Que sont les cyberrisques, et pourquoi s’en soucier?

La technologie continue de faire des progrès admirables… et parfois alarmants. De nos jours, nos relations interpersonnelles, horaires de travail et décisions d’affaires ne passent pas seulement par des outils technologiques; bien souvent, elles en dépendent carrément, ce qui laisse la porte ouverte aux pirates informatiques audacieux. La facilité avec laquelle on accède à quantité de renseignements de nature délicate signifie que de plus en plus d’entreprises sont exposées à toute une panoplie de cyberrisques (vol de données, rançongiciels, espionnage industriel, etc.), parfois même sans le savoir.

La montée du cybercrime

En 2015, le cybercrime est devenu le deuxième type de fraude financière le plus courant à frapper les entreprises canadiennes : 28 % de toute la fraude était commise en ligne. Depuis lors, les incidents touchant la cybersécurité augmentent sans cesse en fréquence et en gravité, et au Canada, ils ont fait un bond de 160 % d’année en année¹.

Dans son rapport de 2016, PricewaterhouseCoopers estime que si la tendance se maintient, une entreprise sur trois pourrait être victime d’une forme quelconque de cyberattaque. Pire encore, un rapport produit cette année par Symantec Internet Security constate que les cybercriminels voient toujours plus grand et raffinent leurs méthodes, recourant à des maliciels qui ne se présentent pas sous forme de fichiers, à des sites d’hameçonnage utilisant le protocole HTTPS et à du sabotage économique pour soutirer toujours plus d’argent à leurs victimes.

Que peuvent donc faire les entreprises canadiennes pour protéger leurs avoirs? La première étape, c’est de bien comprendre les cyberrisques, et de savoir comment déjouer les criminels virtuels et leurs pièges sournois.

Que sont les cyberrisques?

Depuis lors, les incidents touchant la cybersécurité augmentent sans cesse en fréquence et en gravité, et au Canada, ils ont fait un bond de 160 % d’année en année.

Pour une entreprise, un cyberrisque, c’est un risque de perte financière, de perturbation des activités ou d’atteinte à la réputation résultant d’une faille des systèmes des technologies de l’information (TI). Il peut se concrétiser de diverses façons :

  • atteinte délibérée et non autorisée à la sécurité pour accéder aux systèmes d’information;
  • brèches de sécurité accidentelles;
  • exploitation d’une déficience des TI dans le cadre des activités, comme la mauvaise intégrité des systèmes.

S’ils sont mal gérés, ces risques peuvent vous laisser en proie à toutes sortes de cybercrimes aux conséquences pouvant aller d’une simple perturbation de l’accès aux données à la ruine financière de votre entreprise. Dans bien des cas, les victimes doivent aussi se démener pour réparer les pots cassés dans leurs relations publiques, tout en tentant de récupérer leurs pertes et de se protéger d’autres déprédations.

Quels sont vos cyberrisques?

Que votre entreprise soit toute modeste ou qu’elle soit multimillionnaire, il n’y a pas de menu fretin pour les cybercriminels. En fait, ils visent les PME plus souvent que vous ne le penseriez, et sans mesures de prévention, la vôtre pourrait finir à leur tableau de chasse. Commençons donc par nous familiariser avec les cyberrisques qui peuvent vous guetter.

Règle générale, plus importantes et sophistiquées sont les activités numériques d’une société, plus celle-ci est à découvert. Voyez si les facteurs de risque ci-dessous s’appliquent à votre entreprise :

  • Les employés ou les clients accèdent à votre système à distance.
  • Le personnel emporte les appareils fournis par l’entreprise à la maison ou en voyage.
  • Les employés ont des droits d’administrateurs sur leur poste de travail ou sur le réseau.
  • L’entreprise a une politique autorisant l’utilisation des appareils personnels au travail.
  • Les lieux sont accessibles au public (sans carte d’accès).
  • Les employés se connectent à leur compte bancaire ou effectuent des transferts de fonds à partir de leur poste.
  • Les politiques sont laxistes quant au changement régulier des mots de passe.
  • Des renseignements critiques pourraient être perdus en cas de défaillance catastrophique du réseau.
  • Cela fait plus de 12 mois que l’on néglige de passer en revue la cybersécurité de l’entreprise.

Tôt ou tard, toutes les entreprises courent un risque d’atteinte à leur cybersécurité. Mais si vous êtes conscient de vos points potentiellement vulnérables, et de la manière dont ils pourraient être exploités, vous serez mieux armé pour réagir à une attaque.

Comment les cybercriminels opèrent-ils?

Certaines des cybermenaces les plus importantes découlent de l’adoption de nouvelles technologies, comme l’Internet des objets (IdO). Les réseaux s’étendent, toutes sortes d’appareils gagnent en connectivité : les mesures de sécurité doivent suivre le rythme. Voici des raisons courantes pour lesquelles les entreprises se font prendre au piège :

Le personnel est à la racine du problème. Les cybercriminels peuvent provenir de n’importe où – et parfois de très près. Un nombre grandissant d’individus mènent des cyberattaques contre leur employeur, et étant donné leur accès à des renseignements de nature délicate, ils peuvent causer des dégâts considérables. Toutefois, même les employés bien intentionnés peuvent être le maillon faible. En effet, s’ils ouvrent et transmettent des pièces jointes sans précaution, l’hameçonnage et les virus peuvent rapidement faire des ravages au sein de votre entreprise.

