Cybersecurité

Cybersécurité : cinq conseils pour les petites entreprises

Par

1 avril 2019

2565

Managing his business online — Cropped shot of a young man working on a tablet in his coffee shop

Si vous êtes propriétaire d’une entreprise, la seule pensée de devoir trouver du temps pour vous occuper de la cybersécurité peut vous sembler épuisante. On vous comprend. Mais cela peut poser un réel problème si vous n’y voyez pas du tout : une panne majeure pourrait frapper votre réseau, des renseignements personnels pourraient être compromis ou l’accès à d’importants documents pourrait être perdu à cause d’une attaque par rançongiciel. Vous pourriez ainsi perdre des heures, des jours ou même des semaines de travail. C’est pourquoi nous avons dressé cette liste des cinq meilleurs conseils à suivre quand on est propriétaire d’une PME et qu’on veut veiller à la sécurité de son entreprise, sans devoir trop empiéter sur le temps nécessaire à leurs autres activités.

Conseil de sécurité n^o1 : demandez-vous ce qui est à risque

La première chose à faire pour assurer la cybersécurité est facile : ne pêchez pas par excès de confiance! Savoir ce qui est à risque dans votre entreprise vous incitera à suivre les tendances en matière de cybersécurité et vous permettra de hiérarchiser vos renseignements sensibles. On pourrait aisément croire que les pirates ont plus à gagner en ciblant des entreprises plus importantes qui possèdent beaucoup de renseignements ultra-secrets exploitables ou d’énormes sommes d’argent. Le fait est que, peu importe le type de votre entreprise — qu’il s’agisse d’un bar sportif, d’une buanderie ou un service de messagerie —, celle-ci représente une cible potentielle pour les pirates informatiques. Parmi les éléments qui attirent le plus les pirates figurent les renseignements personnels de vos employés (comme l’information bancaire inscrite dans le registre du personnel ou les numéros d’assurance sociale pouvant servir au vol d’identité), l’information relative aux paiements des clients (telle que les numéros des cartes de crédit recueillis par les terminaux de points de vente) et les fichiers pour lesquels vous seriez prêt (selon les pirates) à verser une rançon pour pouvoir y accéder de nouveau s’ils venaient à être bloqués dans le cadre d’une attaque par rançongiciel. Mais quel est le plus grand attrait des petites entreprises pour les pirates informatiques? Leur vulnérabilité. L’idée qui prévaut encore dans les petites entreprises est que celles-ci sont trop petites pour apparaître sur le radar des cyberattaquants. Ironiquement, ce sont les nombreuses failles de sécurité des réseaux des petites entreprises que détectent les pirates.

Conseil de sécurité n^o2 : prenez le temps de bien choisir vos mots de passe

Bon, on a établi que toute entreprise peut être la cible d’une cyberattaque, peut-on aussi convenir de ne plus jamais utiliser des mots de passe comme « motdepasse » ou « 123456 »? Oui? Génial! À quoi bon faire le travail des pirates à leur place?

Voilà pour ce qui est de l’erreur la plus courante. On peut maintenant aller un peu plus loin. Un bon mot de passe est :

facile à mémoriser
complexe, donc impossible à deviner
modifié fréquemment
différent de tous ceux qu’on utilise pour ses autres comptes

Ces trois derniers points semblent contradictoires au premier, on le sait. Il est évidemment difficile de se souvenir de plusieurs mots de passe complexes. C’est pourquoi de nombreuses personnes choisissent d’utiliser des mots de passe simples, comme le nom d’un membre de leur famille, une date importante tel un anniversaire ou d’autres faits dans ce genre qui, franchement, ne seraient pas très difficiles à deviner si on se donnait la peine de chercher un peu.

Pour faciliter la mémorisation de mots de passe complexes, il vous suffit d’utiliser des suites de lettres et de chiffres qui semblent aléatoires, mais qui sont significatives pour vous, donc faciles à mémoriser. Voici un exemple : mcBae5ce16. Ce mot de passe ne veut rien dire et semble impossible à mémoriser — jusqu’à ce qu’on révèle sa signification : « ma chienne Bella a eu 5 chiots en 2016 ». Ce type de phrases faciles à mémoriser peut vous donner de bons mots de passe, composés de lettres majuscules et minuscules, de chiffres et même de caractères spéciaux. Si vous souhaitez pousser la chose encore plus loin, vous pourriez investir dans un gestionnaire de mots de passe, qui vous permettra de générer des mots de passe uniques et forts, en plus de gérer ceux-ci, pour tous les appareils qui se connectent au réseau de votre entreprise et pour tous les comptes auxquels on accède à partir de celui-ci. Voici le conseil le plus important à retenir en ce qui concerne les mots de passe : ne le partagez jamais, au grand jamais, avec qui que ce soit. Et si vous avez le moindre doute qu’une personne ait pu le deviner ou accéder à vos comptes, jouez de prudence : changez immédiatement votre mot de passe.

Conseil de sécurité n^o3 : soyez un utilisateur de logiciels averti

Un logiciel antivirus est-il le meilleur moyen de prévenir les cyberattaques? Oui, absolument — mais il y a un mais. Les logiciels antivirus ne sont pas tous équivalents. Alors, assurez-vous de bien vous renseigner afin de choisir un programme antivirus fiable et recommandé pour une utilisation professionnelle. Après avoir installé l’antivirus, ne pensez pas que l’affaire est réglée et que vous pouvez passer à autre chose. Les menaces évoluent constamment. Elles sont de plus en plus perfectionnées et elles arrivent à déjouer les logiciels antivirus périmés. Mettez à jour vos logiciels fréquemment. Veillez aussi à activer la mise à jour automatique pour bénéficier de la dernière version dès qu’elle est disponible. Par ailleurs, il vous arrive sûrement de vérifier si vous avez bien verrouillé votre porte avant de partir (même si vous venez juste de le faire). Sachez qu’il n’y a pas de mal non plus à vérifier à quel moment remonte la dernière mise à jour de vos logiciels. Vous pourrez ainsi vous assurer que la mise à jour automatique est activée et effectuée dès que possible.

