Comment parer aux cyberattaques visant les entreprises en démarrage

Julie Leo, directrice générale, Cybersécurité et risque technologique, RBCx propose différentes stratégies aux chefs d’entreprise

En 2022, l’hôpital SickKids de Toronto a passé une bonne partie de la période des Fêtes dans l’embarras. Cet établissement renommé pour ses services de santé pédiatrique a fait l’objet d’une cyberattaque qui a neutralisé ses ordinateurs, retardé la production des résultats de laboratoire et des services d’imagerie, rendu ses lignes téléphoniques inutilisables et fait s’arrêter son système de paie du personnel. Il s’agissait d’une attaque par rançongiciel qui a fini par être contrée, mais le retour à la normale a pris plusieurs semaines.

Julie Leo, directrice générale, Cybersécurité et risque technologique, RBCx, a choisi de raconter cette anecdote lors d’un récent webinaire consacré à la protection des entreprises en démarrage contre les cyberattaques et les activités frauduleuses.

L’Autorité canadienne pour les enregistrements Internet (ACEI) signale que 44 % des entreprises canadiennes ont été visées par une cyberattaque l’an dernier. La sécurité de leurs données et de leurs appareils a été compromise. Il en a coûté en moyenne près de 6 millions de dollars. Par ailleurs, PwC relève que 11 % des présidents et chefs de la direction canadiens croient que leur entreprise sera « très » ou « extrêmement » exposée aux cyberrisques au cours des 12 prochains mois ; cette proportion grimpe à 18 % quand on évoque les cinq prochaines années.

Sami Khoury, responsable du Centre canadien pour la cybersécurité, l’organisme national spécialiste en la matière qui travaille en collaboration avec le gouvernement du Canada, ne mâche pas ses mots : « Les attaques par rançongiciel sont de plus en plus fréquentes et nos infrastructures essentielles sont de plus en plus vulnérables. L’information retrouvée en ligne sème la discorde et est de plus en plus trompeuse. Comme nous l’avons dit par le passé, il est maintenant temps de prendre la cybersécurité au sérieux. »

« La question n’est plus de savoir si votre entreprise sera victime d’une cyberattaque, car il s’en produit désormais à chaque instant. Il vous faut déterminer l’impact qu’elle aura. »

Pour une meilleure compréhension des cybermenaces actuelles et de l’importance des mesures de protection à prendre en 2023, Julie Leo a donné aux clients de RBCx un cours-éclair sur la cybersécurité : notions de base, types de menaces, importance des dispositifs de protection pour les entreprises en croissance et conseils pratiques à l’usage des jeunes pousses. « La question n’est plus de savoir si votre entreprise sera victime d’une cyberattaque, car il s’en produit désormais à chaque instant, explique Julie Leo. Il vous faut déterminer l’impact qu’elle aura. »

Si vous avez manqué le webinaire ou voulez en avoir une petite synthèse, voici ce qu’il faut retenir.

Cultivez la vigilance

La cybersécurité doit faire partie intégrante de la culture de votre entreprise. Incitez vos employés à signaler sans délai toute activité suspecte et établissez des canaux de communication sur les incidents potentiels touchant à la sécurité. Menez régulièrement des campagnes de sensibilisation, insistez sur l’importance des pratiques de cybersécurité et récompensez le personnel pour sa contribution au maintien de la sécurité. Organisez périodiquement des ateliers et des séances de formation pour inculquer les bonnes pratiques (repérer les courriels d’hameçonnage, créer des mots de passe difficiles à deviner, reconnaître les messages ou liens suspects, etc.).

Si les activités de formation coûtent trop cher, Julie Leo suggère de faire appel aux ressources en ligne gratuites ou de monter un club de lecture pour que chacun se familiarise avec le sujet. Peu importe les moyens utilisés, la défense collective impose de donner le ton et de faire en sorte que chacun pense instinctivement « sécurité ». « Arrangez-vous pour qu’on en parle du sommet de la hiérarchie jusque dans les caucus d’équipe, insiste Julie Leo. La sécurité ne va pas de soi. Il faut commencer par semer la bonne parole. »

Mettez en place un cadre de cybersécurité solide

Une des priorités de toute jeune entreprise qui veut parer aux cyberattaques doit être l’établissement d’un cadre solide et résilient reposant sur des contrôles techniques et opérationnels. Les premiers englobent les systèmes de détection des intrusions (protection contre les virus et les maliciels), les protocoles de chiffrement et les pratiques de codage sécuritaire. Par contrôles opérationnels, on entend l’élaboration de politiques de sécurité exhaustives, les évaluations périodiques du risque et les plans d’intervention en cas d’incident.

