Votre PME est-elle armée pour faire face aux cyberattaques?

Les acteurs malveillants tentent continuellement de s’en prendre à vous et à votre personnel. Voici comment protéger votre entreprise.

• Ce qu’en pensent les spécialistes
• Les abîmes d’une lutte silencieuse contre des menaces toujours changeantes
• PME : attention aux tentatives d’hameçonnage
• Prolifération des attaques par rançongiciel
• Une réglementation nord-américaine en constante évolution en finances, en santé et en droit
• Créer un cadre de cybersécurité efficace pour les PME
• Qu’en est-il de la cyberassurance?

Ce qu’en pensent les spécialistes

Le risque d’une cyberattaque pèse constamment sur les entreprises et les organisations, et la nature de celles-ci ne cesse d’évoluer. Or, il est étonnant de constater que les petites et moyennes entreprises (PME) sont les plus vulnérables à ces menaces pour de nombreuses raisons, dont le manque d’expertise et de ressources informatiques.

Pis encore, selon un article de StrongDM* aux conclusions des plus contradictoires, près de la moitié des petites entreprises de moins de 50 employés interrogées n’ont pas de budget pour la cybersécurité et 51 % d’entre elles n’ont pris aucune mesure de protection. De plus, 59 % des propriétaires de petites entreprises dépourvues de mécanismes de cybersécurité estiment que leur entreprise est trop petite pour être attaquée.

C’est pour le moins inquiétant.

Aujourd’hui, dans le monde des affaires, si votre entreprise n’a pas déjà été victime d’un cyberincident, ce n’est malheureusement qu’une question de temps avant qu’elle en soit la cible. Même si vous avez un technicien ou un service informatique à votre disposition, il est fort probable qu’il ne consacre pas le plus clair de son temps aux questions de sécurité. Il y a toutefois certaines mesures qui pourraient renforcer vos défenses et mieux vous protéger, vous, vos clients et vos partenaires de confiance.

Les abîmes d’une lutte silencieuse contre des menaces toujours changeantes

Le problème, ce n’est pas que les PME ne sont pas conscientes de l’évolution des cybermenaces et de la cybercriminalité. Il en est souvent question dans les médias, surtout lorsque les grandes entreprises en sont victimes. Toutefois, selon bien des sondages et des études, il existe une méconnaissance généralisée dans les PME de ce qui doit être fait pour se défendre contre les menaces : budget suffisant, personnel compétent, stratégie de défense appropriée et infrastructure de sécurité informatique adaptée. Toute lacune à cet égard fait d’une PME une cible plus facile qu’une grande organisation, laquelle dispose généralement de meilleures ressources. Dans certains cas, les acteurs malveillants se servent sans remords des PME pour avoir accès aux grandes organisations dont elles sont des partenaires de confiance.

Il est non seulement difficile de prévenir les attaques pour les PME, mais aussi généralement plus ardu pour elles d’en gérer les répercussions, vu le manque de ressources. Elles n’ont pas l’expertise nécessaire pour assurer la gestion de leur réputation, des relations avec les autorités de réglementation (savoir si, quand et comment un incident doit être signalé) et des communications avec les clients, les partenaires, les fournisseurs, voire les membres de leur personnel. Il n’est donc pas étonnant que les PME subissent généralement les plus durs contrecoups des cyberattaques. Les conséquences sont énormes, allant de la perte de confiance de la clientèle, à l’atteinte à la réputation, sans oublier le risque de lourdes pertes financières.

PME : attention aux tentatives d’hameçonnage par piratage psychologique

De nos jours, les cyberattaques sont la plupart du temps automatisées, ce qui signifie qu’elles peuvent cibler des centaines, voire des milliers de PME à la fois. Mesures de défense moins nombreuses, politiques moins strictes, conscience moins aiguisée des menaces et manque de temps et de ressources pour les contrer : voilà qui a fait des PME des cibles faciles pour les acteurs malveillants.

Les cybercriminels utilisent maintenant habilement le piratage psychologique pour cibler des personnes au sein d’une entreprise au lieu d’exploiter les vulnérabilités technologiques, même si celles-ci sont encore un risque considérable dans le paysage actuel des menaces. Selon des études récentes, les tentatives d’hameçonnage constituent la principale menace pour les PME. De fait, celles-ci représentent 90 % de toutes les brèches de sécurité dont sont victimes les organisations. Au cours de la dernière année, les tentatives d’hameçonnage ont augmenté de plus de 60 %, occasionnant des pertes de plus de 12 milliards de dollars. Eh oui, vous avez bien lu, « milliards » de dollars.

Comment fonctionne l’hameçonnage?

L’hameçonnage met en jeu un pirate qui se fait passer pour une personne de confiance, souvent un partenaire fiable, une entreprise ou une autorité respectée. Le pirate incite le destinataire à cliquer sur un lien frauduleux, à télécharger un document malveillant ou à fournir des renseignements délicats, des données bancaires ou des identifiants. Ces attaques sont de plus en plus sophistiquées, notamment la compromission de messagerie d’entreprise (Business Email Compromise; BEC). Les acteurs malveillants utilisent des campagnes d’hameçonnage pour voler les mots de passe des comptes de messagerie de cadres supérieurs, puis se servent de ces comptes pour demander frauduleusement ce qui semble être des paiements légitimes à des membres du personnel qui ne se doutent de rien.

