De nombreux problèmes peuvent empêcher un propriétaire de petite entreprise de dormir la nuit, mais l’une des menaces les plus fréquentes est la cyberattaque. Selon un rapport de 2024 de la Chambre de commerce des États-Unis (en anglais seulement), 60 % des petites entreprises indiquent que les menaces de cybersécurité, telles que l’hameçonnage, les logiciels malveillants et les rançongiciels, font partie de leurs principales préoccupations.
Ces préoccupations sont fondées, d’autant plus que les cybercriminels deviennent de plus en plus sophistiqués en intégrant l’intelligence artificielle pour tester les systèmes ou envoyer de faux messages qui ressemblent exactement à ceux d’un dirigeant. Larry Zelvin, vice-président à la direction et chef, Unité Crime financier à BMO Groupe financier, compte parmi les autorités de premier plan sur les risques cybernétiques. Après avoir occupé les postes de directeur général et chef mondial de la cybersécurité à Citigroup et de directeur général du Centre national d’intégration de la cybersécurité et des communications au département de la Sécurité intérieure des États-Unis, il met sa vaste expérience au service de ses clients pour les aider à améliorer leurs connaissances en matière de sécurité.
Nous avons tous vu les gros titres des journaux sur les grandes entreprises victimes de cyberattaques, mais les petites et moyennes entreprises courent-elles les mêmes risques?
Oui, en fait, les petites et moyennes entreprises sont plus souvent ciblées que les grandes entreprises. Si votre organisation est connectée à Internet, elle risque d’être attaquée. Dans certains cas, les auteurs de menaces préfèrent cibler les petites entreprises, car elles ne disposent pas nécessairement des ressources nécessaires pour détecter et atténuer activement les attaques.
Que peuvent faire les petites et moyennes entreprises pour se protéger?
La meilleure protection pour votre entreprise est de la rendre la plus difficile possible à cibler. Étant donné que les attaques sont de plus en plus automatisées, il est important de se protéger contre ce type de menace. Pour cela, vous pouvez mettre en place des initiatives telles que l’authentification multifactorielle et le chiffrement, ainsi qu’installer des correctifs de sécurité pour éliminer les vulnérabilités de votre réseau. Dans de nombreux cas, le passage des informations à l’infonuagique peut rendre la sécurisation de vos informations plus efficace que la maintenance d’un serveur sur place. Nous continuons à renforcer les meilleures pratiques en matière de mots de passe, car des mots de passe forts et complexes restent un outil important pour se protéger contre les menaces.
De nombreuses petites entreprises ne disposent pas d’une équipe informatique attitrée. Comment doivent-elles donc aborder la cybersécurité?
Il est important de déterminer au sein de l’organisation une personne, par exemple un chef des finances, qui sera le point de contact pour la cybersécurité. Les petites entreprises peuvent commencer par établir les meilleures pratiques de sécurité requises par les employés et un plan d’intervention en cas d’incident qui énumère les mesures à prendre en cas d’attaque. Ce plan d’intervention en cas d’incident doit inclure des détails sur toute cyberassurance, tout conseiller juridique externe et tout autre partenaire ou toute ressource externe avec lequel travailler en cas d’urgence. Ici, à BMO, nous avons mis en place des plans et des guides, et nous effectuons des mises en situation pour tester nos méthodes.
Qu’en est-il des organisations qui cherchent à mettre en place un bureau de sécurité pour se concentrer sur la cybersécurité?
Si vous êtes une petite entreprise, vous pouvez envisager de faire appel à un tiers pour effectuer une cyberévaluation, vous conseiller sur les vulnérabilités et vous aider ensuite à atténuer les problèmes constatés. Encore une fois, il est également conseillé de désigner un responsable au sein de l’organisation.
Si vous êtes une entreprise de taille moyenne avec une importante empreinte géographique et des points d’exposition critiques, vous pouvez avoir besoin de ressources ou d’employés qui se concentrent sur la sécurité au quotidien. Cette décision dépend de la façon dont vous évaluez les risques. L’un des défis actuels consiste à trouver des personnes pour assumer ce rôle. La demande de talents en matière de cybersécurité est supérieure au nombre de personnes expérimentées pour y faire face. Parfois, les entreprises embauchent des « experts » en cybersécurité pour découvrir par la suite que la personne n’est pas à la hauteur de la tâche.
Quel serait le surcroît de travail si quelqu’un comme un chef des finances était chargé de gérer la cybersécurité d’une entreprise?
Pour les entreprises qui commencent tout juste à réfléchir à la cybersécurité, le temps à y consacrer est probablement de quelques heures par semaine. Plus vous passerez de temps à vous préparer avec des conseillers juridiques, à effectuer des évaluations et à mettre en place des initiatives d’atténuation des risques, plus vous serez gagnant. Comme on dit, mieux vaut prévenir que guérir. Une fois ce processus terminé, vous pouvez passer quelques heures par mois à examiner les capacités en matière de sécurité et à effectuer les mises à jour nécessaires.
Y a-t-il un point de départ pour cette conversation?
Un bon point de départ consiste à consulter vos conseillers juridiques. Ensuite, vous pouvez vous adresser à vos groupes sectoriels et à vos fournisseurs.
Il existe de nombreuses ressources en ligne de qualité; BMO fournit des informations générales et des ressources sur la sécurité sur bmo.com/securite, notamment des conseils de sécurité, des articles sur les menaces et sur la manière de se protéger, des mises à jour sur les escroqueries et bien plus encore.
Quelles sont les autres menaces que les propriétaires de petites entreprises doivent prendre en compte?
Vous êtes aussi fort que votre maillon le plus faible. Veillez à examiner attentivement vos fournisseurs et votre chaîne d’approvisionnement, surtout si vous travaillez avec des fournisseurs plus petits. Dans certains cas, votre interconnectivité avec ces organisations peut exposer votre organisation.
Posez les questions de base. Avez-vous un programme de cybersécurité? Savez-vous qui gère votre programme de cybersécurité? À quand remonte votre dernière évaluation externe? Avez-vous fait des exercices? Vous devez avoir ces conversations difficiles.
Quelles autres menaces voyez-vous?
Il existe une nouvelle expression qui dit : « Pourquoi pirater quand on peut se connecter? » Au lieu d’utiliser des courriels d’hameçonnage avec des liens ou des pièces jointes, les cybercriminels utilisent des techniques d’ingénierie sociale pour obtenir votre nom d’utilisateur et votre mot de passe, puis ils se connectent simplement à votre place. Du point de vue de la sécurité, les entreprises ne peuvent pas identifier aussi rapidement le malfaiteur, car un nom d’utilisateur et un mot de passe légitimes ont été utilisés. En fin de compte, nous devons tous faire très attention aux personnes avec lesquelles nous partageons des informations.
