PME

Cybercriminalité Moins du quart des PME québécoises se protègent adéquatement

PHOTO DAVID BOILY, ARCHIVES LA PRESSE

La moitié des PME québécoises ont été victimes d’une cyberattaque au cours de la dernière année.

Les PME québécoises se leurrent si elles pensent que leur petite taille ou leur caractère francophone les rendent moins attrayantes aux yeux des cybercriminels locaux ou étrangers.

Publié le 1^er oct. 2022

Marc Tison La Presse

Si 85 % des PME du Québec disent se préoccuper de leur cybersécurité, à peine 23 % ont adopté les quatre mesures de protection de base (voir tableau ci-dessous).

Pourtant, la moitié des PME québécoises ont été victimes d’une cyberattaque au cours de la dernière année.

C’est ce que révèle un sondage web réalisé de septembre 2021 à février 2022 par SOM et la firme Devolutions auprès de 151 professionnels des TI et décideurs provenant de PME québécoises.

« On voit qu’au Québec, il y a quand même un retard en termes d’investissement dans la cybersécurité. Souvent, on est poli, on parle de deux ans de retard, mais c’est un petit peu plus que ça », constate David Hervieux, président et fondateur de Devolutions, une firme québécoise de solutions de gestion de bureau à distance et de cybersécurité, qui compte quelque 800 000 utilisateurs dans le monde.

Les cybermenaces les plus redoutées par les PME québécoises sont les rançongiciels (73 %), l’hameçonnage (68 %) et les logiciels malveillants (66 %). Mais la principale menace ne vient peut-être pas d’où elles l’attendent. Chez les entreprises qui ont été victimes de cyberattaques, les rançongiciels sont deux fois moins fréquents (27 %) que l’hameçonnage (56 %).

Ces préoccupations se sont tout de même traduites en gestes concrets : 46 % des répondants ont augmenté leurs dépenses en cybersécurité depuis un an. Toutefois, davantage que le budget, c’est la continuité des efforts qui érige les murailles les plus solides.

Un des problèmes des PME, c’est qu’elles pensent qu’elles ne sont pas intéressantes ou que les acteurs malicieux ciblent précisément les entreprises. Mais les acteurs malicieux lancent leurs filets à l’eau, puis regardent ensuite ce qui se prend dans le filet. C’est alors qu’ils deviennent précis. Pour eux, un petit joueur ou un joueur moins bien protégé, c’est juste de l’argent facile. Un gros joueur va avoir mis en place des barrières.

David Hervieux, président de Devolutions

Certains pourraient croire que la particularité francophone ne constitue en rien un obstacle aux cyberbandits, fussent-ils étrangers. Erreur.

« Effectivement, on a souvent pensé que lorsqu’on reçoit un courriel en anglais, ça ne nous touche pas », relève le président de Devolutions.

Mais ne serait-ce qu’en utilisant des logiciels de traduction, les cybertruands sont maintenant parfaitement capables de s’adapter à leur « marché » francophone.

« Auparavant, il y avait le mythe du courriel mal écrit et bourré de fautes, mais maintenant, c’est un peu plus sophistiqué. »

Des changements dans les changements

Les PME québécoises négligent encore trop souvent les précautions les plus élémentaires. Près d’une entreprise sur cinq omet de révoquer l’accès aux anciens employés qui conservent des informations confidentielles sur l’organisation.

Autre erreur qui pourra surprendre : 38 % des PME changent leurs mots de passe plusieurs fois par année — une procédure plutôt déconseillée.

Car il y a eu changement dans les changements de mot de passe.

En théorie, changer de mot de passe, c’est une bonne idée. Le problème, c’est que parce qu’ils changent trop souvent, les gens se contentent de dire : ce mois-ci, mon mot de passe est patate2. Le mois suivant, ce sera patate3.

David Hervieux, président de Devolutions

C’est le meilleur moyen de faire patate.

« Au bout d’un certain nombre d’années, on se ramasse avec un mot de passe trop faible. »

Aux États-Unis, le National Institute of Standards and Technology conseille maintenant aux entreprises de modifier leurs accès seulement à la suite d’une brèche de sécurité informatique.

Quatre mesures de base

Près de 9 PME québécoises sur 10 estiment avoir un bon niveau de protection contre les cyberméchants, mais moins du quart ont mis en place l’ensemble des quatre mesures de protection de base.

Par rapport aux PME étrangères qui ont également été sondées par SOM et Devolutions, les PME du Québec tirent de la patte dans l’application de trois des quatre mesures.

Pourtant, le coût de ces mesures n’est pas toujours un facteur répulsif.

L’authentification multifactorielle, pour les gens qui utilisent déjà des services de Microsoft ou de Google, c’est relativement facile. Les formations en cybersécurité, ce n’est pas si onéreux. Pour le gestionnaire de mots de passe, il y a des options gratuites aussi.

David Hervieux, président de Devolutions

Les audits de sécurité peuvent toutefois être plus coûteux, reconnaît-il.

« Ça peut être très onéreux parce que ça vient avec une liste de choses à corriger. C’est comme si vous allez faire une inspection de votre voiture qui a 15 ans. Ça se peut qu’on vous sorte pas mal de choses à réparer. »

Mais pour la PME comme pour la voiture, il en va de la sécurité à bord.