Protection de votre entreprise contre le cybercrime : conseils du chef de la sécurité de l’information de RBC

Les cybercriminels misent sur le fait que les entreprises canadiennes sous-estiment les risques.

Contrairement à la croyance populaire, ils ne ciblent pas seulement les organisations disposant de ressources importantes ou celles qui opèrent dans des secteurs critiques. En réalité, ils ont souvent plus de succès en s’attaquant aux petites et moyennes entreprises qui ont moins de moyens pour se défendre.

« Les Canadiens pensent souvent qu’ils ne présentent aucun intérêt pour les cybercriminels parce qu’ils dirigent une petite entreprise ou qu’ils sont des particuliers », explique Adam Evans, premier vice-président et chef de la sécurité de l’information de RBC. « En réalité, tout le monde les intéresse. Ils ratissent aussi large que possible, car pour eux, c’est une question de chiffres. »

Lors d’une conversation en ligne intitulée Protection de votre entreprise à l’ère numérique avec Roger Howard, vice-président directeur, Services bancaires régionaux de RBC, M. Evans a expliqué aux clients des Services bancaires aux entreprises comment le cybercrime est passé d’une activité de petite envergure à une industrie mondiale sophistiquée.

Quels sont les risques liés au cybercrime pour les entreprises canadiennes ?

Selon une étude (ce lien mène à un site web dont le contenu est en anglais seulement) menée par Cybersecurity Ventures, le secteur de la cybercriminalité devrait dépasser 10 milliards de dollars US en 2025, ce qui en ferait la troisième économie mondiale après les États-Unis et la Chine.

Au Canada, une entreprise sur cinq en a été victime et une sur sept a subi des pertes financières liées à la fraude sur paiements au cours des six derniers mois, selon un rapport de Paiements Canada. Dans un récent sondage (ce lien mène à un site web dont le contenu est en anglais seulement) de TransUnion, les dirigeants d’entreprises canadiens ont déclaré avoir perdu 7,2 % de leurs revenus cette année en raison de la fraude, soit un total estimé de 111 milliards de dollars au cours de l’année écoulée.

Selon M. Evans, ces pertes considérables s’expliquent en partie par le fait que les entreprises sous-estiment trop souvent les risques et n’investissent pas suffisamment pour se protéger.

« C’est ce qu’on appelle le « seuil de cyberpauvreté », souligne-t-il. « L’écosystème criminel de ce complexe industrialisé surpasse les entreprises, qui se retrouvent donc sous ce seuil. Or, lorsque vous tombez en dessous de ce niveau, vos chances d’être victimes de ces attaques augmentent considérablement. »

Lorsque vous mettez en œuvre les protocoles de cybersécurité de votre entreprise, espérez le meilleur, mais préparez-vous au pire

Malheureusement, pour la plupart des entreprises canadiennes, être la cible d’un cybercrime comme la fraude, les attaques par rançongiciel ou l’usurpation d’identité, n’est pas tant une question de « si », mais plutôt de « quand ».

Même si nous espérons tous que tout se passera bien, M. Evans affirme qu’il est essentiel que les entreprises prennent le temps d’établir et de communiquer un plan pour se préparer au pire.

« Cette composante vient naturellement s’ajouter au plan, en se demandant par exemple quoi faire si des identifiants sont compromis », déclare-t-il, ajoutant qu’il est essentiel de savoir quels comptes ont été compromis et de modifier immédiatement ses mots de passe. « Ce sont ces mesures élémentaires qui permettent vraiment d’améliorer votre sécurité, et vous seriez surpris de voir combien de personnes savent quoi faire, sans nécessairement mettre ces mesures en œuvre ou prendre la décision de franchir le pas. »

Grâce à leurs succès, ces criminels disposent désormais des ressources nécessaires pour utiliser des technologies de pointe comme l’intelligence artificielle (IA) afin de mener leurs attaques plus efficacement.

Voici ce que conseille M. Evans aux organisations de toute taille, de tout secteur et de toute région pour se protéger contre une cybercriminalité de plus en plus sophistiquée et bien financée.

1. Ne sous-estimez pas la menace que représente le cybercrime pour votre entreprise, surtout en ce qui concerne l’IA

Selon M. Evans, la première étape pour protéger votre entreprise consiste à comprendre la taille, l’envergure et la vitesse à laquelle cette industrie mondiale opère.

« Les Canadiens sont lassés, lassés de la sécurité, lassés de la fraude… et c’est un réel problème », avertit M. Evans, soulignant que le cybercrime est devenu une industrie de 10,5 billions de dollars « parce que les cybercriminels excellent dans ce domaine ».

