Avoir un plan d’action et faire des exercices
Tout le monde a un plan de sécurité contre les incendies et des procédures d’évacuation en cas de feu. En matière de menaces informatiques, il faut en faire autant : avoir un plan, prévoir les scénarios possibles et instaurer des procédures à suivre. « En plus de faire un diagnostic pour identifier nos lacunes, il faut donner aux gens l’occasion de s’entraîner avec des simulations, comme on fait des exercices d’évacuation, pour qu’ils apprennent comment réagir en cas d’attaques et de menaces », explique Guillaume Caron, président de VARS, filiale de cybersécurité de Raymond Chabot Grant Thornton.
Former son personnel
Avec des outils sophistiqués, les fraudeurs misent à la fois sur la tromperie, les émotions, le sentiment d’urgence, la naïveté et la négligence des utilisateurs d’outils informatiques. En sensibilisant tous les employés aux risques et en leur apprenant à reconnaître diverses tactiques utilisées, on peut prévenir les fraudes les plus courantes, comme les courriels d’hameçonnage.
Se doter de technologies de surveillance
Il existe sur le marché de nombreuses solutions technologiques, comme Cynet, pour protéger les serveurs, postes de travail et ordinateurs portables, en effectuant une surveillance 24 heures sur 24, sept jours sur sept. Elles permettent notamment de bloquer les intrusions. « Les simples antivirus traditionnels et les pare-feu ne suffisent plus pour se défendre, dit Guillaume Caron. Les attaquants sont capables de contourner ces systèmes. »
Sécuriser les boîtes courriel
Un simple antipourriel n’est pas suffisant pour protéger une entreprise contre les usurpations d’identité et les faux courriels. « Les attaquants peuvent reproduire la signature d’une personne à l’interne et se servir d’un faux courriel pour obtenir des informations ou des accès. On a besoin d’une technologie plus avancée pour détecter ces courriels malicieux et détecter si les boîtes de courriels et les identifiants sont compromis. »
Gérer les accès selon le rôle de chacun
Au sein d’une PME, les employés sont connectés à plusieurs systèmes et accèdent parfois à des informations qu’ils ne devraient pas connaître. « Il faut instaurer des limites de temps et des niveaux dans l’accès, selon le rôle de chacun, afin que des informations sensibles ne soient pas disponibles à tous, et que les employés accèdent uniquement à ce dont ils ont besoin. Une classification de l’information et une bonne gestion des accès permettent de prévenir la fraude à l’interne. »
Surveiller le web clandestin
Le saviez-vous ? Vos informations confidentielles et vos mots de passe se retrouvent peut-être déjà sur le web clandestin (dark web), accessibles aux criminels. « Avec des technologies comme celle offerte par la firme québécoise Flare Systems, on peut effectuer une surveillance et un diagnostic de notre empreinte numérique sur des forums et des sites criminels qui vendent illégalement des informations », dit Guillaume Caron, président de VARS.
Éviter les situations de vulnérabilité
Il est primordial d’éviter de se retrouver dans une situation nous mettant à la merci des criminels, s’ils menaçaient de détruire ou de crypter nos données pour demander une rançon. Pour ce faire, on s’assure d’avoir des sauvegardes sécurisées. « On ne négocie pas avec des criminels et on ne paie pas les rançons. On appelle des experts en sécurité. Une bonne sauvegarde de données peut nous sauver. J’ai vu des PME fermer à la suite d’une demande de rançon. »