Ce qui rend les PME vulnérables aux cyberattaques (et comment s’en protéger)

14 novembre 2024 par La Presse Banque Nationale
André Boucher et John Athanasiades, leaders Banque Nationale

L’an dernier, près de 569 millions de dollars ont été rapportés en pertes financières liées à des fraudes¹. Bien que les plus récentes données du gouvernement canadien rapportent une légère diminution des entreprises canadiennes touchées par des incidents de cybersécurité (18 % en 2021, comparativement à 21 % en 2019 et en 2017²), beaucoup de PME pourraient être mieux protégées. André Boucher, chef de la Sécurité de l’Information à la Banque Nationale, et son collègue John Athanasiades, directeur principal, Gestion de la Criminalité financière et Sécurité corporative, présentent leurs observations et recommandations à ce sujet.

Cet article est d’abord paru dans La Presse XTRA le 28 octobre 2024.

Dans cet article :

Les PME plus à risque

Ne disposant pas des mêmes ressources financières ni des mêmes expertises que les grandes sociétés, les PME investissent généralement peu en cybersécurité. Or, leur position privilégiée au sein de l’écosystème entrepreneurial en fait des cibles de choix.

« Justement parce qu’une PME est petite et possiblement moins bien protégée, elle peut servir de porte d’entrée aux acteurs de menaces qui ciblent les grandes sociétés clientes ou partenaires. » - André Boucher, chef de la Sécurité de l’Information, Banque Nationale

Selon les sources, chaque cyberattaque coûterait entre 7 800 $² et 15 000 $³ : des pertes disproportionnées par rapport à l’investissement que nécessiteraient la mise en place de quelques mesures de cybersécurité fondamentales.

Petit lexique de base

  • Cybersécurité : Moyens visant à protéger les systèmes informatiques de votre entreprise pour assurer la confidentialité, l’intégrité et la disponibilité des données et des informations personnelles.
  • Cybercriminalité : Tout crime commis principalement à l’aide d’Internet ou d’une technologie dans le but d’obtenir un gain financier.

3 bonnes pratiques en cybersécurité

1. Mettre en place des politiques claires

En 2021, seulement 26 % des entreprises avaient des politiques écrites en matière de cybersécurité. Mettre en place des normes rigoureuses aide pourtant les équipes à adopter des réflexes prudents. De nombreuses précautions peuvent même être instaurées à coût nul.

« Gérez rigoureusement les accès à vos solutions bancaires en ligne afin de protéger les avoirs de votre entreprise. Par exemple, vous pouvez autoriser certains utilisateurs à initier des transactions et d’autres à les approuver et les compléter, tout en établissant des limites aux montants transférés. » - John Athanasiades, directeur principal, Gestion de la Criminalité financière et Sécurité corporative, Banque Nationale

Hameçonnage, ingénierie sociale, textos, appels téléphoniques ou vidéoconférences exploitant l’hypertrucage (deepfake) : les cybermenaces prennent une variété de formes et sont en constante évolution. Les politiques de cybersécurité doivent donc être adaptées aux risques spécifiques à chaque entreprise. Elles doivent également enseigner aux équipes à reconnaître certains signaux d’alerte communs, comme celui d’entretenir un sentiment d’urgence pour tromper leur vigilance. Par exemple, quelqu’un menace de désactiver un compte si les informations bancaires ne sont pas mises à jour immédiatement, ou utilise l’identité du président ou de la présidente de l’entreprise afin d’exercer une pression.

2. Élaborer et mettre en pratique un plan d’intervention

Un plan d’intervention efficace en cas d’incident s’apparente à un plan de sécurité incendie. Il identifie les personnes responsables de la gestion de crise, un point de rassemblement, les actions à poser et les ressources avec lesquelles communiquer de toute urgence, y compris son assureur en cybersécurité.

« Les entreprises sont souvent ciblées lors d’un moment vulnérable, comme la fin de semaine. Le but du plan d’intervention est de réduire la fenêtre de temps où on peut se faire exploiter. » - André Boucher, chef de la Sécurité de l’Information, Banque Nationale

Tout comme les exercices d’évacuation, il importe de pratiquer ce plan d’intervention lors de simulations ou de tests pour en mesurer l’efficacité et le perfectionner. Des partenaires en cybersécurité peuvent même orchestrer de fausses cyberattaques afin d’évaluer la résilience des systèmes en place, d’identifier les lacunes et de colmater les brèches.

3. Sensibiliser le personnel et offrir de la formation continue

Dans les milieux résidentiels bénéficiant d’un comité de surveillance de quartier, les gens signalent promptement toute présence inhabituelle. Cette même habitude devrait s’appliquer à l’univers numérique des entreprises, où trop de personnes hésitent encore à rapporter un incident. « Le meilleur outil de détection des cybermenaces, c’est souvent l’humain », explique André Boucher. Un programme de formation et de sensibilisation s’adressant à l’ensemble de l’équipe met à profit cette force potentielle.