Il rappelle également que chaque nouvelle vague d’innovation s’accompagne de menaces uniques et que les entreprises qui se précipitent pour adopter l’IA pourraient involontairement introduire de nouveaux risques.

« Dans le monde des affaires, nous avons tendance à nous précipiter pour adopter ces nouvelles technologies sans vraiment comprendre comment nous allons les sécuriser », déclare-t-il, ajoutant qu’il avait observé le même phénomène au début de l’infonuagique. « Nous avons commencé à voir des atteintes à la sécurité dans les environnements infonuagiques, et il en ira de même pour l’IA : nous allons nous précipiter, commencer à consommer, mais nous n’avons pas nécessairement suffisamment discuté de la mise en œuvre sécurisée de l’IA de nouvelle génération. »

En ce qui concerne l’adoption sûre et responsable de l’IA, M. Evans souligne l’importance de bien comprendre quelles données celle-ci peut utiliser, qui a accès à ces outils, comment ils seront utilisés, et si les avantages pour l’entreprise l’emportent sur les cyberrisques.

« Vous devez commencer à vous poser certaines questions fondamentales : si vous automatisez quelque chose à l’aide de l’IA, y a-t-il un risque de perte de données ? La sécurité de votre entreprise pourrait-elle être compromise ? Quelles mesures avez-vous prises pour la protéger ? », déclare-t-il. « Si vous commencez à vous poser ces questions et à réfléchir sérieusement à la manière dont vous voulez mettre en œuvre vos mesures de protection, vous améliorerez d’autant plus votre sécurité globale. »

2. Sachez ce qui doit être sécurisé pour prendre des mesures de cybersécurité adaptées

Les entreprises peuvent recourir à nombreux outils et services pour renforcer leur protection, mais certaines des mesures les plus importantes sont gratuites. Elles ne demandent qu’un peu de temps et d’énergie.

Par exemple, les cybercriminels ne vont pas pénétrer dans votre entreprise en brandissant une arme ou en demandant l’accès à la chambre forte, mais comme les voleurs traditionnels, ils vont probablement se diriger directement vers les biens les plus précieux.

C’est pourquoi M. Evans suggère de commencer par faire l’inventaire de vos actifs les plus essentiels.

« La première chose à faire, c’est de comprendre ce que vous devez protéger : vos données et vos comptes les plus sensibles », dit-il. « Il peut s’agir de vos courriels ou de la plateforme financière que vous utilisez pour la paie, ou de tout autre outil que vous utilisez. Il vous suffit de répertorier où ils se trouvent et comment les gens y accèdent. »

En comprenant quels sont vos renseignements les plus précieux et qui possède la « clé » de ces chambres fortes, vous pouvez mettre en place des pratiques de cybersécurité élémentaires, mais importantes.

Vous pouvez par exemple activer l’authentification multifacteur, utiliser des mots de passe uniques pour tous les comptes, utiliser un gestionnaire de mots de passe pour générer et remplir automatiquement des mots de passe complexes, et mettre en place des alertes lorsque des identifiants ont été compromis.

Pour en savoir plus : Protection de votre entreprise et de vos employés contre la fraude de mot de passe

« Assurez-vous d’activer la mise à jour automatique de vos systèmes, d’utiliser un logiciel de sécurité, et d’être sur un réseau sécurisé lorsque vous utilisez des services opérationnels essentiels comme la gestion de la paie », déclare-t-il, ajoutant qu’il n’est pas recommandé d’accéder à ces comptes sécurisés au moyen d’un réseau Wi-Fi public. « Choisissez le moment le plus opportun pour effectuer ces activités sensibles. »

3. Vérifiez et validez l’identité de votre interlocuteur avant de communiquer des renseignements confidentiels

Certaines des cyberattaques les plus courantes, les plus efficaces et, en fin de compte, les plus dommageables contre les entreprises consistent à usurper l’identité d’institutions et de personnes-ressources de confiance.

Par exemple, si le courriel d’un fournisseur est compromis, les attaquants utiliseront ces renseignements pour solliciter des paiements frauduleux auprès des clients. Ces dernières années, les banques canadiennes, les fournisseurs de services logistiques et même l’Agence du revenu du Canada ont été parmi les contacts les plus usurpés, et M. Evans affirme qu’ils sont de plus en plus difficiles à détecter.

