Gérer et développer une entreprise est un travail difficile, même en période de prospérité, mais les temps de crise apportent une nouvelle série de défis. Alors que nous dépendons de plus en plus de la technologie pour de nombreux aspects de notre vie, nous nous rendons compte que les crises et les urgences mondiales, voire régionales, auront finalement des répercussions dans le domaine numérique.
Il y a deux ans, de nombreuses vies et de nombreux moyens de subsistance ont été soudainement mis en péril, sans aucun avertissement. La pandémie de COVID-19 a révélé notre fragilité collective et la ruée inévitable vers le télétravail a mis à l'épreuve la résilience de nombreuses entreprises, tout en créant un terrain fertile pour la cybercriminalité.
La pandémie n'a pas encore tirée sa révérence et la communauté de la cybersécurité tire déjà la sonnette d’alarme sur un autre danger mondial : le risque de conséquences majeures découlant de la guerre en Ukraine, qui pourrait perturber les opérations des organisations dans le monde et, dans certains cas, déclencher une crise en cascade.
Le risque est aigu pour les agences gouvernementales et les multinationales, mais aussi pour les plus vulnérables des organisations, les petites et moyennes entreprises (PME). Dépourvues des ressources de leurs homologues de plus grande taille, les petites entreprises peuvent trouver particulièrement difficile de se défendre contre les cybercriminels ou de rebondir après une attaque réussie.
Petit poisson dans un grand aquarium?
La couverture médiatique s'étant concentrée sur les failles de sécurité de grande ampleur, on peut pardonner à de nombreux propriétaires de petites entreprises de penser qu'ils sont à l'abri. C'est loin d'être le cas. De nos jours, aucune entreprise n'est trop petite pour être remarquée par les criminels - ou pour devenir un dommage collatéral d'attaques visant d'autres cibles. Trop souvent, les entreprises sont victimes d'attaques déployées sans discernement et à grande échelle, dans le but de faire une plus grosse prise.
LECTURE CONNEXE : Les PME: cibles privilégiées des attaques de rançongiciel
Les PME sont connues pour être une cible privilégiée des cybercriminels, car elles disposent de plus d'actifs et d'argent que les consommateurs, mais de cyberdéfenses moins sophistiquées que les grandes entreprises. Indépendamment de leur taille et de leur degré de préparation, les entreprises doivent évaluer régulièrement leurs capacités de réponse aux incidents, et plus encore en période de risque accru.
Une question de survie
Si votre entreprise n'en est qu'au stade de l'évaluation de ses risques de sécurité, on peut supposer qu'elle n'en est qu'à ses débuts. Il existe cependant quelques mesures simples que vous pouvez prendre immédiatement pour protéger vos données et celles de vos employés :
- Faites un inventaire pour évaluer votre risque : Si vous ne savez pas ce que vous avez, vous ne pouvez pas le protéger. Tenez une liste de tout votre matériel : PC, ordinateurs portables, téléphones mobiles, routeurs et imprimantes. Incluez également vos services numériques, les logiciels que vous utilisez, vos comptes bancaires et les services en nuage tels que Google Docs et iCloud. Grâce à cet inventaire, il sera plus facile de savoir où et ce qui pourrait mal tourner.
- Définissez vos politiques de sécurité : La sécurité et un bon leadership vont de pair. Veillez à communiquer à vos employés pourquoi il s'agit d'un sujet important, pourquoi seul le personnel autorisé peut entrer dans le bureau, ou pourquoi ils ne doivent pas utiliser d'ordinateurs portables personnels ou d'autres appareils pour accéder aux données professionnelles. S'ils travaillent à distance, expliquez-leur pourquoi ils doivent être prudents lorsqu'ils se connectent à des points d'accès Wi-Fi publics.
- Mettez en place des contrôles : Pour s'assurer que les politiques convenues sont appliquées, il est important de mettre en place des contrôles informatiques. Une étape fondamentale consiste à définir un nom d'utilisateur et un mot de passe ou une phrase de passe uniques pour que chaque employé puisse accéder à son ordinateur portable et à l'intranet de l'entreprise. Définissez le protocole que les employés doivent suivre en cas de problème ou d'incident de sécurité. Vous devriez également utiliser un logiciel de sécurité pour protéger les employés contre les logiciels malveillants. Enfin, envisagez d'utiliser le cryptage pour empêcher l'accès aux données et leur lecture par un attaquant et l'authentification à deux facteurs pour fournir une couche supplémentaire en plus du mot de passe.
- Testez vos politiques de sécurité : Avec les mesures prises précédemment, votre entreprise bénéficie déjà d'un certain niveau de protection. Mais vous devez vous assurer que toutes les étapes ont été bien adoptées et qu'elles offrent une réponse fluide en cas d'attaque. N'oubliez pas que vous devez vous assurer que les employés utilisent des mots de passe forts et uniques.
- Sensibilisez : Sensibilisez les employés à la cybersécurité est un effort à long terme. Même des travailleurs bien informés peuvent se laisser prendre à de simples courriels de tentative d’hameçonnage. Une stratégie de sécurité efficace dépend de votre leadership pour informer et éduquer les employés.
- Continuez à tester : Une fois que vous avez franchi les étapes précédentes, ne baissez pas votre garde. Vous devez réévaluer vos processus au moins une fois par an, voire plus souvent en période de crise. Assurez-vous que vos employés respectent vos directives, que tous vos logiciels sont à jour pour rester à l'abri des vulnérabilités connues, et désactivez ou supprimez les comptes et les accès des employés qui ont quitté l'entreprise.
La clé de la résilience
Le rapport Cost of a Data Breach Report 2021 d'IBM a révélé une augmentation de 10 % par rapport à l'année précédente du coût moyen d'un incident de données, correspondant à un total de 4,24 millions de dollars américains - un montant qui couvre les frais juridiques, réglementaires et techniques causés par les attaques malveillantes aux 537 entreprises étudiées. Un tel montant est bien plus élevé que l'investissement que les entreprises pourraient faire pour éviter des situations similaires.
En suivant ces étapes simples, votre sécurité passera au niveau supérieur, mais attendez-vous à ce que des attaques se produisent. Quand elles se produisent, sachez qui appeler pour obtenir de l'aide, car les menaces peuvent se manifester sous différentes formes. N'oubliez pas que les données de vos clients sont tout aussi précieuses pour vous que pour les attaquants. Ils peuvent les utiliser à des fins illicites, les partager en ligne pour nuire à la crédibilité de votre entreprise, ou les voler pour vous pousser à payer une rançon. Ils peuvent aussi simplement les effacer sans motif apparent et nuire gravement à votre entreprise.
Les temps sont durs. Les propriétaires d'entreprises doivent ajouter quelques préoccupations supplémentaires qui ne faisaient pas partie de leur liste de contrôle de sécurité il y a encore peu de temps. Mais ne vous laissez pas submerger. S'assurer que vos mots de passe sont forts et que vos employés comprennent la nécessité de suivre vos politiques de sécurité est un bon point de départ.
EN SAVOIR PLUS : Cybersécurité : ressources et conseils du NIST pour les petites entreprises