« En ce qui concerne le plan de cybersécurité, les moyens technologiques, le personnel et les processus doivent être au cœur des priorités de la direction. »

« En ce qui concerne le plan de cybersécurité, souligne Julie Leo, les moyens technologiques, le personnel et les processus doivent être au cœur des priorités. Quand votre entreprise aura gagné en maturité, il ne faudra pas se limiter à l’unité d’affaires qui génère des revenus ; le cadre de cybersécurité devra s’étendre à tous les secteurs (sûreté, gestion des risques, audits, etc.), de façon que les protocoles voulus soient en place partout. »

Faites appel à des spécialistes en cybersécurité

Une entreprise en démarrage dispose rarement de beaucoup de personnel, mais cela ne signifie pas que, en matière de cybersécurité, l’expertise et les moyens sont hors de portée. Julie Leo conseille de s’adresser à des conseillers spécialisés dans l’amélioration, à tous les niveaux, de la sécurité des jeunes pousses. « S’il vous est difficile d’embaucher le personnel ad hoc, confiez l’élaboration de la stratégie de cybersécurité et la mise sur pied du cadre connexe aux meilleurs technologues ou développeurs spécialisés auxquels votre budget vous permet de faire appel. Investissez dans ces formateurs. Ils deviendront vos personnes-ressources en sécurité et épauleront par la suite vos propres technologues. »

Menez régulièrement des évaluations de la sécurité

Vérifiez si vos systèmes et réseaux présentent des failles et des points faibles. Pour cela, menez des audits de sécurité. Ils mettront au jour les lacunes des pratiques et politiques en place. Les tests d’intrusion (simulations d’attaques) permettront aussi de contrôler l’efficacité des dispositifs de protection existants. En menant périodiquement de telles évaluations, une entreprise en démarrage peut découvrir et combler ses brèches avant que les cybercriminels ne s’y engouffrent.

Julie Leo souligne toutefois que l’attaque peut venir de l’intérieur : un employé mécontent pourrait par exemple se servir à de mauvaises fins des moyens mis à sa disposition. « L’attaquant externe ne dispose que des quelques prises qu’il aperçoit du dehors, tandis que l’ennemi de l’intérieur peut profiter non seulement de votre confiance, mais de nombreuses possibilités d’accès et d’occasions d’agir. »

Prévoyez d’autres couches de protection

« La protection de vos données d’entreprise passe d’abord par celle du produit », explique Julie Leo, qui recommande de multiplier les garde-fou autour des systèmes et plateformes névralgiques :

• Correctifs de sécurité et mises à jour logicielles. En maintenant à niveau vos appareils, votre infrastructure et vos applications, vous réduirez les risques majeurs et disposerez d’un environnement opérationnel sécuritaire.
• Authentification multifacteur. Ce mode d’authentification impose aux utilisateurs internes ou en contact avec la clientèle de fournir au moins deux clés d’accès indépendantes (exemple : un mot de passe et un code à utilisation unique qu’ils recevront sur leur téléphone mobile). On réduit ainsi fortement les risques d’accès non autorisé, même si le mot de passe a été découvert.
• Chiffrement. Si vous prenez soin de brouiller vos données archivées ou en cours de transmission, elles ne seront d’aucune utilité pour les pirates qui ne disposeront pas des clés de chiffrement privées.
• Mécanismes de sauvegarde et de restauration des données. Pour garantir un stockage sécuritaire de vos données et pouvoir les récupérer facilement, prévoyez une stratégie dans les règles, avec copies hors site (dans le nuage, par exemple).

Le mot de la fin

Pourquoi penser « cybersécurité » ? Pour préserver vos actifs, protéger votre réputation, courir le moins de risques possible en matière réglementaire (donc éviter de lourdes amendes), ne pas voir vos activités s’interrompre sans crier gare… Mais l’univers numérique étant de plus en plus complexe, tout entrepreneur doit retenir que la cybersécurité n’est jamais totalement acquise ; elle exige d’être constamment vigilant et de s’adapter en permanence. En mettant dès maintenant en œuvre les stratégies qui précèdent (ou au moins une partie d’entre elles), vous rendrez votre entreprise en démarrage, face à des cybermenaces qui s’affinent sans arrêt, beaucoup plus coriace – c’est le gage de sa croissance et de sa prospérité.

Merci à nos clients et à nos partenaires d’avoir suivi notre webinaire sur la cybersécurité. Nous espérons organiser bientôt un autre événement du même genre afin d’aider les entreprises en démarrage à prendre leur essor. Forts de plus de 150 ans de savoir institutionnel, nous mettons à profit notre expertise approfondie pour contribuer à la réussite de nos clients. Parlez dès maintenant à un conseiller technologique de RBCx pour en savoir plus sur la façon dont nous pouvons aider votre entreprise.