La question n’est plus de savoir si votre entreprise sera victime d’une cyberattaque, mais quand. Avez-vous fait l’essentiel pour vous protéger et prévu un plan en cas d’intrusion ? Petit guide de survie.

Le monde de Sarra Ghribi, présidente et fondatrice de Loue 1 robe, une entreprise de quatre employées fondée en 2012, s’est écroulé à l’été 2021 lorsqu’un pirate informatique a pris le contrôle de sa page professionnelle Facebook et de son compte professionnel Instagram.

« Il a pris 1500 $ sur ma carte de crédit liée à mon compte Facebook – que j’ai pu ensuite récupérer auprès de ma banque – et m’a retiré le titre d’administrateur de mes pages, donc je n’y avais plus accès et il pouvait les revendre », raconte celle qui avait 15 000 personnes qui la suivaient sur les réseaux sociaux au moment de l’attaque.

L’entrepreneuse qui avait pourtant activé l’authentification en deux étapes pour plus de sécurité a multiplié les courriels à Facebook pour tenter de faire corriger la situation. Sans succès. Il aura finalement fallu qu’elle dénonce la situation dans une vidéo pour qu’un journaliste s’en mêle et que Facebook et Instagram finissent par lui redonner accès à ses comptes.

L’entrepreneuse est loin d’être la seule dans cette situation.

Selon un sondage de la Fédération canadienne de l’entreprise indépendante (FCEI) mené en décembre dernier, 45 % des PME canadiennes ont été victimes d’une cyberattaque aléatoire au cours de la dernière année.

De plus, d’après le même sondage, 27 % des PME ont connu une attaque ciblée.

« Les PME sont moins bien protégées que les grandes entreprises parce que pour la plupart, ce n’est pas une priorité, elles ne sont pas toujours conscientes des impacts qu’une cyberattaque pourrait avoir sur leur entreprise et en plus, elles n’ont pas nécessairement un employé spécialisé en cybersécurité ni les moyens de payer quelqu’un pour s’en occuper », explique Fyscillia Ream, coordonnatrice scientifique de la Chaire en prévention de la cybercriminalité à l’Université de Montréal.

Sensibiliser ses employés

Il y a tout de même beaucoup d’informations disponibles sur l’internet pour aider les PME, notamment sur le site du Centre canadien pour la cybersécurité. La FCEI a aussi lancé en décembre, en collaboration avec Mastercard, l’Académie de la cybersécurité, un programme en ligne pour former les propriétaires et employés de PME.

D’ailleurs, si les failles les plus fréquentes varient d’un type d’entreprise à un autre, Fyscillia Ream remarque que le grand problème est souvent que les employés ne sont pas suffisamment sensibilisés à la cybersécurité.

Le même sondage de la FCEI a également révélé que seulement 11 % des PME ont offert à leurs employés de la formation obligatoire pour les sensibiliser à la cybersécurité au cours de la dernière année.

« Les employés doivent faire attention de ne pas cliquer sur des liens ou ouvrir des documents dans des courriels qu’ils reçoivent, précise Fyscillia Ream. Cela peut permettre à la personne mal intentionnée de bloquer l’accès au système informatique de l’entreprise et de demander une rançon. Ou encore, de voler les données des clients. »

Et même les entreprises qui forment leurs employés ne sont pas nécessairement sorties du bois. Olivier Bilodeau, directeur de la recherche en cybersécurité chez GoSecure, constate que les exemples donnés dans les formations sont souvent grotesques, alors que les vraies attaques sont beaucoup plus perverses.

« La personne mal intentionnée va aller chercher la curiosité de la personne, lui demander d’agir rapidement, se faire passer pour son patron et le tout, dans un bon français maintenant », indique-t-il.

PHOTO CHARLES WILLIAM PELLETIER, COLLABORATION SPÉCIALE

Sarra Ghribi a fondé Loue 1 robe, une entreprise de quatre employées, en 2012.

Les employés doivent aussi s’assurer d’avoir des mots de passe sécuritaires. D’ailleurs, depuis sa mésaventure, Sarra Ghribi utilise des mots de passe robustes avec de nombreux caractères. « Même pour les robots, ils sont difficiles à décoder, affirme-t-elle. Puis je les change fréquemment et je ne les enregistre pas dans l’ordinateur. »

Bien configurer ses logiciels

Un autre risque pour les PME est une mauvaise configuration des logiciels.

La force de Microsoft – utilisé par 99 % des entreprises – est sa rétrocompatibilité : des logiciels qui datent de Windows 95 peuvent rouler sur Windows 10 ! L’envers de la médaille est que leur configuration par défaut n’est pas sécuritaire.

Olivier Bilodeau, directeur de la recherche en cybersécurité chez GoSecure

Il conseille donc aux entreprises de configurer chacun de leurs logiciels de façon sécuritaire et de bloquer automatiquement l’accès aux adresses IP qui proviennent de pays où l’entreprise n’a pas d’employés. « La grande majorité des attaques vient de l’étranger et particulièrement de Russie, précise Olivier Bilodeau. Bloquer le plus de pays possible réduit l’exposition au risque. »

Tenter le test d’intrusion

Une fois qu’une PME a pris ses précautions, l’expert lui conseille de réaliser un test d’intrusion. « On tente alors d’entrer dans le système de l’entreprise, par exemple par le réseau internet ou par le site web, et on peut voir s’il reste des problèmes », indique-t-il.

En fonction de la maturité de l’entreprise, il conseille aussi souvent de créer un plan en cas d’évènement. « Il faut que l’entreprise choisisse les données à sauvegarder à l’extérieur de son système pour y avoir accès rapidement en cas d’attaque, indique-t-il. Elle doit aussi pouvoir donner des outils à ses employés pour qu’ils maintiennent leur productivité. De plus, elle doit réfléchir à ce qu’elle leur dira, ainsi qu’à sa clientèle et aux médias. La PME doit se préparer opérationnellement et mentalement. »

Consultez le site du Centre canadien pour la cybersécurité Consultez la page de l’Académie de la cybersécurité de la FCEI