Prolifération des attaques par rançongiciel

Les attaques par rançongiciel arrivent en deuxième place, derrière l’hameçonnage. Dans le cas du rançongiciel, l’acteur malveillant chiffre les données de l’entreprise afin d’en bloquer l’utilisation ou l’accès, et exige le paiement d’une rançon pour les libérer. Selon Forbes*, 70 % des attaques par rançongiciel qui se sont produites en 2021 visaient des PME, dont une petite entreprise de fabrication de meubles qui a dû débourser 150 000 $ pour pouvoir reprendre ses activités. Un rapport de l’Université du Maryland* indique que 82 % de toutes les attaques par rançongiciel visent des PME. De plus, lorsqu’une cyberattaque est fructueuse, une entreprise sur cinq doit interrompre complètement ses activités jusqu’à ce que le problème soit résolu. Les organisations du domaine de la santé sont particulièrement à risque.

Le problème peut s’expliquer en partie par des pratiques imprudentes au bureau, comme coller sur un ordinateur un papillon adhésif sur lequel est noté un mot de passe. Des renseignements délicats peuvent ainsi tomber facilement entre les mains de personnes non autorisées.

Une réglementation nord-américaine en constante évolution en finances, en santé et en droit

En cas de perte ou de vol de données personnelles mal protégées, votre entreprise peut se voir imposer des amendes importantes et perdre sa crédibilité. Si les mesures de protection et la conformité aux exigences sont particulièrement importantes dans les domaines des finances, de la santé et du droit, il n’en reste pas moins que chaque PME aux États-Unis et au Canada est légalement tenue de protéger les données sensibles et de respecter les réglementations fédérales et locales. Selon des études récentes*, le coût moyen d’une fuite de données pour une petite entreprise aux États-Unis peut aller de 120 000 $ à 1 240 000 $. Comme le fait de confier des services à un tiers ne s’accompagne pas d’un transfert de responsabilité, le recours à des tierces parties peut devenir fort problématique pour les PME en cas d’attaque.

Les réglementations en matière de protection des données et des clients varient d’un bout à l’autre de l’Amérique du Nord. Aux États-Unis, comme il n’existe pas de loi nationale sur les potentielles brèches de sécurité et fuites de données, les législateurs fédéraux et étatiques ont pris certaines mesures législatives. Il s’agit toutefois d’un ensemble disparate, et de nombreuses lois s’appliquent selon le secteur d’activité de l’entreprise. Par exemple, en juin 2023, la FTC a publié des modifications* à la Health Breach Notification Rule (HBNR) en vue de renforcer les exigences de signalement des fuites de données pour les entités qui recueillent des renseignements sur la santé, mais qui ne sont pas nécessairement assujetties aux règles de la Health Insurance Portability and Accountability Act (HIPAA) en matière de vie privée et de sécurité. C’est pourquoi on s’attend à ce que le nombre d’enquêtes de la FTC et leur ampleur augmentent.

En outre, de plus en plus d’États adoptent des lois sur la protection de la vie privée ou modifient les lois existantes pour protéger la vie privée, régir les questions afférentes et encadrer le signalement des fuites de données. À l’instar des organismes fédéraux, on constate une hausse des enquêtes concernant des brèches par les agences d’État, y compris les procureurs généraux. Il s’agit d’incidents dont la défense peut se révéler coûteuse et qui peuvent entraîner des sanctions civiles et des poursuites, également à grands frais.

Au Canada, les principales réglementations de protection englobent la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui régit la collecte, l’utilisation et la communication de renseignements personnels par les organisations dans le cadre d’activités commerciales. Le commissaire à la protection de la vie privée du Canada veille au respect de cette loi. Des lois provinciales très semblables à la LPRPDE peuvent aussi s’appliquer en Alberta, en Colombie-Britannique et au Québec, et viennent souvent la supplanter. Par ailleurs, lorsque plusieurs lois s’appliquent, la PME doit se conformer à chacune d’elles si l’information confidentielle doit traverser les frontières.

Créer un cadre de cybersécurité efficace pour les PME

Face à ces cyberattaques inquiétantes et à leurs conséquences potentielles, une bonne compréhension du comportement des cybercriminels et de vos vulnérabilités vous aidera à planifier votre défense. Autrement dit, vous devez tenir pour acquis que votre entreprise sera victime d’une attaque et vous préparer en conséquence, car savoir, c’est pouvoir.

Tout d’abord, faites de la cybersécurité le premier point à l’ordre du jour de vos réunions de direction. La surveillance implique que votre équipe de direction soit immédiatement mise au courant des cybermenaces et supervise les mesures de défense. Il est également essentiel que votre plan envisage le pire.

