La cybersécurité n’est plus seulement l’affaire des grandes entreprises. Au cours des dernières années, des cyberattaques ont fait les manchettes partout au Canada, en raison de leur ampleur, mais aussi des perturbations aux activités, de la fragilisation de la confiance des clients et des millions de dollars en coûts de récupération. Si les grosses sociétés disposent des ressources nécessaires pour rebondir, les petites et moyennes entreprises (PME) se retrouvent souvent démunies.

En vérité, les cybercriminels d’aujourd’hui visent de plus en plus les petits organismes, perçus comme des cibles faciles. D’ailleurs, la BDC signale que 73 % des petites entreprises du Canada ont subi un incident de cybersécurité en 2024.

On pense souvent à l’aspect technique de la cybersécurité, mais l’enjeu fondamental consiste à protéger ce que l’on a construit : ses activités, sa clientèle et son avenir.

Cyberattaques notables

Les cybermenaces ne sont plus des risques abstraits; elles sont réelles et coûteuses, et se produisent ici même au Canada. Récemment, les fuites subies par des géants de la vente au détail et des agences publiques ont montré qu’aucune enseigne, quelle que soit sa notoriété, n’était à l’abri. Les PME ne peuvent pas se contenter de s’informer sur ces incidents : elles doivent en tirer des leçons pour éviter les faux pas et mieux se préparer.

Étude de cas no 1 : Indigo Books

Début 2023, Indigo, l’une des plus grandes chaînes canadiennes de vente au détail, a été victime d’une attaque par rançongiciel qui l’a forcée à fermer son site Web et ses systèmes de point de vente pendant plusieurs jours. Les clients ne pouvaient pas passer de commandes, le personnel ne pouvait pas traiter les retours, et les systèmes de paie automatisés ont aussi été touchés. Par la suite, on s’est aperçu que des renseignements sur le personnel avaient été volés pendant la fuite et publiés sur le Web caché.

Les conséquences

• Interruption des activités : La plateforme de commerce électronique et les systèmes internes d’Indigo ont été hors ligne pendant plus d’une semaine.
• Divulgation des données : Les renseignements personnels d’employés (actuels et anciens) ont été compromis.
• Confiance fragilisée : La clientèle, qui ne pouvait plus faire d’achats en ligne ni obtenir d’informations sur les commandes, a exprimé sa frustration. Une bonne partie s’est détournée d’Indigo.

Leçons pour les PME

Indigo a beau être une grande entreprise, elle a rencontré des vulnérabilités (segmentation limitée du système, réponse mal définie en cas de violation et dépendance à l’égard d’une infrastructure vieillissante) très courantes dans les petites entreprises, lesquelles ne possèdent pas, pour la plupart, les mêmes ressources qu’Indigo pour retrouver pied

En 2023, les entreprises canadiennes ont dépensé 1,2 milliard de dollars pour se remettre d’incidents de cybersécurité. D’après les projections de Statista, ce chiffre pourrait atteindre 4,78 milliards de dollars américains en 2028. Une seule violation peut entraîner la fermeture permanente d’une petite entreprise.

Étude de cas no 2 : LCBO

En janvier 2023, la Régie des alcools de l’Ontario (LCBO) s’est rendu compte du piratage de ses courriels promotionnels hebdomadaires. Pendant plusieurs jours, les liens des courriels ont redirigé les clients vers un site Web frauduleux, conçu pour voler leurs renseignements personnels et financiers. Résolu relativement rapidement, le problème a tout de même exposé des milliers de personnes à un risque d’hameçonnage et de fraude.

Les conséquences

• Risque d’hameçonnage : Sans le savoir, les clients ont été redirigés vers des sites Web malveillants, créés pour recueillir leurs coordonnées bancaires et leurs identifiants de connexion.
• Atteinte à la réputation : L’attaque a ébranlé la confiance de la clientèle, d’autant plus qu’elle visait un canal de communication régulier et fiable.
• Préoccupations pour la sécurité : Attirant l’attention du public, l’événement a soulevé des questions sur la sécurité des courriels et des liens de la LCBO, ainsi que sur la capacité de l’organisation à détecter et à contenir rapidement de telles menaces.