Lorsqu’un contact apparemment fiable vous appelle pour vous demander des paiements, des codes d’authentification ou des renseignements sensibles, M. Evans recommande de le rappeler en utilisant un numéro de téléphone officiel, comme celui qui figure au dos de vos cartes bancaires.  

« Vous pouvez renverser la situation en raccrochant le téléphone et en appelant le bon numéro », ajoute-t-il. « S’il s’agit de votre directeur relationnel, de votre banquier ou d’une personne d’un organisme similaire, vous pouvez convenir d’une phrase secrète pour vous authentifier l’un l’autre par téléphone. » 

M. Evans prévient que les fraudeurs exploitent la vulnérabilité des êtres humains et tentent souvent de provoquer un sentiment de panique afin de brouiller le jugement de leurs victimes.

« Respirez, raccrochez et composez le bon numéro (il se trouve au dos de toutes les cartes et de tout le matériel fournis par votre prestataire de services financiers). Vous pourrez alors entamer la conversation en sachant qu’elle se déroule dans un cadre sécurisé. »

4. Planifiez les étapes à suivre pour répondre à diverses menaces

Auparavant, les cybercriminels passaient des jours ou des semaines pour trouver des données précieuses, comme des mots de passe recyclés ou des réseaux compromis. Ils les trouvent désormais en quelques minutes.

Selon le Centre canadien pour la cybersécurité, cet indicateur, appelé « temps de séjour », est passé de 16 jours en 2022 à 10 jours en 2023. En janvier, des études (ce lien mène à un site web dont le contenu est en anglais seulement) ont révélé qu’il était tombé à 48 minutes. Selon M. Evans, ce temps est passé depuis à seulement 18 minutes.

« Une fois qu’ils ont réussi à pénétrer dans vos systèmes, ils peuvent y évoluer et commencer à chercher vos informations les plus sensibles », déclare M. Evans.

Avec seulement quelques minutes pour réagir, il est essentiel que les entreprises sachent comment identifier quand leurs systèmes ont été compromis et comment réagir. 

Pour en savoir plus : Alerte à la fraude : Comment réagir si vous croyez que votre entreprise a été ciblée

« Dans le cas des rançongiciels, la première chose à faire pour empêcher les auteurs de menace de chiffrer l’environnement est de vous déconnecter d’Internet », explique-t-il. « Si vous détectez quelque chose dans l’un des systèmes de votre entreprise, déconnectez-le du réseau, mais laissez-le allumé, car vous devrez faire appel à une firme qui effectuera une analyse criminalistique pour vous aider à comprendre ce qui s’est passé. »

S’il y a un risque de fraude financière, M. Evans recommande de communiquer avec votre institution financière pour l’informer de la violation.

« Faites-leur savoir que vous avez un problème afin qu’ils puissent commencer à bloquer vos cartes ou vos produits de crédit, ce qui empêchera les cybercriminels d’utiliser les renseignements qu’ils ont recueillis pour commettre des fraudes, usurper votre identité ou autre », indique-t-il.

Ensuite, il suggère de contacter le Centre canadien pour la cybersécurité pour obtenir de l’aide concernant le recouvrement et la collaboration avec les forces de l’ordre. Les entreprises peuvent également choisir d’engager une société privée spécialisée dans la récupération des cybercrimes pour fournir une assistance professionnelle—veuillez vous assurer de faire vos vérifications et de vous assurer que l’entreprise est réputée et fiable.

5. Tirez parti des ressources disponibles en matière de cybersécurité

Les entreprises canadiennes ciblées ou victimes de cybercrimes ne sont plus livrées à elles-mêmes.

Les gouvernements, les partenaires bancaires et les fournisseurs de services de cybersécurité privés offrent aujourd’hui toute une gamme de ressources qui peuvent vous guider et vous éclairer en cas d’attaque.

Par exemple, le Centre canadien pour la cybersécurité du gouvernement fédéral propose des listes de vérification, des guides et des boîtes à outils gratuits pour les entreprises de toutes tailles. La page Soyez cyberfuté de RBC offre de l’information gratuite sur les dernières menaces ciblant les entreprises, et les organismes chargés de l’application de la loi informent souvent le public des risques importants. 

« Ce n’est pas nécessairement une entreprise coûteuse », affirme M. Evans. « Vous devez disposer d’une politique de sécurité de l’information et vos équipes de technologie doivent respecter certaines normes pour assurer la sécurité de l’environnement, mais ce n’est pas forcément complexe à mettre en œuvre. »

Pour en savoir plus : Êtes-vous prêt ? 3 pratiques essentielles en cybersécurité pour les propriétaires d’entreprise