Ce qui rend les PME vulnérables aux cyberattaques (et comment s’en protéger)

14 novembre 2024 par La Presse Banque Nationale
André Boucher et John Athanasiades, leaders Banque Nationale

L’an dernier, près de 569 millions de dollars ont été rapportés en pertes financières liées à des fraudes¹. Bien que les plus récentes données du gouvernement canadien rapportent une légère diminution des entreprises canadiennes touchées par des incidents de cybersécurité (18 % en 2021, comparativement à 21 % en 2019 et en 2017²), beaucoup de PME pourraient être mieux protégées. André Boucher, chef de la Sécurité de l’Information à la Banque Nationale, et son collègue John Athanasiades, directeur principal, Gestion de la Criminalité financière et Sécurité corporative, présentent leurs observations et recommandations à ce sujet.

Cet article est d’abord paru dans La Presse XTRA le 28 octobre 2024.

Les PME plus à risque

Ne disposant pas des mêmes ressources financières ni des mêmes expertises que les grandes sociétés, les PME investissent généralement peu en cybersécurité. Or, leur position privilégiée au sein de l’écosystème entrepreneurial en fait des cibles de choix.

« Justement parce qu’une PME est petite et possiblement moins bien protégée, elle peut servir de porte d’entrée aux acteurs de menaces qui ciblent les grandes sociétés clientes ou partenaires. » - André Boucher, chef de la Sécurité de l’Information, Banque Nationale

Selon les sources, chaque cyberattaque coûterait entre 7 800 $² et 15 000 $³ : des pertes disproportionnées par rapport à l’investissement que nécessiteraient la mise en place de quelques mesures de cybersécurité fondamentales.

Petit lexique de base

  • Cybersécurité : Moyens visant à protéger les systèmes informatiques de votre entreprise pour assurer la confidentialité, l’intégrité et la disponibilité des données et des informations personnelles.
  • Cybercriminalité : Tout crime commis principalement à l’aide d’Internet ou d’une technologie dans le but d’obtenir un gain financier.

3 bonnes pratiques en cybersécurité

1. Mettre en place des politiques claires

En 2021, seulement 26 % des entreprises avaient des politiques écrites en matière de cybersécurité. Mettre en place des normes rigoureuses aide pourtant les équipes à adopter des réflexes prudents. De nombreuses précautions peuvent même être instaurées à coût nul.

« Gérez rigoureusement les accès à vos solutions bancaires en ligne afin de protéger les avoirs de votre entreprise. Par exemple, vous pouvez autoriser certains utilisateurs à initier des transactions et d’autres à les approuver et les compléter, tout en établissant des limites aux montants transférés. » - John Athanasiades, directeur principal, Gestion de la Criminalité financière et Sécurité corporative, Banque Nationale

Hameçonnage, ingénierie sociale, textos, appels téléphoniques ou vidéoconférences exploitant l’hypertrucage (deepfake) : les cybermenaces prennent une variété de formes et sont en constante évolution. Les politiques de cybersécurité doivent donc être adaptées aux risques spécifiques à chaque entreprise. Elles doivent également enseigner aux équipes à reconnaître certains signaux d’alerte communs, comme celui d’entretenir un sentiment d’urgence pour tromper leur vigilance. Par exemple, quelqu’un menace de désactiver un compte si les informations bancaires ne sont pas mises à jour immédiatement, ou utilise l’identité du président ou de la présidente de l’entreprise afin d’exercer une pression.

2. Élaborer et mettre en pratique un plan d’intervention

Un plan d’intervention efficace en cas d’incident s’apparente à un plan de sécurité incendie. Il identifie les personnes responsables de la gestion de crise, un point de rassemblement, les actions à poser et les ressources avec lesquelles communiquer de toute urgence, y compris son assureur en cybersécurité.

« Les entreprises sont souvent ciblées lors d’un moment vulnérable, comme la fin de semaine. Le but du plan d’intervention est de réduire la fenêtre de temps où on peut se faire exploiter. » - André Boucher, chef de la Sécurité de l’Information, Banque Nationale

Tout comme les exercices d’évacuation, il importe de pratiquer ce plan d’intervention lors de simulations ou de tests pour en mesurer l’efficacité et le perfectionner. Des partenaires en cybersécurité peuvent même orchestrer de fausses cyberattaques afin d’évaluer la résilience des systèmes en place, d’identifier les lacunes et de colmater les brèches.

3. Sensibiliser le personnel et offrir de la formation continue

Dans les milieux résidentiels bénéficiant d’un comité de surveillance de quartier, les gens signalent promptement toute présence inhabituelle. Cette même habitude devrait s’appliquer à l’univers numérique des entreprises, où trop de personnes hésitent encore à rapporter un incident. « Le meilleur outil de détection des cybermenaces, c’est souvent l’humain », explique André Boucher. Un programme de formation et de sensibilisation s’adressant à l’ensemble de l’équipe met à profit cette force potentielle.

« Former et sensibiliser les gens encourage le réflexe de signaler tout incident dès qu’il se produit, facilitant ainsi une intervention immédiate. On peut évaluer la menace rapidement et prendre les mesures nécessaires pour protéger l’entreprise. » - John Athanasiades, directeur principal, Gestion de la Criminalité financière et Sécurité corporative, Banque Nationale

Un tel programme devrait être offert sur une base continue et intégrer une variété d’outils, notamment des communications, des webinaires d’information, des discussions, des mises en situation et des ateliers pratiques. Par exemple, de faux courriels d’hameçonnage peuvent être envoyés périodiquement afin de mesurer combien de gens les signalent.