L’infonuagique compromet la sécurité. Les travailleurs sont plus que jamais libres de leurs mouvements, et lorsque les activités d’une entreprise sortent d’entre ses murs, les mesures de sécurité traditionnelles ne font plus l’affaire. Les données des sociétés qui adoptent l’infonuagique sont difficiles à défendre à l’aide de pare-feu, et les cybercriminels flairent le butin potentiel. D’ailleurs, les systèmes de protection basés sur le Wi-Fi et l’infonuagique gagnent en popularité².

Un rançongiciel infiltre le réseau. Que votre entreprise se serve ou non de l’infonuagique, les rançongiciels sont une menace sérieuse qui peut rapidement faire dérailler vos activités. L’infestation récente du rançongiciel WannaCry partout sur le globe a montré les ravages que peut causer ce type de ver informatique : à l’ouverture de la pièce jointe à un courriel d’hameçonnage, il se propage dans le réseau local et aux hôtes distants, et chiffre leurs données tant qu’ils n’ont pas payé une rançon.

Tôt ou tard, toutes les entreprises courent un risque d’atteinte à leur cybersécurité. Mais si vous êtes conscient de vos points potentiellement vulnérables, et de la manière dont ils pourraient être exploités, vous serez mieux armé pour réagir à une attaque.

Comment réduire vos risques d’être victime d’une cyberattaque?

Conscientiser les employés. Dans le marché d’aujourd’hui, la formation sur les bonnes pratiques de sécurité n’est pas un luxe; c’est une nécessité. Prenez le temps d’enseigner à vos employés :

  • comment reconnaître les cybermenaces;
  • comment sont menées les cyberattaques;
  • comment réagir en cas de cyberattaque.

Un bon outil d’apprentissage : la simulation d’une attaque par hameçonnage. Il est également judicieux de se doter d’une politique claire encadrant l’usage des appareils personnels au travail ainsi que de pratiques exemplaires sur l’utilisation du Wi-Fi, et de communiquer le tout au personnel.

Segmenter les réseaux. Peur que n’importe qui accède à vos fichiers? Configurez les droits des utilisateurs pour que seuls les employés autorisés aient accès à certaines banques de données, et pensez à signaler toute modification apportée au réseau.

Mettre les logiciels à jour. Effectuez toujours les mises à jour de vos logiciels; ainsi, les criminels auront moins de failles à exploiter. Il est aussi important d’installer les correctifs dès qu’ils sont disponibles. Ces habitudes ne constituent pas une protection infaillible, mais elles peuvent être suffisantes pour parer les attaques automatisées, et pour dissuader bon nombre de pirates informatiques.

Investir dans un bon système de protection. Adoptez une approche en profondeur en établissant plusieurs couches de contrôles de sécurité : pare-feu, système de prévention des intrusions (IPS), système de détection des intrusions (IDS)… Prévoyez des copies de sauvegarde au cas où quelqu’un exploiterait une vulnérabilité de votre système. Bref, l’idée est de vous doter d’une bonne défense tous azimuts.

Faire respecter les politiques. Établir une liste de politiques et de procédures de sécurité, c’est bien, mais pour prévenir le cybercrime, il faut les appliquer. Quelques conseils :

  • Créer un protocole sur la marche à suivre en cas de perte ou de vol d’un appareil de l’entreprise.
  • Procéder à la vérification de la conformité de chacun aux politiques.

Se préparer aux situations d’urgence. Comme personne ne peut prédire quand surviendra une attaque, il est sage de mettre en place des stratégies de sauvegarde et de récupération prêtes à déployer. Chiffrez toutes les données de nature sensible lors de leur stockage ou de leur transmission, et dotez-vous d’un plan en cas de panne des systèmes. Plus vous surveillez vos systèmes de près, plus vous pourrez réagir vite aux attaques.

Les cyberrisques augmentent avec l’évolution du cybercrime. Plus que jamais, il est essentiel pour une entreprise de prendre des précautions multiples. La gestion des risques est capitale, mais elle ne vous prémunit pas contre les cyberattaques. Si, à la lumière de vos évaluations, votre société se montre plus vulnérable que vous ne l’auriez cru, il pourrait être bon de vous doter d’une assurance spécialisée pour avoir l’esprit tranquille. Pensez à ajouter l’Assurance des cyberrisques à votre police afin d’obtenir l’aide d’experts en cas d’atteinte à vos données confidentielles, ainsi qu’une indemnité qui vous aidera à reprendre pied si une cyberattaque vient paralyser vos activités.

¹ PwC, communiqué de presse, janvier 2016.

² Symantec, « Security in 2017 and Beyond: Symantec’s Predictions for the Year Ahead », décembre 2016.