Leçons pour les PME

De nombreuses PME font appel à des services tiers de courriels, de plateformes commerciales ou de fournisseurs informatiques. Cependant, on ne se décharge pas de ses responsabilités en sous-traitant. Si votre plateforme d’infolettre ou votre passerelle de paiement sont piratées, c’est à vous que les clients demanderont des comptes, et non à vos fournisseurs

Principales leçons pour les entreprises

S’il faut retenir une chose des récentes cyberattaques, c’est que les violations résultent souvent de la négligence de mesures de base plutôt que de techniques de piratage avancées. En renforçant leurs pratiques de sécurité quotidiennes, les PME multiplient donc les chances d’éviter des perturbations coûteuses.

Renforcement du chiffrement des données et des contrôles d’accès

Trop fréquemment, les entreprises supposent que le stockage protège les données. Mais à moins que ces données ne soient chiffrées et que leur accès ne soit étroitement contrôlé, elles sont vulnérables.

Actions possibles (avec l’aide d’un expert)

• Chiffrer les données sensibles, en transit et au repos, des clients et de l’entreprise.
• Utiliser des contrôles d’accès par rôles, pour que les employés n’accèdent qu’à ce dont ils ont besoin.
• Déployer des outils de prévention des fuites de données pour surveiller la diffusion des données.

Un partenaire en cybersécurité peut vous aider à évaluer les sites d’hébergement des données, les accès accordés et les systèmes à renforcer, en veillant à ce que les protocoles de cryptage et les politiques d’accès respectent les meilleures pratiques actuelles.

Vérifications de sécurité régulières et formation des employés

On ne règle pas la question de la cybersécurité en une fois, mais par un processus continu. De nombreux pirates parviennent à leurs fins parce que les entreprises n’ont pas fait réviser leurs systèmes depuis des mois (voire des années) ou parce qu’un employé a cliqué involontairement sur le mauvais lien.

Actions possibles (avec de l’aide)

• Planifier régulièrement des vérifications de sécurité ou des tests d’intrusion
• Former le personnel à reconnaître les courriels d’hameçonnage, les liens suspects et le piratage psychologique.
• Simuler des tests d’hameçonnage pour repérer les vulnérabilités en temps réel.

Les professionnels de la cybersécurité peuvent effectuer des vérifications approfondies, au-delà des analyses élémentaires, donner des formations adaptées aux risques réels qui menacent une équipe et contribuer à bâtir une culture de sensibilisation à la sécurité.

Importance de l’authentification à facteurs multiples (AFM)

Il n’est plus possible de se fier uniquement aux identifiants et aux mots de passe. L’AFM ajoute une couche de sécurité supplémentaire en vérifiant l’identité des utilisateurs, au moyen d’une application mobile ou d’une clé matérielle

Actions possibles (avec de l’aide pour la mise en œuvre)

• Mettre en place l’authentification à facteurs multiples dans tous les systèmes principaux : courriel, comptabilité, stockage infonuagique, paie.
• Éviter l’AFM par SMS et choisir des options plus sécurisées, qui passent par une application ou un dispositif matériel.
• Utiliser des outils conçus pour les entreprises, qui s’intègrent aux systèmes existants.

Un partenaire en cybersécurité peut vous aider à déployer correctement l’AFM en la facilitant pour votre équipe, tout en garantissant la protection complète des systèmes les plus importants.

En investissant dans des mesures proactives comme le chiffrement, la formation du personnel, l’authentification à facteurs multiples et des vérifications de sécurité régulières, vous réduirez considérablement les risques de violations de données.

Mais vous n’êtes pas seul.

En collaborant avec les experts de Canon Canada et de Supra ITS, vous bénéficierez d’outils et de conseils pour protéger votre entreprise en toute sérénité, avant qu’une menace ne devienne une crise.