Une responsabilité collective pour le bien du pays

Les PME représentent près de 98 % de toutes les entreprises au Canada. Malgré leurs ressources souvent limitées, elles peuvent compter sur différents partenaires d’expérience comme Cybereco, un organisme québécois qui les aide à prévenir, à reconnaître et à signaler les cybermenaces. Cybereco développe aussi des talents en cybersécurité prêts à être recrutés.

De plus, la Chaire de recherche en prévention de la cybercriminalité et la Chaire de recherche du Canada en cybersécurité (affiliée à l’Université de Montréal) diffusent de bonnes pratiques à adopter. La Banque Nationale est également fière de collaborer avec l’Association des banquiers canadiens afin d’offrir des trousses de conseils tangibles et pratiques.

Tout l’écosystème économique du Canada doit collaborer pour faire face à ces menaces qui se multiplient. « C’est un problème de société, tout le monde, toutes les industries, doivent faire partie de la solution », conclut John Athanasiades.

Retour
Conditions d’utilisation
L'assistant virtuel de la Banque Nationale

En utilisant notre service d’Assistant Virtuel (le « Chatbot »), vous acceptez ces conditions d’utilisation qui peuvent changer sans préavis. En outre, vous vous engagez à consulter ces conditions périodiquement et reconnaissez qu’en continuant à utiliser le Chatbot, vous acceptez tous les changements qui pourraient y avoir été apportés. En continuant d’utiliser le Chatbot, vous reconnaissez avoir lu, compris et accepté ces conditions, les conditions d’utilisation de notre site Web, de nos Services transactionnels en ligne, et notre politique de confidentialité. Vous comprenez aussi que toutes les autres ententes que vous avez avec nous continueront de s’appliquer lorsque vous utilisez le Chatbot.

1. Nos services et vos responsabilités

Le Chatbot est un service automatisé qui est intégré dans notre plateforme de services bancaires en ligne.

Le Chatbot est préprogrammé pour répondre à des questions générales concernant l’utilisation de notre plateforme de services bancaires en ligne, exclusivement à des fins d’information. Le Chatbot n’est pas en mesure de répondre à des questions concernant des opérations monétaires personnelles ou des produits que vous détenez chez nous.

En utilisant le Chatbot, vous comprenez et acceptez ce qui suit :

  • Le Chatbot ne dispense pas de conseils financiers ni de services de planification financière.
  • Le Chatbot n’effectue aucune opération bancaire.
  • Le Chatbot peut ne pas être en mesure de répondre à toutes vos questions. Par conséquent, il peut ne pas être en mesure de vous donner l’information que vous recherchez. Il vous appartient de juger si la réponse donnée répond avec précision à votre question. En cas d’incertitude, un représentant du service à la clientèle se fera un plaisir de vous répondre. Vous pouvez nous appeler sans frais au 1 888 483-5628 ou au 514 394-5555.
  • Le Chatbot n’est pas un service de réclamations. Vous ne pouvez pas utiliser le Chatbot pour déposer des plaintes. Si vous avez des réclamations, vous pouvez communiquer avec nous à l’un des numéros indiqués ci-dessus.
  • Nous surveillons, enregistrons et stockons la discussion que vous avez avec le Chatbot pour améliorer la qualité de nos interactions avec nos clients.
  • Vous vous engagez à ne communiquer aucun renseignement personnel, confidentiel ou privé au Chatbot. Par exemple, vous ne devez pas donner au Chatbot vos codes d’identification, votre NIP ou vos renseignements d’identification bancaire personnels.

2. Limite de responsabilité

Vous reconnaissez que nous ne serons responsables d’aucune perte ni d’aucun dommage que vous subiriez du fait de votre utilisation du Chatbot y compris si le Chatbot n’est pas disponible pour quelque raison que ce soit.

Nous ne pouvons pas garantir que les résultats obtenus par l’entremise du Chatbot seront précis et fiables ni que ses réponses répondront à vos attentes.

Nous déclinons toute responsabilité à l’égard des dommages que vous pourriez subir à la suite de :

  • Tout retard, erreur, interruption ou omission de notre part ou de tout événement échappant à notre contrôle.
  • Toute déficience ou erreur technique ou toute indisponibilité de nos systèmes et réseaux sans fil.
  • Votre incapacité de vous acquitter d’une de vos obligations.
  • Toute modification ou suspension du Chatbot ou tout refus ou blocage le concernant.
  • Toute décision ou mesure que vous prendrez en réponse à une information et à des données obtenues par l’entremise du Chatbot.
  • Tout autre préjudice que vous pourriez subir et qui n’est pas causé par une négligence de notre part.

3. Langue

Vous avez demandé que les conditions d’utilisation et les documents connexes soient établis en français.

4. Droit applicable

Ces conditions d’utilisation sont régies par les lois en vigueur dans la province ou le territoire de votre domicile et doivent être interprétées en accord avec elles. Si vous êtes domicilié(e) hors du Canada, les lois en vigueur et les tribunaux compétents sont ceux du Québec.

Assistant virtuel