En tant que propriétaire d’entreprise, vous avez l’habitude de courir des risques et de résoudre des difficultés inattendues afin de protéger votre entreprise. L’année 2020 nous a réservé son lot de surprises, qui ont nécessité des changements rapides dans les stratégies et les façons de faire. Beaucoup de petites entreprises ont dû opérer des transformations radicales, notamment dans leurs rapports avec leurs clients, leurs fournisseurs et leurs équipes.
La numérisation rapide des activités a entraîné des gains d’efficacité et créé des occasions, à mesure que les entreprises adoptaient de nouveaux procédés et de nouvelles technologies (comme le télétravail, les vitrines virtuelles, les systèmes de paiement en ligne, les réseaux privés virtuels, les outils de messagerie, les plateformes de collaboration, la gestion virtuelle des dossiers, et la vidéoconférence). Toutefois, l’adoption rapide de nouvelles technologies a exposé les entreprises à de nouveaux risques, en particulier sur le plan de la cybersécurité.
Maintenant que s’installe une « nouvelle normalité », il est temps de vous assurer que certains virages brusques n’ont pas rendu votre entreprise plus vulnérable aux cybercriminels. Au cours de cette conversation, Adam Evans, chef de la sécurité de l’information à RBC, traite des principales menaces qui visent les petites entreprises, et des mesures que vous pouvez prendre pour protéger votre entreprise et remédier aux cyberincidents. Comme il le souligne, il peut être difficile de comprendre, de prévoir ou de gérer les cyberrisques que court votre entreprise dans le contexte actuel, mais vous devez vous en préoccuper dès maintenant, car les fraudeurs ne pratiquent aucune discrimination. La fraude touche les entreprises de toutes tailles et de tous les secteurs.
L’émergence des cybermenaces à l’ère de la COVID-19
Selon Adam Evans, les cybercriminels suivent actuellement « la trace de l’argent », profitant aussi bien des craintes suscitées par la COVID-19 que des nouvelles installations de télétravail.Les pirates informatiques exploitent l’anxiété provoquée par la pandémie pour lancer des campagnes d’hameçonnage et de rançonnement. Les messages en ligne du genre « Cliquez ici pour lire un avis urgent au sujet du coronavirus » ont permis aux fraudeurs de leurrer de nombreux télétravailleurs. « Quand on ajoute à cela les nombreuses violations de données commises – il y a plus d’information à subtiliser que jamais –, on constate que l’environnement est très favorable pour les fraudeurs », explique Adam Evans.À cause des restrictions physiques en vigueur et des exigences associées aux activités professionnelles ou personnelles virtuelles, les pirates informatiques profitent de l’utilisation accrue que les Canadiens font des appareils mobiles pour cibler les téléphones intelligents. Ils ciblent aussi les entreprises dont certains employés sont en télétravail. Par exemple, les employés qui utilisent leur ordinateur domestique, leur téléphone et leur réseau Internet personnels sont plus vulnérables que ceux qui utilisent les appareils et le réseau mieux protégés de l’entreprise. Cela peut créer des failles de sécurité et de protection des renseignements personnels, que les criminels auront vite fait d’exploiter pour intercepter des données financières ou des documents confidentiels.
Comment savoir si votre entreprise est victime de cyberfraude ?
Les cyberattaques ne sont pas toujours évidentes. En fait, vous pourriez découvrir après le fait que votre cybersécurité a été compromise. Les statistiques révèlent que les cybercriminels ont en général accès aux données d’une entreprise pendant 200 jours avant que le propriétaire ne se rende compte de l’intrusion.
Certaines attaques sont toutefois plus évidentes, comme les demandes de rançon, qu’Adam Evans qualifie de « saveur du jour ». « Ce que nous observons, c’est que les cybercriminels s’introduisent dans une entreprise au moyen des courriels et des logiciels malveillants. Une fois entrés, ils recueillent des tas de données sensibles, qu’ils dérobent à l’entreprise. » Ensuite, les fraudeurs peuvent vendre les données subtilisées, ou encore les crypter et réclamer une rançon en échange de leur déchiffrement. Dans de tels cas, les attaques sont évidentes. Toutefois, les mesures à prendre ne sont peut-être pas aussi claires.
En savoir plus sur l'escroquerie par intrusion dans un courriel d'entreprise : Protégez votre entreprise contre les fraudes par courriel comme les faux ordres de virement..
