Dans cet article :
- Qu’est-ce que la cybersécurité?
- Quels sont les enjeux pour de la cybersécurité pour les entreprises?
- Quels sont les risques en matière de sécurité informatique?
- Comment protéger mon entreprise contre ces risques?
- Quelles sont les bonnes pratiques à mettre en place?
- Quelles sont les ressources pour en savoir davantage?
Qu’est-ce que la cybersécurité?
La cybersécurité se définit comme l’art de protéger vos actifs, tout en assurant la confidentialité, l’intégrité et la disponibilité de vos données.
Peu importe la taille de votre entreprise, vous n’êtes pas à l’abri d’une personne malveillante qui pense qu’il y a un gain à faire avec votre propriété intellectuelle, vos données sensibles, vos ressources financières ou votre capacité de production.
Quels sont les enjeux de la cybersécurité pour les entreprises?
Personne n’est à l’abri
Qu’il s’agisse d’une entreprise à technologie infonuagique ou encore d’un café de quartier offrant un réseau wifi à ses clients, toute entreprise peut être la cible d’une cybermenace. Les pirates informatiques visent parfois des cibles très précises par militantisme ou pour d’autres raisons, mais ils pourraient aussi vous attaquer pour tester votre système et voir s’il y a quelque chose à dérober.
La confidentialité et la sécurité des données sont importantes
Vous gérez peut-être des données confidentielles, comme les coordonnées de vos clients ou leurs numéros de carte de crédit. Le vol de ces données pourrait nuire grandement à votre réputation. Si vous avez été négligent, vous pourriez même vous exposer à des poursuites judiciaires.
Il y a des lois à respecter sur la cybersécurité des entreprises
Les gouvernements imposent désormais aux entreprises d’agir en matière de cybersécurité.
Au Canada : Le gouvernement fédéral a déposé en juin 2022 le
projet de loi C-26 (Loi concernant la cybersécurité), qui
introduit d’importantes nouvelles exigences de cybersécurité
applicables à certaines entreprises sous réglementation fédérale afin
qu’elles se préparent à des incidents de cybersécurité, qu’elles les
préviennent et y réagissent adéquatement.
En province : Hormis la Colombie-Britannique, l’Alberta et le Québec qui possèdent leur propre législation en matière de protection des renseignements personnels, comme la loi 25 au Québec par exemple, toutes les autres provinces disposent de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).
Que pouvez-vous faire pour la cybersécurité de votre entreprise?
Même si nous vous invitons à consulter des spécialistes pour une analyse de votre situation, voici tout de même quelques pistes de solutions :
- Nommez un responsable des renseignements personnels au sein de votre organisation. À défaut de nommer quelqu’un, ce sera la personne responsable de l’entreprise qui devra assumer ce rôle.
- Mettez en place un cadre de gouvernance.
- Faites une évaluation relative à la vie privée avec cet outil du gouvernement du Canada (lien vers site externe).
Quels sont les risques de cyberattaques contre les entreprises?
Les principaux risques liés à une lacune en matière de cybersécurité
peuvent se diviser en 4 grandes catégories :
La cybercriminalité
Les attaques de cybercriminalité visent à obtenir des informations afin de les exploiter ou de les revendre (données bancaires, identifiants à des sites marchands, etc.).
L’hameçonnage (« phishing » en anglais) et le rançongiciel (« ransomware » en anglais) sont des exemples connus d’actes malveillants. Sans mécanisme de protection, vous serez plus vulnérable aux attaques.
L’atteinte à l’image
Lancées contre des administrations et des entreprises, les attaques
de déstabilisation sont fréquentes et généralement peu
sophistiquées.
Du vol de données personnelles à l’exploitation de vulnérabilité, elles portent atteinte à l’image de l’entreprise en remplaçant le contenu d’un site par des revendications politiques ou religieuses, entre autres, pour être ensuite relayées sur les réseaux sociaux.
L’espionnage
Très ciblé et sophistiqué, l’espionnage industriel peut avoir de lourdes conséquences pour les intérêts nationaux. Il faut parfois des années à une organisation pour s’apercevoir qu’elle a été victime d’une telle attaque, l’objectif des cybercriminels étant de maintenir leur accès le plus longtemps possible afin de capter l’information stratégique en temps voulu et en toute discrétion.
Le sabotage
Le sabotage informatique est le fait de rendre inopérant l’ensemble ou une partie du système d’information d’une organisation par le biais d’une attaque informatique. Il peut s’agir de pannes ou de destructions de systèmes.
Comment protéger mon entreprise contre les cybermenaces?
- Méfiez-vous des pièces jointes et des liens dans les messages dont la provenance est douteuse.
- Remettez en question votre confiance spontanée dans le nom de l’expéditeur.
- Effectuez des sauvegardes régulièrement sur des périphériques externes, par exemple sur un disque dur.
- Mettez à jour régulièrement tous vos principaux logiciels en privilégiant leur mise à jour automatique.
- Utilisez des mots de passe complexes et renouvelez-les régulièrement.
