Cybersécurité en entreprise : comment se protéger des attaques?

23 septembre 2024 par Banque Nationale

Une femme qui regarde au loin en souriant.

La cybersécurité en entreprise doit être une priorité pour toutes les sociétés, peu importe leur secteur d’activité et leur taille. Ces dernières années, le nombre de cyberattaques a grandement augmenté; elles correspondent à une hausse de près de 151 % au niveau mondial¹. On vous explique pourquoi et comment protéger votre entreprise des attaques.

Dans cet article :

Qu’est-ce que la cybersécurité?
Quels sont les enjeux pour de la cybersécurité pour les entreprises?
Quels sont les risques en matière de sécurité informatique?
Comment protéger mon entreprise contre ces risques?
Quelles sont les bonnes pratiques à mettre en place?
Quelles sont les ressources pour en savoir davantage?

Qu’est-ce que la cybersécurité?

La cybersécurité se définit comme l’art de protéger vos actifs, tout en assurant la confidentialité, l’intégrité et la disponibilité de vos données.

Peu importe la taille de votre entreprise, vous n’êtes pas à l’abri d’une personne malveillante qui pense qu’il y a un gain à faire avec votre propriété intellectuelle, vos données sensibles, vos ressources financières ou votre capacité de production.

Quels sont les enjeux de la cybersécurité pour les entreprises?

Personne n’est à l’abri

Qu’il s’agisse d’une entreprise à technologie infonuagique ou encore d’un café de quartier offrant un réseau wifi à ses clients, toute entreprise peut être la cible d’une cybermenace. Les pirates informatiques visent parfois des cibles très précises par militantisme ou pour d’autres raisons, mais ils pourraient aussi vous attaquer pour tester votre système et voir s’il y a quelque chose à dérober.

La confidentialité et la sécurité des données sont importantes

Vous gérez peut-être des données confidentielles, comme les coordonnées de vos clients ou leurs numéros de carte de crédit. Le vol de ces données pourrait nuire grandement à votre réputation. Si vous avez été négligent, vous pourriez même vous exposer à des poursuites judiciaires.

Il y a des lois à respecter sur la cybersécurité des entreprises

Les gouvernements imposent désormais aux entreprises d’agir en matière de cybersécurité.

Au Canada : Le gouvernement fédéral a déposé en juin 2022 le projet de loi C-26 (Loi concernant la cybersécurité), qui introduit d’importantes nouvelles exigences de cybersécurité applicables à certaines entreprises sous réglementation fédérale afin qu’elles se préparent à des incidents de cybersécurité, qu’elles les préviennent et y réagissent adéquatement.

En province : Hormis la Colombie-Britannique, l’Alberta et le Québec qui possèdent leur propre législation en matière de protection des renseignements personnels, comme la loi 25 au Québec par exemple, toutes les autres provinces disposent de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

Que pouvez-vous faire pour la cybersécurité de votre entreprise?

Même si nous vous invitons à consulter des spécialistes pour une analyse de votre situation, voici tout de même quelques pistes de solutions :

Nommez un responsable des renseignements personnels au sein de votre organisation. À défaut de nommer quelqu’un, ce sera la personne responsable de l’entreprise qui devra assumer ce rôle.
Mettez en place un cadre de gouvernance.
Faites une évaluation relative à la vie privée avec cet outil du gouvernement du Canada (lien vers site externe).

Quels sont les risques de cyberattaques contre les entreprises?

Les principaux risques liés à une lacune en matière de cybersécurité peuvent se diviser en 4 grandes catégories :

La cybercriminalité

Les attaques de cybercriminalité visent à obtenir des informations afin de les exploiter ou de les revendre (données bancaires, identifiants à des sites marchands, etc.).

L’hameçonnage (« phishing » en anglais) et le rançongiciel (« ransomware » en anglais) sont des exemples connus d’actes malveillants. Sans mécanisme de protection, vous serez plus vulnérable aux attaques.

L’atteinte à l’image

Lancées contre des administrations et des entreprises, les attaques de déstabilisation sont fréquentes et généralement peu sophistiquées.