Ce que vous pouvez faire pour protéger votre entreprise
Comme vous vous en doutez probablement, il existe des mesures que vous pouvez prendre pour tenir les cybercriminels à distance et protéger les actifs les plus précieux de votre entreprise. Mais, prévient Adam Evans, « il est tout aussi important de se préparer à un rétablissement rapide. Votre entreprise sera un jour ou l’autre la cible d’une cyberattaque. » Voici cinq mesures à considérer :
1. Déterminer les actifs à protéger en priorité
Comme première mesure, Adam Evans recommande de déterminer les actifs les plus importants de votre entreprise – ce que les experts appellent « les joyaux de la couronne ». S’agit-il de votre propriété intellectuelle ? De vos données ? De votre marque ? De vos systèmes de paiement ? Déterminez ce que vous devez protéger pour assurer la viabilité de votre entreprise. « Vous devez consacrer du temps à protéger ces joyaux de la couronne », précise Adam Evans.
2. Aligner vos pratiques sur les risques que vous êtes prêt à courir
Comment vos données sont-elles stockées, sauvegardées et transférées ? Quels logiciels et quel matériel utilisez-vous ? Parmi votre personnel, qui a accès à vos données confidentielles ? En étant conscient de ces éléments essentiels, vous pouvez vous assurer que vos pratiques sont alignées sur les risques que vous êtes prêt à courir. En cas de divergence, vous pourrez corriger vos pratiques avant qu’un cyberincident ne survienne. Par exemple, de nombreuses petites entreprises ont adopté cette année de nouveaux outils gratuits ou peu coûteux ; si c’est votre cas, assurez-vous que leur utilisation concorde avec votre seuil de risque.
3. Former votre équipe et inculquer une culture d’attention aux risques
En matière de cybercriminalité, le « facteur humain » peut être votre plus grand risque… ou votre actif le plus précieux. « L’éducation est la mesure la plus importante », souligne Adam Evans. Investissez le temps et les ressources nécessaires à la formation de votre personnel. Définissez vos attentes par rapport à l’utilisation de la technologie et des données, et aidez votre équipe à comprendre ce qu’elle peut et ne peut pas faire. Cela peut s’avérer encore plus difficile dans un nouvel environnement virtuel mettant en jeu de nouveaux outils. Même l’impression à domicile ou l’envoi d’un document à une adresse de courriel personnelle peut présenter un risque. Aidez vos employés à se familiariser avec vos outils ; soyez conscients des risques ; et comprenez que chacun a un rôle à jouer. Montrez-leur à quoi peut ressembler une cyberattaque, et ce qu’ils peuvent faire pour prévenir et signaler les incidents.
4. Adopter un plan de gestion de crise
Il est sage de considérer les cyberattaques comme inévitables plutôt que comme peu probables. C’est pourquoi il est essentiel d’adopter un plan de gestion de crise, ce qui vous permet de connaître le rôle et les responsabilités de vos équipes, et de savoir qui appeler en cas de besoin. Comme pour un plan d’évacuation en cas d’incendie, repassez vos scénarios et répétez vos mesures d’intervention. Et ne laissez pas votre plan s’empoussiérer : revoyez-le régulièrement en fonction des nouvelles menaces, et consultez des experts pour corriger les lacunes éventuelles.
5. Désigner une équipe d’intervention
Envisagez de retenir les services d’une firme de gestion de crise ou d’un cabinet d’avocats qui pourra vous soutenir en cas de cyberincident. Ce soutien sera essentiel au rétablissement de vos activités.
Même si la cybercriminalité n’est pas un phénomène inconnu, la crise de la COVID-19 a créé des occasions inédites pour les fraudeurs et de nouveaux risques pour les entreprises. Si vous comprenez ces risques et si vous savez comment protéger votre entreprise ou la remettre sur pied après un incident, vous serez en mesure de limiter les dégâts et d’assurer la sécurité de votre entreprise, de votre personnel et de vos données sur les clients.
Pour en savoir plus : rbc.com/cyberfute/
Écoutez les conseils d'Adam Evans (ce lien mène à un site web dont le contenu est en anglais seulement) pour en savoir plus sur la cybercriminalité et ses incidences sur votre entreprise.
Le présent article vise à offrir des renseignements généraux seulement et n’a pas pour objet de fournir des conseils juridiques ou financiers, ni d’autres conseils professionnels. Veuillez consulter un conseiller professionnel en ce qui concerne votre situation particulière. Les renseignements présentés sont réputés être factuels et à jour, mais nous ne garantissons pas leur exactitude et ils ne doivent pas être considérés comme une analyse exhaustive des sujets abordés. Les opinions exprimées reflètent le jugement des auteurs à la date de publication et peuvent changer. La Banque Royale du Canada et ses entités ne font pas la promotion, ni explicitement ni implicitement, des conseils, des avis, des renseignements, des produits ou des services de tiers.