Cybersécurité: Si vous ne pouviez faire que ces 3 petites choses…
28 Janvier 2022
La pandémie a forcé les entreprises à prendre un virage numérique (par l’adoption du télétravail et du commerce en ligne) qui les rend aujourd’hui grandement vulnérables face aux cyberattaques. Voici comment s’en prémunir.
Logiquement, les entreprises devraient de toute urgence rehausser la sécurité de leur réseau informatique. Pourtant, de trop nombreux dirigeants baissent les bras avant même d’essayer, sans doute dépassés par une tâche qui leur apparaît insurmontable.
Dans un rapport de février 2021, 6 dirigeants sur 10 se sont dit d’accord avec l’affirmation suivante :
Je n’ai ni le temps, ni les connaissances ou les ressources nécessaires pour bien protéger mon entreprise contre les cyberattaques ».
Or, il s’avère que le « minimum » à faire pour protéger une entreprise n’a rien de déraisonnable ni d’extravagant. Le consultant en cybersécurité Jean-Philippe Racine, président du Groupe CyberSwat, invite les entreprises à considérer « trois essentiels » permettant de grandement réduire les risques de subir une cyberattaque ou d’en limiter les dommages si elle survient :
- L’authentification forte en deux étapes;
- La formation des employés;
- Le recours à des sauvegardes «immuables».
Nous vous expliquons ces mesures avec son aide, ainsi que celle d’Emeline Manson, formatrice en prévention des fraudes et en cybersécurité et fondatrice d’EM Développement.
1. Activation de l’authentification en deux étapes
L’authentification « double facteur » désigne la séquence où une application nous demande d’entrer un deuxième code d’authentification après que l’on ait entré son nom d’utilisateur et son mot de passe. Ce deuxième code est généré par l’application elle-même; il nous est ensuite transmis par texto, courriel ou une application de gestion de code d’authentification.
Ça permet de contrer la quasi-totalité des attaques automatisées qui cherchent des combinaisons d’utilisateur/mot de passe », fait valoir Jean-Philippe Racine.
Pour ajouter une couche de sécurité au processus, Emeline Manson conseille de recevoir ce fameux code sur une application de gestion des codes d’authentification plutôt que par texto ou courriel.
2. Sensibiliser les employés
Selon le Rapport d’enquête 2021 sur les compromissions de données de Verizon, il y aurait encore aujourd’hui 85% des brèches informatiques qui sont attribuables à une erreur humaine, et 35% des brèches qui découlent d’un hameçonnage (qui est la technique où un employé est invité à cliquer sur un lien ou une pièce jointe menant au déclenchement d’un logiciel malveillant.)
Les liens et les pièces jointes non sollicitées sont la plus grande porte d’entrée dans une entreprise, prévient Emeline Manson. Et l’hameçonnage peut provenir de n’importe où : un message texto, un message sur un réseau social ou d’un mail ».
À la lumière de ces statistiques, on comprend l’importance de sensibiliser les employés sur ce genre de menaces. C’est d’ailleurs le mandat que s’est donnée Emeline Manson, qui offre de la formation en ligne ainsi que de l’accompagne aux entreprises et aux solopreneurs qui veulent adopter les meilleures pratiques en matière de cybersécurité.
La formatrice souligne aussi le fait que les cyberpirates sont de plus en plus habiles à personnifier par mail un supérieur hiérarchique pour commander à un employé d’effectuer un transfert de fonds illégal; ce qu’on appelle « la fraude du président ». Les employés doivent ainsi redoubler de vigilance envers ce genre de fraude et de menace.
3. Utiliser une solution de stockage « immuable »
Une solution de stockage « immuable » est une application permettant de faire une sauvegarde qui ne peut pas être effacée par aucun utilisateur. Recourir à ce type de sauvegarde peut être critique à la relance des opérations, lorsqu’une entreprise s’est fait infiltrer par un rançongiciel et que toutes ses données sont chiffrées.
Lors d’une attaque par rançongiciel, les pirates ne se contentent pas de prendre en otages les données, mais ils vont aussi essayer de chiffrer aussi les sauvegardes, explique Jean-Philippe Racine. Si on utilise des sauvegardes immuables, on accélère la relève des systèmes lorsqu’on est victime d’une attaque informatique. »
Bien sûr, garantir la cybersécurité d’une entreprise peut aller beaucoup plus loin ces trois « essentiels ». Surtout si votre entreprise possède des données sensibles. Toutefois, la cybersécurité doit être vu comme un projet d’amélioration continue. Une entreprise franchit les étapes une à une vers un plus grand niveau de conformité.