Cybersécurité des entreprises : comment prévenir et contrer les escroqueries

Dans l’économie axée sur le numérique d’aujourd’hui, les entreprises comptent sur Internet pour servir leurs clients, gérer leurs activités et assurer leur croissance. Toutefois, cette connectivité comporte son lot de risques, surtout pour les petites entreprises, qui n’ont pas toujours les ressources ou les protocoles de sécurité formels dont disposent les grandes organisations. La bonne nouvelle, c’est que vous n’avez pas à être un expert en technologie pour agir.

Avec de bonnes pratiques de cybersécurité, une formation adéquate du personnel et un plan d’intervention en cas d’incident, vous pouvez renforcer considérablement vos défenses.

Notions de base en cybersécurité pour les propriétaires d’entreprise

La protection d’une entreprise repose sur de bonnes habitudes en matière de cybersécurité. Bien qu’aucun système ne soit infaillible, les mesures proactives suivantes peuvent réduire considérablement votre vulnérabilité et vous aider à protéger vos systèmes, vos données, vos clients et votre réputation :

• Installer des outils de sécurité et tenir à jour les logiciels. Les plus récents outils antivirus et antimaliciel peuvent contribuer à vous protéger contre les attaques malveillantes. Les mises à jour et correctifs de sécurité servent à combler des failles exploitées par les fraudeurs.
• Utiliser un pare-feu et une protection réseau. Un pare-feu de système de noms par domaine (DNS) ajoute une couche de protection contre le trafic Internet malveillant. Les réseaux privés virtuels (VPN) chiffrent les données et sécurisent l’accès des employés à votre réseau d’entreprise.
• Renforcer les pratiques en matière de mots de passe. Le fait d’exiger des justificatifs d’ouverture de session pour tous les employés et comptes peut empêcher les accès non autorisés. Mettez régulièrement à jour vos mots de passe et ne communiquez jamais vos justificatifs d’accès à d’autres personnes.
• Sauvegarder régulièrement les données. Songez à utiliser un système de stockage hors site sécuritaire et à conserver des sauvegardes infonuagiques et physiques. Vous pourrez ainsi récupérer l’information critique si votre entreprise est la cible d’une attaque par rançongiciel ou logiciel malveillant.
• Limiter le partage de données et l’accès. Limitez l’accès des employés en fonction de leur rôle afin de mieux contrôler vos données, et désactivez le partage de fichiers pour réduire les risques d’exposition.

Repérer les escroqueries courantes

Les entreprises sont des cibles attrayantes pour les escrocs, car elles gèrent de précieuses données, traitent des opérations importantes et comptent de nombreux points d’entrée, notamment par l’intermédiaire de leurs employés. Comprendre le fonctionnement des arnaques est l’un des moyens les plus sûrs de les déjouer et d’éviter d’importantes pertes financières ou opérationnelles. Voici quelques-unes des menaces les plus fréquemment dirigées contre les entreprises :

• Escroquerie par piratage psychologique : ces escroqueries visent à manipuler le personnel pour l’inciter à communiquer des renseignements confidentiels ou à effectuer une action non autorisée, souvent en se faisant passer pour un collègue, un fournisseur ou un client en situation d’urgence.
• Escroquerie par courriel (hameçonnage) : les courriels hameçons imitent des sources légitimes, comme des fournisseurs ou des dirigeants d’entreprise, et incitent leurs destinataires à cliquer sur un lien malveillant, à télécharger une pièce jointe ou à divulguer des renseignements confidentiels.
• Escroquerie par téléphone (hameçonnage vocal et hameçonnage par texto) : les escrocs effectuent des appels téléphoniques ou envoient des textos en se faisant passer pour des banques, des fournisseurs ou des autorités publiques, afin de créer un sentiment d’urgence et soutirer des renseignements confidentiels, comme des identifiants de compte ou des autorisations de paiement.
• Escroquerie par usurpation d’identité bancaire : par téléphone, texto ou courriel, les escrocs prétendent représenter votre banque et demandent des mots de passe, des codes d’authentification ou des virements d’urgence au nom d’une « atteinte à la sécurité » ou d’un « problème touchant le compte », ce que les institutions légitimes ne font pas.
• Rançongiciel : ce logiciel malveillant chiffre vos données et demande un paiement pour les récupérer. Les attaques commencent souvent par un courriel hameçon ou un fichier infecté. Gardez à l’esprit que même si vous payez la rançon, l’escroc pourrait ne pas déchiffrer vos données.
• Compromission de courriels d’entreprise ou de fournisseurs : au moyen de comptes de courriel falsifiés ou compromis, les escrocs se font passer pour une source de confiance dans le but d’inciter un employé à envoyer de l’argent ou à révéler des renseignements confidentiels.

Plan de protection et de reprise

Malgré l’adoption de bonnes pratiques de prévention, des incidents peuvent encore survenir. Un plan d’intervention clair peut réduire la perturbation et limiter les dommages. Voici quelques mesures que votre entreprise peut prendre pour se préparer :

1. Formez une équipe de gestion de crise interfonctionnelle qui comprend les TI, les services juridiques, l’exploitation et les communications.

2. Définissez des protocoles de réponse pour des scénarios courants comme les rançongiciels ou le vol de données.

3. Élaborez une stratégie de communication pour les clients, les fournisseurs, les organismes de réglementation et les employés.

N’oubliez pas que la transparence est essentielle. Une communication rapide avec les parties touchées permet de répondre à leurs préoccupations et de préserver la confiance.

Signalez la fraude et le cybercrime

Un signalement rapide peut limiter les pertes financières et aider les autorités à prévenir des attaques similaires contre d’autres entreprises. Voici les mesures à prendre si votre entreprise est victime d’une escroquerie ou d’un cyberincident :

1. Avisez votre banque. Votre banque peut vous aider à protéger votre compte et à prévenir d’autres pertes. Communiquez avec votre banque sans tarder pour que toutes les cartes ou tous les comptes touchés puissent être bloqués, surveillés et remplacés rapidement.

2. Informez les agences d’évaluation du crédit. Elles peuvent ajouter une alerte à la fraude à votre dossier afin de limiter l’ouverture de comptes non autorisés au nom de votre entreprise.

3. Signalez la situation aux autorités policières et aux organismes antifraude. Vous vous assurez ainsi d’obtenir le soutien dont votre entreprise a besoin pour réagir, tout en les aidant à mener leurs enquêtes criminelles.

Savoir qui contacter et avoir leurs coordonnées sous la main peut faire toute la différence en situation de crise. Notre livret Sécurité numérique et escroqueries comprend un répertoire détaillé des ressources à contacter au Canada, aux États‑Unis et au Royaume‑Uni, ainsi que les coordonnées de la Banque et des agences d’évaluation du crédit. 

En matière de cyberincidents, la question n’est pas de savoir si cela va arriver, mais quand.Les entreprises qui se relèvent le plus rapidement sont celles qui ont pris le temps de se préparer. En mettant en place des mesures de protection rigoureuses, en formant le personnel et en élaborant un plan d’intervention en cas d’incident clair, vous pouvez réduire considérablement votre exposition au risque. Et surtout, vous serez prêts à réagir avec assurance quand un incident survient.

Adopter le bon état d’esprit est essentiel : la cybersécurité n’est pas seulement un enjeu de TI, c’est un impératif commercial. Plus votre équipe est préparée, plus il est difficile pour les escrocs de causer des dommages ou des perturbations.

Pour obtenir une liste de vérification complète pour la protection de votre entreprise, des explications détaillées sur les escroqueries et un guide de signalement complet, téléchargez le livret Sécurité numérique et escroqueries : Entreprises