Avoir la porte la plus lourde, les serrures les plus sécurisées et le système d’alarme le plus sophistiqué ne vous protégera pas beaucoup si vous donnez le code et la clé à votre pirate informatique.
De même, pour protéger votre entreprise contre les menaces numériques, il faut plus qu’une technologie de cybersécurité sophistiquée. Grâce à des innovations comme l’intelligence artificielle, les auteurs de l’infraction peuvent se faire passer pour légitimes afin de gagner la confiance de leurs victimes et les inciter à remettre les clés numériques à leurs victimes.
Il suffit qu’un employé se trompe une fois pour compromettre non seulement les actifs numériques et les données sensibles d’une entreprise, comme l’information bancaire, mais aussi sa réputation auprès des partenaires et des clients.
« Dans l’économie numérique actuelle, les entreprises canadiennes, peu importe leur taille ou leur secteur d’activité, sont confrontées à une menace croissante de la cybercriminalité », affirme Adam Evans, premier vice-président et chef de la sécurité de l’information, Cyberopérations, RBC. « Ces menaces ne sont pas seulement de plus en plus fréquentes, elles sont également plus sophistiquées, ce qui représente un risque financier, opérationnel et réputationnel important. »
Les organisations de toutes formes et de toutes tailles sont confrontées à des cybermenaces de plus en plus sophistiquées, mais les petites entreprises sont particulièrement vulnérables en raison de leur manque relatif de ressources de défense.
Selon Statistique Canada, une entreprise canadienne sur six a été touchée par un incident de cybersécurité en 2023, un chiffre qui atteint 73 % parmi les petites entreprises, d’après la Banque de développement du Canada (BDC). Parmi les petites entreprises qui ont été ciblées, 41 % ont déclaré que cela avait perturbé leurs activités commerciales, 23 % ont confié que cela avait entraîné une hausse des coûts de sécurité, 20 % ont affirmé que cela avait entraîné des dépenses imprévues importantes et 11 % ont indiqué que cela avait nui à leur réputation.
1. Propriétaires d’entreprise : renseignez-vous sur la cyberfraude
En matière de cybersécurité pour les entreprises, les menaces peuvent prendre différentes formes, mais beaucoup cherchent à accéder à des informations ou à des systèmes numériques sensibles par la tromperie.
Selon une étude de la BDC, 61 % des attaques contre les petites entreprises ont pris la forme d’« hameçonnage », un type de fraude qui consiste à inciter les victimes à divulguer leurs justificatifs d’ouverture de session, comme leur nom d’utilisateur, leur mot de passe ou leurs coordonnées bancaires.
Les escrocs envoient souvent des courriels à partir de comptes semblant être des sources fiables, par exemple en remplaçant une lettre par un caractère similaire ou en ajoutant des lettres à une adresse qui semble familière.
Même si bon nombre de ces attaques sont perpétrées par des courriels de masse ou des messages textes, certaines cherchent à imiter des personnes-ressources de confiance dans le cadre de ce qu’on appelle la fraude par usurpation d’identité. Cette forme d’hameçonnage sophistiquée a été la forme de fraude en ligne la plus répandue et la plus coûteuse pour les entreprises canadiennes en 2024.
En savoir plus : Protection de votre entreprise contre la fraude par usurpation d’identité : la repérer et y mettre fin
Selon la Fédération canadienne de l’entreprise indépendante, la moitié des entreprises canadiennes ont été victimes de fraude en 2024, le plus souvent sous forme d’escroquerie par courriel, texto et appel téléphonique, et plus du tiers d’entre elles ont subi des pertes financières, qui se sont élevées en moyenne à 7 800 $.
Selon le Centre antifraude du Canada, les institutions du gouvernement, des services de livraison, du commerce de détail, de la santé et des finances sont les plus souvent usurpées. Selon une étude réalisée par Paiements Canada en 2024, une entreprise sur cinq a été victime d’une fraude liée aux paiements au cours des six mois précédents, ce qui a entraîné des pertes financières dans un cas sur sept.
Selon l’étude de la BDC, le deuxième incident de cybersécurité le plus courant visant les petites entreprises, avec 27 %, était les attaques de logiciels malveillants, ou programmes malveillants qui, après avoir accédé au réseau d’une organisation, interrompent les services et causent des ravages.
Les types de menaces de cybersécurité les plus courants touchant les petites entreprises canadiennes, qui représentaient chacun 12 %, étaient les attaques par intrusion dans le réseau, qui consistent à tenter d’obtenir un accès non autorisé aux réseaux informatiques ou aux données de l’entreprise, et les attaques par rançongiciel, qui consistent à retenir les actifs numériques d’une entreprise jusqu’au paiement d’une rançon.
En 2023, les entreprises aux États-Unis, au Canada et en Europe ont payé un montant estimé à un 1,1 milliard de dollars américains en rançon, soit près du double du montant versé en 2022. Cette année-là, le montant moyen des rançons demandées était de 2,73 millions de dollars par attaque.
« Qu’il s’agisse d’attaques par rançongiciel, d’hameçonnage, de violations de données ou d’usurpation d’identité, les cybercriminels ciblent de plus en plus les entreprises », confie M. Evans. « Les petites et moyennes entreprises sont particulièrement vulnérables, car bon nombre d’entre elles ne disposent pas de ressources ou de connaissances techniques spécialisées en cybersécurité [pour se défendre], ce qui en fait des cibles attrayantes pour les criminels. »
En savoir plus : Voicei cinq types de données clés à protéger et des conseils sur la manière de les sécruiser
2. Mettez en place des systèmes et des processus pour reconnaître et aider à prévenir les cybermenaces et les fraudes
La protection de votre entreprise contre les risques liés à la cybersécurité nécessite des mécanismes de défense à la fois techniques et comportementaux.