- Gérez les droits d’accès pour chaque répertoire de votre site.
- Mettez en place un certain nombre de mesures techniques : architecture adaptée, cloisonnement des systèmes, pare-feu, etc.
- Assurez-vous de la mise en place d’une politique de sécurité efficace si votre site est hébergé chez un prestataire, surtout dans le cadre d’un hébergement mutualisé (plusieurs sites hébergés).
Quelles sont les bonnes pratiques à mettre en place?
Avant de vous lancer dans de grands projets, vous devrez retourner à
la base. Maîtrisez vos actifs organisationnels et intéressez-vous à ce
que vous devez protéger. Que ce soit le service des tiers, le flux
d’information ou l’accès, tout doit être pris en considération. La
question fondamentale à vous poser est la suivante : « Qu’est-ce
que j’ai fait pour me préparer, peu importe l’angle d’attaque? »
Faites affaire avec des professionnels de la cybersécurité
Dans un contexte d’affaires, n’hésitez pas à faire appel à une firme externe. Elle pourra vous accompagner pour naviguer à travers les différents mécanismes de protection en plus de vous aider à sensibiliser vos employés.
Vous pouvez recourir à une firme spécialisée qui vous aidera à mettre en place les infrastructures technologiques et à préparer divers scénarios de réponse à des incidents fictifs. Par exemple, vous pouvez faire des simulations afin d’identifier des intervenants à l’intérieur de l’entreprise qui sauront quoi faire le moment venu. Vous pouvez aussi identifier une tierce partie.
Au Canada : CyberSécuritaire Canada (lien vers un site externe) est un programme de certification pour les petites et moyennes entreprises. Il fournit des ressources additionnelles qui complètent votre apprentissage, comme des guides, des modèles à remplir ainsi que des exemples de politiques et de plans en vue d’obtenir votre certification.
En province : Les sociétés canadiennes ont également la
possibilité de faire appel à des entreprises privées afin d’assurer
leur sécurité en ligne. Il existe plus d’une centaine d’entreprises spécialisées dans
la cybersécurité d’entreprise au Canada (lien vers site
externe). Au Québec, l’organisme PROMPT (lien vers site externe) est un
exemple dans l’accompagnement d’entreprises dans l’obtention de
certificats en matière de cybersécurité.
Formez vos employés
Il est essentiel de former vos employés en cybersécurité pour
vous assurer qu’ils sont prudents avec les liens cliquables, les
pièces jointes, etc. Il faut les familiariser avec les différents
types de fraudes pour ne pas mettre l’entreprise en danger de
l’intérieur (fraude du président, hameçonnage, etc.).
Comment s’assurer que vos employés comprennent et prennent en
considération la cybersécurité?
Développez une culture de cybersécurité en ouvrant le dialogue avec vos employés. Cela n’arrivera pas spontanément. Par exemple, à la Banque Nationale, nous disons que la cybersécurité, c’est l’affaire de tous! Tout le monde a un rôle à jouer pour identifier une situation à risque. Il faut donc impliquer chaque acteur de votre entreprise. Vous pouvez également faire des ateliers de sensibilisation à la cybersécurité.
Investissez temps et argent
Il faut prévoir des sommes pour la cybersécurité dans votre
budget afin de pouvoir prévenir et réagir rapidement en cas de
cyberattaque. Par exemple, vous pourriez avoir une équipe affectée à
la cybersécurité à l’interne ou encore recourir à des firmes externes.
Bien souvent, le coût de l’inaction est plus élevé (risques pour votre
réputation, perte de clientèle, perte de revenus, etc.).
Envisagez de souscrire une cyberassurance
Une bonne façon de protéger votre entreprise des coûts et des risques
liés à la cybersécurité, c’est de vous munir d’une assurance.
Elle vous aidera à limiter votre perte, qu’il s’agisse d’une perte
d’activité reliée à l’attaque ou à des données sensibles. Notez
cependant que les conditions sont nombreuses et que les coûts sont
assez élevés pour souscrire une telle assurance. Une bonne
cyberhygiène est donc de mise.
Quelles sont les ressources pour en savoir davantage?
Pour développer vos connaissances et vos réflexes en matière de
cybersécurité d’entreprise, il existe plusieurs ressources. Par
exemple, Banque Nationale est un membre fondateur de Cybereco,
votre référence multisectorielle en cybersécurité au Québec et au
Canada.
Développez votre main-d’œuvre et renforcez la résilience de votre
entreprise en utilisant la
Cybertrousse (lien vers site externe). Vous
y trouverez des éléments de sensibilisation pour les employés, les
gestionnaires et les responsables des TI, des pistes pour définir une
politique de cybersécurité et des conseils de base grand public pour
vous protéger à la maison.
La protection de votre entreprise est un impératif. Il faut vous
conformer aux lois et aux réglementations canadiennes, et protéger vos
données sensibles afin d’assurer la continuité de vos activités. Apprenez-en
plus sur la sécurité en ligne et la prévention de la
fraude.