Les PME à l'ère des super-brèches informatiques

Les hackers ou script kiddies qui, autrefois, s'introduisaient... (PHOTO DAVID BOILY, ARCHIVES LA PRESSE)

Agrandir

Les hackers ou script kiddies qui, autrefois, s'introduisaient dans les systèmes de grandes organisations par défi font de plus en plus place à des cybercriminels motivés par l'appât du gain.

PHOTO DAVID BOILY, ARCHIVES LA PRESSE

Partage

Partager par courriel
Taille de police
Imprimer la page
Ulysse Bergeron

Collaboration spéciale

La Presse

Les PME québécoises ne se protègent pas adéquatement contre les risques reliés à l'internet. Prêtant le flanc à de possibles intrusions informatiques, elles risquent leur renommée et celle de leurs partenaires. Une erreur qui peut coûter cher.

«Je ne dirais pas qu'elles sont les maillons faibles de la chaîne d'approvisionnement, mais pour diverses raisons, elles ne déploient pas autant d'efforts pour se protéger», constate Louis Plourde, président de l'Association de la sécurité de l'information du Québec (ASIQ).

Pour rester compétitives, elles sont pourtant de plus en plus nombreuses à s'adonner au commerce en ligne et au business to business (B2B)par internet. «En contrepartie, elles n'ont pas la grosseur et les marges nécessaires pour avoir des employés permanents spécialisés en sécurité», dit-il. Résultat: la sécurité informatique est trop souvent négligée.

Très souvent, elles entretiennent l'impression qu'elles ne peuvent être victimes d'intrusions informatiques. «Un peu comme une personne qui croit qu'on ne clonera pas sa carte de crédit parce qu'elle n'a pas beaucoup d'argent. Les cybercriminels, eux, cherchent avant tout les failles», dit-il.

Il s'agirait là d'une fausse impression, car les cybercriminels se sont professionnalisés au fil des ans. Les hackers ou script kiddies qui, autrefois, s'introduisaient dans les systèmes de grandes organisations par défi font de plus en plus place à des cybercriminels motivés par l'appât du gain.

Autant de réalités qui expliqueraient en partie la hausse des cyberattaques contre les PME. La société de sécurité informatique Symantec révélait l'an dernier que 31% des cyberattaques étaient produites à l'encontre des PME de moins de 250 salariés en 2012, une hausse de 13% comparativement à l'année précédente.

Celles-ci servent parfois de porte d'entrée pour des intrusions dans les systèmes d'importants partenaires. Le vol de données de la clientèle de Target, il y a près d'un an, est un exemple frappant: des cybercriminels auraient accédé au système de Target par l'entremise d'une entreprise de sous-traitance qui surveillait à distance des systèmes de chauffage et de climatisation.

À l'ère des super-brèches

L'enjeu est de taille. Les brèches dans la sécurité informatique n'ont cessé d'augmenter. Leur nombre a bondi de 62% en 2013, totalisant 250 brèches dans le monde et permettant l'accès aux données de plus de 550 millions de personnes, selon les données de Symantec.

Aussi, les brèches sont plus importantes qu'auparavant. L'an dernier, on a dénombré huit super-brèches. Les cybercriminels auraient ainsi pu accéder aux données personnelles de plus de 10 millions de personnes.

Cette réalité existe bel et bien, indique Yvon Bérubé, PDG et fondateur de Logimethods, cabinet de consultants spécialisé en intégration et architecture informatique d'entreprises. Le B2B fait partie de son quotidien. «En soi, le B2B n'est pas risqué. Mais comme il y a une augmentation de la quantité d'informations communiquées, il faut prendre les mesures adéquates», dit-il.

La perception de la sécurité informatique de la part des entreprises - pas uniquement des PME - serait trop souvent faussée, selon lui. Encore aujourd'hui, la sécurité est perçue par plusieurs comme une dépense.

«Tout est une question d'évaluation des risques. Souvent, lorsqu'il y a un problème, on constate que l'entreprise ne s'était pas interrogée adéquatement sur le plan des risques, se disant que les personnes n'allaient pas s'intéresser à leur environnement», indique Yvon Bérubé.

Les mesures déployées doivent se faire en fonction des divers degrés de risque. Et ceux-ci varient en fonction des industries. «Il y a des secteurs où le degré de confidentialité doit être plus élevé», précise-t-il.

Il cite l'exemple du secteur financier. À cela pourraient s'ajouter des industries caractérisées par leurs informations stratégiques: la pharmaceutique, l'aéronautique, les ressources naturelles.

Puisque les grandes entreprises ont généralement des experts en informatique pour les aviser des risques potentiels, ce volet est «souvent laissé à la discrétion des directions dans les PME».

«Pourtant, pour un budget raisonnable, il est possible de se protéger», assure-t-il. De plus en plus exigeantes, les grandes entreprises et les donneurs d'ordres amènent leurs partenaires - dans une sorte d'effet domino - à se sécuriser davantage.

Louis Plourde, de l'ASIQ, résume ainsi l'enjeu de la sécurité: internet reste une sorte de Far West où le pire ennemi d'une entreprise pourrait bien être elle-même. «Il ne faut pas être naïf. Sur internet, on retrouve de tout. Et comme les attaques peuvent être perpétrées d'un peu partout à travers le monde, il est difficile de retracer les crimes commis.»

DÉPENSES EN SÉCURITÉ INFORMATIQUE

> Les dépenses en sécurité informatique représenteront 71 milliards en 2014, soit 7,9% de plus qu'en 2013. Une croissance de 8,2% est prévue pour 2015.

> Seulement 10% des fonctions de sécurité pour les entreprises seront délivrées dans l'infonuagique. Par ailleurs, 30% des mesures de sécurité des PME seront issues de l'infonuagique en 2015.

> D'ici 2018, plus d'une organisation sur deux fera affaire avec des cabinets spécialisés en protection de données ou en gestion de risques liés à la sécurité.

Source: Gartner, août 2014




À découvrir sur LaPresse.ca

Les plus populaires : Affaires

Tous les plus populaires de la section Affaires
sur Lapresse.ca
»

Autres contenus populaires

la boite:219:box
image title
Fermer