Sur le plan numérique, les entreprises doivent s’assurer que leurs systèmes logiciels sont à jour et que leur réseau est sécurisé, et déployer les outils de détection et de prévention de la cybersécurité nécessaires pour protéger leurs actifs numériques les plus sensibles.
Sur le plan humain, pour réduire le risque d’une faille de cybersécurité, il faut former les employés de manière proactive afin que tous sachent comment créer des mots de passe fiables, repérer les menaces potentielles, éviter les comportements à risque et réagir en cas de suspicion d’hameçonnage.
Des études révèlent que 55 % des Canadiens réutilisent leurs mots de passe, et les cybercriminels le savent. Lorsqu’un mot de passe est volé dans le cadre d’une violation de données, ces renseignements de connexion sont souvent utilisés pour tenter d’accéder aux autres comptes.
En savoir plus : La piratage psychologique : l’aspect humain des fraudes modernes
L’un des meilleurs moyens de réduire le risque de cyberattaque au sein de votre entreprise consiste à encourager les employés à utiliser des mots de passe différents pour chaque compte ou à adopter des « phrases de passe » plus longues. Si la mémorisation de nombreux mots de passe complexes vous semble trop compliquée, songez à utiliser un gestionnaire de mots de passe comme 1Password, qui remplit automatiquement les justificatifs complexes pour les utilisateurs une fois leur identité confirmée.
Vous devriez également encourager les employés à activer l’authentification à deux facteurs (c.-à-d. qui vérifie leur identité au moyen d’une empreinte digitale ou d’un code envoyé par courriel ou message texte) pour une sécurité accrue et en évitant les réseaux Wi-Fi publics lorsqu’ils utilisent des appareils professionnels.
Une autre bonne pratique consiste à faire preuve d’un certain degré de discernement. Si un fournisseur ou un client commence à faire des demandes inhabituelles d’information sensible, par exemple, invitez le personnel à prendre le temps de répondre, à répondre au téléphone et à vérifier son identité.
MODÈLE GRATUIT : Téléchargez ce modèle de vérification (ce lien mène à un site web dont le contenu est en anglais seulement) pour votre entreprise.
« En investissant dans la sensibilisation à la cybersécurité de vos employés, en mettant à jour votre infrastructure de TI, en préparant un plan d’intervention en cas d’incident et en mettant en œuvre des meilleures pratiques comme l’authentification multifacteur, les entreprises comme la vôtre peuvent renforcer leur résilience contre les cybermenaces », affirme M. Evans. « En adoptant une approche proactive, vous protégez non seulement les activités et les données de votre entreprise, mais vous lui permettez également de profiter d’un avantage concurrentiel dans un marché de plus en plus axé sur la sécurité. »
En savoir plus : Votre entreprise s’est-elle préparée ? Protégez votre entreprise contre les risques de fraude grâce à 6 moyens peu coûteux
3. Votre entreprise a subi une cyberattaque : quoi faire maintenant ? Gérez un incident de cybersécurité
La mise en œuvre de ces meilleures pratiques peut contribuer à réduire les risques de cybersécurité, mais aucune entreprise ne peut être complètement à l’abri.
Les organisations qui détectent une activité suspecte ou qui pensent être ciblées peuvent suivre quelques étapes importantes pour déjouer une attaque ou réduire les dommages potentiels.
Si l’incident de cybersécurité persiste, il est important de protéger vos systèmes le plus rapidement possible. Encouragez les employés à changer immédiatement tous les mots de passe pertinents et, si vous utilisez un logiciel de prévention de cybersécurité, communiquez avec votre fournisseur pour demander de l’aide en cas d’urgence.
Nous encourageons les personnes victimes de fraude ou d’escroquerie en ligne à documenter l’incident du mieux qu’elles peuvent le faire pour faciliter les enquêtes futures. Veillez à enregistrer tous les courriels, messages textes, liens de sites Web, reçus, enregistrements téléphoniques, chèques annulés, matériel d’expédition ou autres éléments de preuve pertinents.
En savoir plus : Alerte à la fraude : Comment réagir si vois croyez que votre entreprise a été ciblée
Si une activité frauduleuse est détectée, il est important de communiquer avec les autorités locales pour signaler l’incident, ainsi qu’avec votre institution financière afin d’éviter que la situation ne s’aggrave et de récupérer vos pertes. Si vous faites affaire avec RBC et croyez que votre entreprise a été ciblée, appelez notre infoligne de signalement des fraudes.
Vous pouvez également soumettre un rapport à des agences d’évaluation du crédit comme Equifax et TransUnion, et le Centre antifraude du Canada. Il est également important d’en informer les clients, les fournisseurs, les employés ou les autres parties prenantes qui pourraient être compromis.
Utilisez ces ressources en ligne gratuites :
-
Téléchargez la trousse de sensibilisation à la cybersécurité de Kobalt.io (ce lien mène à un site web dont le contenu est en anglais seulement)
-
Consultez le guide électronique : Devenir une entreprise résiliente aux rançongiciels
Le présent article vise à offrir des renseignements généraux seulement et n’a pas pour objet de fournir des conseils juridiques ou financiers, ni d’autres conseils professionnels. Veuillez consulter un conseiller professionnel en ce qui concerne votre situation particulière. Les renseignements présentés sont réputés être factuels et à jour, mais nous ne garantissons pas leur exactitude et ils ne doivent pas être considérés comme une analyse exhaustive des sujets abordés. Les opinions exprimées reflètent le jugement des auteurs à la date de publication et peuvent changer. La Banque Royale du Canada et ses entités ne font pas la promotion, ni explicitement ni implicitement, des conseils, des avis, des renseignements, des produits ou des services de tiers.