Du vol de données personnelles à l’exploitation de vulnérabilité, elles portent atteinte à l’image de l’entreprise en remplaçant le contenu d’un site par des revendications politiques ou religieuses, entre autres, pour être ensuite relayées sur les réseaux sociaux.

L’espionnage

Très ciblé et sophistiqué, l’espionnage industriel peut avoir de lourdes conséquences pour les intérêts nationaux. Il faut parfois des années à une organisation pour s’apercevoir qu’elle a été victime d’une telle attaque, l’objectif des cybercriminels étant de maintenir leur accès le plus longtemps possible afin de capter l’information stratégique en temps voulu et en toute discrétion.

Le sabotage

Le sabotage informatique est le fait de rendre inopérant l’ensemble ou une partie du système d’information d’une organisation par le biais d’une attaque informatique. Il peut s’agir de pannes ou de destructions de systèmes.

Comment protéger mon entreprise contre les cybermenaces?

Méfiez-vous des pièces jointes et des liens dans les messages dont la provenance est douteuse.
Remettez en question votre confiance spontanée dans le nom de l’expéditeur.
Effectuez des sauvegardes régulièrement sur des périphériques externes, par exemple sur un disque dur.
Mettez à jour régulièrement tous vos principaux logiciels en privilégiant leur mise à jour automatique.
Utilisez des mots de passe complexes et renouvelez-les régulièrement.
Gérez les droits d’accès pour chaque répertoire de votre site.
Mettez en place un certain nombre de mesures techniques : architecture adaptée, cloisonnement des systèmes, pare-feu, etc.
Assurez-vous de la mise en place d’une politique de sécurité efficace si votre site est hébergé chez un prestataire, surtout dans le cadre d’un hébergement mutualisé (plusieurs sites hébergés).

Quelles sont les bonnes pratiques à mettre en place?

Avant de vous lancer dans de grands projets, vous devrez retourner à la base. Maîtrisez vos actifs organisationnels et intéressez-vous à ce que vous devez protéger. Que ce soit le service des tiers, le flux d’information ou l’accès, tout doit être pris en considération. La question fondamentale à vous poser est la suivante : « Qu’est-ce que j’ai fait pour me préparer, peu importe l’angle d’attaque? »

Faites affaire avec des professionnels de la cybersécurité

Dans un contexte d’affaires, n’hésitez pas à faire appel à une firme externe. Elle pourra vous accompagner pour naviguer à travers les différents mécanismes de protection en plus de vous aider à sensibiliser vos employés.

Vous pouvez recourir à une firme spécialisée qui vous aidera à mettre en place les infrastructures technologiques et à préparer divers scénarios de réponse à des incidents fictifs. Par exemple, vous pouvez faire des simulations afin d’identifier des intervenants à l’intérieur de l’entreprise qui sauront quoi faire le moment venu. Vous pouvez aussi identifier une tierce partie.

Au Canada : CyberSécuritaire Canada (lien vers un site externe) est un programme de certification pour les petites et moyennes entreprises. Il fournit des ressources additionnelles qui complètent votre apprentissage, comme des guides, des modèles à remplir ainsi que des exemples de politiques et de plans en vue d’obtenir votre certification.

En province : Les sociétés canadiennes ont également la possibilité de faire appel à des entreprises privées afin d’assurer leur sécurité en ligne. Il existe plus d’une centaine d’entreprises spécialisées dans la cybersécurité d’entreprise au Canada (lien vers site externe). Au Québec, l’organisme PROMPT (lien vers site externe) est un exemple dans l’accompagnement d’entreprises dans l’obtention de certificats en matière de cybersécurité.

Formez vos employés

Il est essentiel de former vos employés en cybersécurité pour vous assurer qu’ils sont prudents avec les liens cliquables, les pièces jointes, etc. Il faut les familiariser avec les différents types de fraudes pour ne pas mettre l’entreprise en danger de l’intérieur (fraude du président, hameçonnage, etc.).

Comment s’assurer que vos employés comprennent et prennent en considération la cybersécurité?

Développez une culture de cybersécurité en ouvrant le dialogue avec vos employés. Cela n’arrivera pas spontanément. Par exemple, à la Banque Nationale, nous disons que la cybersécurité, c’est l’affaire de tous! Tout le monde a un rôle à jouer pour identifier une situation à risque. Il faut donc impliquer chaque acteur de votre entreprise. Vous pouvez également faire des ateliers de sensibilisation à la cybersécurité.

