. Après tout, les menaces de cybersécurité ne faiblissent pas et les pirates ne se soucient pas des mauvaises conditions économiques.
Conscient que les entreprises disposent de peu de temps et d’argent pour mettre en place des systèmes de cybersécurité, M. Argast exhorte les propriétaires à faire deux choses, si ce n’est plus :
1) Faire une évaluation adéquate des risques. « Informez-vous sur les menaces auxquelles fait face votre entreprise et sur la manière de vous protéger », dit-il. Il ajoute qu’une bonne évaluation des risques permettra à votre entreprise de comprendre les mesures particulières à prendre, qui ne coûteront pas nécessairement beaucoup d’argent.
L’évaluation des lacunes de sécurité de Kobalt peut vous aider à déterminer vos points faibles et les mesures à prendre.
2) Former votre personnel. « La formation des utilisateurs est peu coûteuse, et elle a un effet considérable. À mesure que les organisations changent de personnel, il est essentiel de s’assurer que les nouveaux employés et ceux déjà présents disposent d’une bonne formation sur les meilleures pratiques de cybersécurité et y sont sensibilisés. »
Kobalt peut vous aider à former votre personnel grâce à un modèle de formation continue qui permet de réduire considérablement le risque que vous soyez victime d’une attaque. Consultez ses programmes de formation destinés aux utilisateurs.
Si les entreprises ne peuvent pas empêcher toutes les attaques de cybersécurité, le fait d’être conscient des menaces actuelles et d’être préparé à celles qui sont les plus susceptibles d’avoir une incidence sur votre entreprise peut contribuer à la sécurité de votre société, de vos employés et de vos clients. Des conseils et un soutien appropriés peuvent également vous aider à rester informé des menaces et à être prêt à tout moment.
Les clients des Services aux entreprises RBC ont accès à des rabais spéciaux sur les solutions Kobalt.io. Renseignez-vous ou communiquez avec votre directeur de comptes.
† Source : L’incidence du cybercrime sur les entreprises canadiennes, 2021 (statcan.gc.ca)
Le présent article vise à offrir des renseignements généraux seulement et n’a pas pour objet de fournir des conseils juridiques ou financiers, ni d’autres conseils professionnels. Veuillez consulter un conseiller professionnel en ce qui concerne votre situation particulière. Les renseignements présentés sont réputés être factuels et à jour, mais nous ne garantissons pas leur exactitude et ils ne doivent pas être considérés comme une analyse exhaustive des sujets abordés. Les opinions exprimées reflètent le jugement des auteurs à la date de publication et peuvent changer. La Banque Royale du Canada et ses entités ne font pas la promotion, ni explicitement ni implicitement, des conseils, des avis, des renseignements, des produits ou des services de tiers.
Partager cet article