Ensuite, il faut évaluer le risque pour votre entreprise. En l’absence de soutien en sécurité informatique, divers moyens peuvent être pris pour protéger vos données et vos activités. Voici quelques exemples :

• Sécuriser le traitement des paiements, en collaboration avec vos institutions bancaires et vos entreprises de traitement des cartes, afin que les données des clients soient protégées par des outils à jour et hautement fiables.
• Veiller à ce que tous les correctifs logiciels soient apportés dès qu’ils sont accessibles.
• Contrôler l’accès aux ordinateurs de votre entreprise, aux ordinateurs portatifs du personnel et aux appareils mobiles.
• S’assurer que les privilèges administratifs ne sont accordés qu’aux membres de confiance des services informatiques ou du personnel.
• Effectuer des vérifications d’accès pour valider que les anciens membres du personnel ne peuvent accéder à des données sensibles.
• Faire une sauvegarde régulière des données de tous vos ordinateurs, en prévention d’une attaque.
• Vérifier les données stockées dans le nuage (Dropbox, Google Disque, Box, services Microsoft, etc.) et nommer des administrateurs qui autoriseront le personnel à accéder uniquement aux renseignements dont il a besoin.
• Offrir régulièrement de la formation sur la cybersécurité et les pratiques exemplaires à l’ensemble du personnel, notamment sur les éléments à surveiller dans les courriels, l’utilisation de mots de passe distincts pour chaque compte et l’ajout d’une authentification multifacteur pour protéger l’accès aux comptes.

La U.S. Small Business Administration dresse une liste de mesures utiles* à prendre et fournit les liens vers des ressources, gratuites dans certains cas, pouvant vous aider à assurer la sécurité de votre entreprise.

Qu’en est-il de la cyberassurance?

Il ne fait aucun doute que les répercussions financières d’une cyberattaque peuvent être énormes. Les données varient selon les rapports, mais l’un d’eux datant de février 2023 indique que les PME devront débourser entre 826 $ et 653 527 $ pour un seul incident. Toutefois, cela n’inclut pas les coûts afférents aux pertes commerciales et à l’atteinte à la réputation que devra assumer l’entreprise. Ce même rapport indique que seulement 17 % des petites entreprises bénéficient d’une cyberassurance et que 48 % des entreprises y souscrivent après avoir subi une attaque.

Aujourd’hui, de plus en plus de PME envisagent d’ajouter une assurance de cyberresponsabilité pour se prémunir contre les risques. À tout le moins, l’ajout d’une telle assurance vous permet de vous conformer à la réglementation qui oblige toute entreprise à informer les clients lorsque des renseignements permettant de les identifier sont compris dans une fuite. La préparation de la demande en vue d’obtenir une police d’assurance contre les risques de cybersécurité prend du temps, notamment parce qu’elle implique de remplir des questionnaires et de parler à des analystes des risques. L’assureur peut également exiger que vous choisissiez parmi sa sélection de fournisseurs. Selon Insureon*, le coût moyen d’une assurance de cyberresponsabilité pour les petites entreprises est d’environ 145 $/mois. Bien entendu, le coût véritable sera fonction de votre domaine, de vos activités et du genre de données sur les clients qui vous traitez.

C’est pourquoi il est impératif de disposer de mesures de cybersécurité adéquates pour se défendre contre une cyberattaque et en atténuer les effets avant de souscrire une cyberassurance. Les assureurs sont naturellement réticents à accepter un client qui ne dispose pas de ces mesures, et l’assurance ne remplace pas une infrastructure de sécurité robuste et une gestion rigoureuse. D’ordinaire, en cas de cyberattaques, l’assurance ne protège pas le matériel endommagé ni les tierces parties avec lesquelles vous collaborez.

Demandez l’aide d’un spécialiste en sécurité de confiance

Tous ces conseils vous aident à mieux comprendre les risques liés à la cybersécurité, les mesures préventives et l’importance de la cyberassurance. Cependant, de nombreuses PME n’ont pas les ressources nécessaires pour gérer leur propre sécurité. C’est pourquoi il est crucial de trouver un partenaire fiable qui connaît bien votre secteur d’activité et qui comprend vos difficultés et vos besoins. Grâce à ses conseils professionnels et à son savoir-faire technique, vous pourrez mettre en place une solution abordable adaptée à votre situation.

Konica Minolta comprend parfaitement la menace, travaillant depuis plus de 20 ans à répondre aux besoins des PME en matière de sécurité. Nous possédons une vaste expertise en informatique, qui va de la cybersécurité et la réseautique à des solutions d’impression entièrement gérées, en passant par des solutions vidéo intelligentes et les plus récentes solutions infonuagiques hautement sécurisées qui permettent de réaliser une sauvegarde complète et d’ainsi assurer votre tranquillité d’esprit.

Notre équipe vous aidera à cerner vos besoins en sécurité pour ensuite trouver des solutions adaptées à votre budget et à vos exigences, le tout selon des décisions éclairées et rentables pour votre entreprise. De plus, comme vos besoins continueront d’évoluer et de croître au même rythme que votre entreprise, nos services comprennent aussi une évaluation et un examen en continu de votre situation pour assurer l’actualisation de vos mesures de sécurité.

Pour en savoir plus, rendez-vous sur le site Web des Services de sécurité de l’information.

*en anglais seulement.