« Former et sensibiliser les gens encourage le réflexe de signaler tout incident dès qu’il se produit, facilitant ainsi une intervention immédiate. On peut évaluer la menace rapidement et prendre les mesures nécessaires pour protéger l’entreprise. » - John Athanasiades, directeur principal, Gestion de la Criminalité financière et Sécurité corporative, Banque Nationale

Un tel programme devrait être offert sur une base continue et intégrer une variété d’outils, notamment des communications, des webinaires d’information, des discussions, des mises en situation et des ateliers pratiques. Par exemple, de faux courriels d’hameçonnage peuvent être envoyés périodiquement afin de mesurer combien de gens les signalent.

Une responsabilité collective pour le bien du pays

Les PME représentent près de 98 % de toutes les entreprises au Canada. Malgré leurs ressources souvent limitées, elles peuvent compter sur différents partenaires d’expérience comme Cybereco, un organisme québécois qui les aide à prévenir, à reconnaître et à signaler les cybermenaces. Cybereco développe aussi des talents en cybersécurité prêts à être recrutés.

De plus, la Chaire de recherche en prévention de la cybercriminalité et la Chaire de recherche du Canada en cybersécurité (affiliée à l’Université de Montréal) diffusent de bonnes pratiques à adopter. La Banque Nationale est également fière de collaborer avec l’Association des banquiers canadiens afin d’offrir des trousses de conseils tangibles et pratiques.

Tout l’écosystème économique du Canada doit collaborer pour faire face à ces menaces qui se multiplient. « C’est un problème de société, tout le monde, toutes les industries, doivent faire partie de la solution », conclut John Athanasiades.

Envie d'en discuter avec nous? Contactez votre conseillère ou conseiller Banque Nationale ou en gestion de patrimoine Financière Banque Nationale. Vous n’avez pas de spécialiste responsable de votre dossier?
 

Prenez rendez-vous

1 Centre antifraude du Canada

2 L'incidence du cybercrime sur les entreprises canadiennes, 2021

3 Le coût de la fraude pour les PME: Gestion des risques et des défis

4 Le paysage changeant de la cybersécurité à la suite de la pandémie de COVID-19

5 Principales statistiques relatives aux petites entreprises 2023

Notes légales 

©2020 - Toute reproduction totale ou partielle est strictement interdite sans l’autorisation préalable écrite de la Banque Nationale du Canada.

Les articles et renseignements accessibles sur ce site Internet sont protégés par les lois sur le droit d'auteur en vigueur au Canada ou dans d'autres pays, le cas échéant. Les droits d’auteur dans ces articles et renseignements peuvent appartenir à la Banque Nationale du Canada ou à d'autres personnes. Toute reproduction, rediffusion, communication par télécommunication, incluant par référence via un hyperlien, ou toute autre utilisation non explicitement permise, de la totalité ou d’une partie de ces articles et renseignements, est interdite sans le consentement préalable et écrit de leur titulaire respectif.

Le contenu de ce site ne doit en aucune façon être interprété, considéré ou utilisé comme s’il constituait des conseils d’ordre financier, juridique, fiscal ou autre. La Banque Nationale et ses partenaires en contenu ne peuvent être tenus responsables des dommages que vous pourriez subir dans le cadre d’une telle utilisation.

Nous tenons à vous informer que l'information présentée sur ce site web, qu'elle soit d'ordre financier, fiscal ou réglementaire, pourrait ne pas être valable à l'extérieur de la province du Québec.

Cet article est offert par la Banque Nationale, ses filiales et les entités de son groupe à titre informatif seulement. Il ne crée aucune obligation légale ou contractuelle pour la Banque Nationale, ses filiales et les entités de son groupe et le contenu des programmes et des conditions qui y sont décrits est sujet à changement.

Les hyperliens contenus dans cet article pourraient rediriger vers un site externe qui n’est pas administré par la Banque Nationale. La Banque ne peut être tenue responsable du contenu de ce site externe ni des dommages résultant de son utilisation.

Les opinions présentées dans ce texte sont celles de la personne interviewée. Elles ne reflètent pas nécessairement les opinions de la Banque Nationale ou de ses filiales.

Pour tout conseil concernant vos finances et celles de votre entreprise, veuillez consulter votre conseiller de la Banque Nationale, votre planificateur financier ou, le cas échéant, tout professionnel (comptable, fiscaliste, avocat, etc.).

 

Tags :
Vision Leaders, Gestion de patrimoine