Conseil de sécurité n^o4 : faites des copies de sauvegarde

La sauvegarde de documents, de fichiers et de dossiers importants est tout autant une mesure de cybersécurité qu’une solution de secours en cas de plantage informatique. Plus précisément, elle représente un énorme avantage en cas d’attaque par rançongiciel, lors de laquelle un pirate bloque l’accès à des fichiers pour tenter d’exploiter leur propriétaire. Si votre entreprise devait être la cible d’une telle attaque, la sauvegarde en nuage de vos fichiers vous permettrait d’accéder à des copies de ceux-ci, sans devoir payer des sommes exorbitantes au pirate. Imaginez-vous un film, où le preneur d’otages, en se retournant, se rend compte qu’il retient des mannequins depuis le début. La mission de ce rançonneur hypothétique serait un échec total. Vérifiez régulièrement la copie de sauvegarde de vos données afin de vous assurer qu’elle permet d’effectuer une restauration complète.

Conseil de sécurité n^o5 : ne mordez pas à l’hameçon

Les stratagèmes d’hameçonnage ne sont pas toujours faciles à reconnaître. La plupart du temps, on doute de l’authenticité d’un courriel provenant d’une source inconnue qui demande de cliquer sur un lien ou de télécharger un fichier pour une raison suspecte, laquelle peut aller d’une offre peu probable jusqu’à des propositions parfois un peu osées (inutile de vous faire un dessin, n’est-ce pas?). Mais comme la plupart des cybermenaces, les techniques d’hameçonnage sont de plus en plus perfectionnées. Voici quelques indices qui devraient vous mettre la puce à l’oreille :

Un courriel qui semble provenir d’une source officielle, comme une banque, l’ARC, le président de votre entreprise, votre service des TI, etc.
Le ton impérieux du courriel et le recours à des tactiques d’intimidation qui suggèrent que vous vous exposez à de graves conséquences si vous tardez à agir.
Un message qui vous demande d’agir si vous croyez avoir reçu par erreur le courriel en question (par exemple, « si vous n’avez pas commandé ceci, veuillez cliquer ici pour annuler la commande »).

La façon la plus simple de savoir si un courriel provient d’une source fiable ou non, c’est de toujours regarder l’adresse courriel de l’expéditeur (pas seulement son nom) qui a envoyé le message, en plus de l’adresse URL du lien à cliquer (il suffit de le survoler avec la souris : ne cliquez surtout pas sur ce lien à moins d’avoir confirmé qu’il est valide). Ne répondez pas à l’expéditeur et, si vous croyez que le courriel est frauduleux, supprimez le message.

Un dernier conseil concernant l’hameçonnage : méfiez-vous lorsqu’on vous appelle pour obtenir des renseignements sur votre entreprise, comme le nom de vos employés, leurs titres de fonction, leurs adresses de courriel. De plus en plus de pirates se procurent ce genre d’information avant d’envoyer leur courriel d’hameçonnage afin qu’il ait l’air particulièrement crédible. Il n’est pas nécessaire de considérer l’information sur votre entreprise comme ultra-secrète (de vrais clients voudront toujours se renseigner sur votre entreprise), mais restez sur vos gardes si un élément vous semble inhabituel. Demandez également à vos employés de signaler en tout temps les courriels qui ont l’air suspects, pas seulement ceux qu’ils reçoivent à la suite de ce genre d’appel. Plus votre équipe collaborera au signalement des agissements suspects, plus votre entreprise sera en mesure de déjouer les tentatives d’hameçonnage.

La bonne nouvelle concernant ces cinq conseils (mis à part le fait qu’ils vous permettront aussi d’améliorer la sécurité de votre entreprise), c’est que vous n’aurez pas à consacrer beaucoup de temps à leur mise en œuvre. La protection de votre entreprise des cyberattaques ne devrait pas être une tâche additionnelle qui gruge votre temps et vous empêche de remplir tous les autres rôles qui vous incombent en tant que chef d’entreprise. Alors, quelle est la morale de l’histoire? Vous pouvez posséder une entreprise et veiller à sa protection.

Conseil de sécurité no 1 : demandez-vous ce qui est à risque

Conseil de sécurité no 2 : prenez le temps de bien choisir vos mots de passe

Conseil de sécurité no 3 : soyez un utilisateur de logiciels averti

Conseil de sécurité no 4 : faites des copies de sauvegarde

Conseil de sécurité no 5 : ne mordez pas à l’hameçon

ARTICLES CONNEXESPLUS DE L'AUTEUR

Cyberattaques : développez les bons réflexes

Comment protéger votre petite entreprise des cyberattaques (infographie)

Comment renforcer votre cybersécurité avec l’experte Emilija Jasnic

Conseil de sécurité n^o1 : demandez-vous ce qui est à risque

Conseil de sécurité n^o2 : prenez le temps de bien choisir vos mots de passe

Conseil de sécurité n^o3 : soyez un utilisateur de logiciels averti

Conseil de sécurité n^o4 : faites des copies de sauvegarde

Conseil de sécurité n^o5 : ne mordez pas à l’hameçon

ARTICLES CONNEXES PLUS DE L'AUTEUR