Cyberattaques : près du quart des PME canadiennes touchées

- 29 octobre 2015
  • Imprimer

Une nouvelle étude menée par Grant Thornton révèle que les cyberattaques affaiblissent gravement les entreprises. Le coût total des attaques à l’échelle mondiale est estimé à au moins 315 G$ US[1] au cours des 12 derniers mois. Au Canada, près du quart des PME ont déjà été touchées par ce type d’attaques et pourtant, encore très peu d’entreprises sont prêtes à y faire face.

L’International Business Report (IBR) de Grant Thornton, une étude mondiale réalisée auprès de 2 500 chefs d’entreprise dans 35 pays, dont 200 entreprises canadiennes et 50 entreprises québécoises, indique que 23 % des PME canadiennes ont subi une cyberattaque au cours de la dernière année. Si l’on tient compte des atteintes à la sécurité très médiatisées (ex. : Ashley Madison, Target, Sony, etc.) et des piratages de plus en plus fréquents, près de 50 % des entreprises dans le monde se trouvent dans la ligne de mire des pirates informatiques sans aucune stratégie globale pour contrer le crime numérique.

Des PME mal préparées en matière de cybersécurité

Malgré le risque majeur que représentent les cyberattaques, l’étude révèle que 35 % des PME canadiennes n’ont pas d’employé qui s’occupe de la cybersécurité et que 43 % des PME canadiennes n’ont pas de stratégie en matière de cybersécurité. Les risques sont pourtant nombreux pour les entreprises (réputation, confiance des clients, etc.) et les conséquences financières peuvent être fatales à l’entreprise.

Pourquoi les pirates informatiques arrivent-ils à leurs fins? L’erreur humaine…

Malgré la mise en place des meilleurs outils technologiques possible, la très grande majorité des cyberattaques résultent d’erreurs ou de négligence humaine :

Malgré la mise en place des meilleurs outils technologiques possible, la très grande majorité des cyberattaques résultent d’erreurs ou de négligence humaine :

  • Données d’accès (code d’usager et mot de passe) non protégées ou partagées avec d’autres;
  • Perte ou vol des cartes d’accès aux lieux de l’entreprise;
  • Perte ou vol d’appareils électroniques non protégés (ex. clés USB, tablettes, ordinateurs, téléphones portables, etc.);
  • Partage d’informations confidentielles (réseaux sociaux, etc.);
  • Pare-feu ou antivirus non activé ou désactivé;
  • Omission de confirmer en personne ou de vive voix des instructions reçues par courriels, surtout si ces instructions portent sur des transferts de fonds (la « fraude du Président »);
  • Réponses ou actions inappropriées à la suite de la réception de courriels d’hameçonnage.

Le cas des courriels d’hameçonnage

Les courriels d’hameçonnage constituent une technique très répandue parmi les pirates informatiques pour s’infiltrer dans les ordinateurs personnels de leurs victimes ou dans les réseaux informatiques de leurs employeurs ou partenaires d’affaires. Ces courriels visent à subtiliser des données personnelles des destinataires. La plupart de ces courriels semblent provenir d’institutions financières ou de sites Internet bien connus où les gens peuvent faire des achats ou transactions en ligne (banques, PayPal, Amazon, Apple, etc.).Invariablement, ces courriels tentent d’inciter les destinataires à mettre à jour leurs données personnelles ou à cliquer sur un hyperlien menant à un site Internet piraté ou encore à activer une routine d’installation visant à infecter leurs ordinateurs avec des logiciels malicieux qui servent à recueillir des informations personnelles pour ensuite les transmettre aux malfaiteurs. Ces derniers utilisent ensuite ces informations pour avoir accès aux comptes de leurs victimes ou pour s’infiltrer dans leurs ordinateurs personnels ou dans les réseaux informatiques de leurs employeurs ou partenaires d’affaires.

Que faire face aux courriels d’hameçonnage

  • Contacter par téléphone l’expéditeur présumé en utilisant un numéro qui provient d’une source sûre;
  • Modifier régulièrement vos mots de passe (truc : utiliser un logiciel qui génère des mots de passe sécuritaires et qui centralise la gestion de vos divers mots de passe);
  • Utiliser le mode d’authentification à deux facteurs lorsque disponible;
  • Ne jamais envoyer d’informations personnelles ou financières par courriel;
  • Ne pas partager vos données d’accès;
  • Ne jamais cliquer sur des hyperliens contenus dans des courriels. Si vous devez absolument visiter le site Web de l’expéditeur présumé, entrer vous-même son adresse Internet dans votre fureteur;
  • Garder à jour les pare-feu, antivirus et autres outils servant à contrer les logiciels malveillants;
  • Signaler les courriels d’hameçonnage reçus aux expéditeurs présumés;
  • Vérifier régulièrement vos relevés de compte bancaire, de carte de crédit et de carte de débit pour vous assurer que tout soit en ordre.

Que faire si vous pensez vous êtes fait avoir…

  • Communiquer avec votre institution financière pour changer vos numéros de compte de banque et numéros de carte de crédit;
  • Modifier vos données personnelles pour tous les sites Web où vous possédez un compte;
  • Alerter les agences de crédit et demander à être avisé lorsque des demandes d’information seront faites à votre égard auprès de ces agences;
  • Communiquer avec votre administrateur de réseau au travail pour l’informer de la situation et modifier vos données d’accès;
  • Informer toute autre personne, société, institution ou organisme qui pourraient être affectés en raison de cette intrusion.

 

Comment prévenir ces situations?

Contrairement aux idées reçues, la cybersécurité n’est pas seulement une question de technologie. La communication constitue la pierre angulaire de toute stratégie de prévention contre les cybermenaces. Il est donc primordial, entre autres, de sensibiliser les dirigeants, administrateurs, employés et partenaires d’affaires aux conséquences dévastatrices que toute erreur ou négligence peut avoir sur les activités de l’entreprise.

Nous pourrons vous aider à élaborer une stratégie de défense contre les cyberattaques ainsi qu’à sécuriser votre réseau informatique, vos postes de travail, vos périphériques et tous les autres appareils électroniques que vous utilisez. Visitez notre site Internet pour plus d’information sur nos services en cyber sécurité.

En cas de fraude, il est primordial de communiquer avec des spécialistes de la juricomptabilité dès que possible afin d’identifier, de recueillir, de classifier, de préserver et d’analyser la preuve. Nos experts en juricomptabilité et enquêtes pourront vous aider à circonscrire le problème, à quantifier les dommages subis, à vous assister, le cas échéant, avec vos réclamations d’assurance et, possiblement, à récupérer ce qui vous a été volé. Visitez notre site Internet pour plus d’information sur nos services de juricomptabilité et enquêtes.

[1] Basé sur l’estimation du IBR de la perte de revenus causée par les cyberattaques.

Commentez cet article