Investissez temps et argent

Il faut prévoir des sommes pour la cybersécurité dans votre budget afin de pouvoir prévenir et réagir rapidement en cas de cyberattaque. Par exemple, vous pourriez avoir une équipe affectée à la cybersécurité à l’interne ou encore recourir à des firmes externes. Bien souvent, le coût de l’inaction est plus élevé (risques pour votre réputation, perte de clientèle, perte de revenus, etc.).

Envisagez de souscrire une cyberassurance

Une bonne façon de protéger votre entreprise des coûts et des risques liés à la cybersécurité, c’est de vous munir d’une assurance.

Elle vous aidera à limiter votre perte, qu’il s’agisse d’une perte d’activité reliée à l’attaque ou à des données sensibles. Notez cependant que les conditions sont nombreuses et que les coûts sont assez élevés pour souscrire une telle assurance. Une bonne cyberhygiène est donc de mise.

Quelles sont les ressources pour en savoir davantage?

Pour développer vos connaissances et vos réflexes en matière de cybersécurité d’entreprise, il existe plusieurs ressources. Par exemple, Banque Nationale est un membre fondateur de Cybereco, votre référence multisectorielle en cybersécurité au Québec et au Canada.

Développez votre main-d’œuvre et renforcez la résilience de votre entreprise en utilisant la Cybertrousse (lien vers site externe). Vous y trouverez des éléments de sensibilisation pour les employés, les gestionnaires et les responsables des TI, des pistes pour définir une politique de cybersécurité et des conseils de base grand public pour vous protéger à la maison.

La protection de votre entreprise est un impératif. Il faut vous conformer aux lois et aux réglementations canadiennes, et protéger vos données sensibles afin d’assurer la continuité de vos activités. Apprenez-en plus sur la sécurité en ligne et la prévention de la fraude.

¹ Source: Gouvernement du Canada

Notes légales

Toute reproduction totale ou partielle est strictement interdite sans l’autorisation préalable écrite de la Banque Nationale du Canada.

Les articles et renseignements accessibles sur ce site Internet sont protégés par les lois sur le droit d'auteur en vigueur au Canada ou dans d'autres pays, le cas échéant. Les droits d’auteur dans ces articles et renseignements peuvent appartenir à la Banque Nationale du Canada ou à d'autres personnes. Toute reproduction, rediffusion, communication par télécommunication, incluant par référence via un hyperlien, ou toute autre utilisation non explicitement permise, de la totalité ou d’une partie de ces articles et renseignements, est interdite sans le consentement préalable et écrit de leur titulaire respectif.

Le contenu de ce site ne doit en aucune façon être interprété, considéré ou utilisé comme s’il constituait des conseils d’ordre financier, juridique, fiscal ou autre. La Banque Nationale et ses partenaires en contenu ne peuvent être tenus responsables des dommages que vous pourriez subir dans le cadre d’une telle utilisation.

Nous tenons à vous informer que l'information présentée sur ce site web, qu'elle soit d'ordre financier, fiscal ou réglementaire, pourrait ne pas être valable à l'extérieur de la province du Québec.

Cet article est offert par la Banque Nationale, ses filiales et les entités de son groupe à titre informatif seulement. Il ne crée aucune obligation légale ou contractuelle pour la Banque Nationale, ses filiales et les entités de son groupe et le contenu des programmes et des conditions qui y sont décrits est sujet à changement.

Les hyperliens contenus dans cet article pourraient rediriger vers un site externe qui n’est pas administré par la Banque Nationale. La Banque ne peut être tenue responsable du contenu de ce site externe ni des dommages résultant de son utilisation.

Les opinions présentées dans ce texte sont celles de la personne interviewée. Elles ne reflètent pas nécessairement les opinions de la Banque Nationale ou de ses filiales.

Pour tout conseil concernant vos finances et celles de votre entreprise, veuillez consulter votre conseiller de la Banque Nationale, votre planificateur financier ou, le cas échéant, tout professionnel (comptable, fiscaliste, avocat, etc.).