Aujourd’hui, les PME font face à des cybermenaces de plus en plus fréquentes et sophistiquées, tout en disposant généralement de ressources limitées pour les contrer. Identifier précisément où concentrer vos efforts en matière de cybersécurité est donc devenu crucial afin de maximiser l’impact de vos investissements. Voici quelques pistes concrètes pour protéger efficacement votre entreprise.
Protégez vos échanges et vos accès : BEC, spoofing et gestion des comptes
Les cyberattaques commencent souvent par un simple courriel frauduleux. Le Business Email Compromise (BEC), communément appelé fraude au président, représente une menace très sérieuse pour les entreprises. Ce type d’attaque implique un criminel qui se fait passer pour un dirigeant, un fournisseur ou un partenaire de confiance, afin de persuader un employé d’effectuer un virement ou de divulguer des informations sensibles. Selon le Centre antifraude du Canada, les attaques par harponnage (phishing ciblé), incluant le BEC, ont coûté 58,1 millions de dollars aux entreprises canadiennes en 2022.
Le spoofing, technique consistant à falsifier l’adresse de l’expéditeur, est fréquemment utilisé pour rendre ces courriels encore plus crédibles. Il est donc essentiel de sensibiliser régulièrement vos équipes aux signes suspects tels que des adresses inhabituelles ou des demandes urgentes, et d’instaurer des vérifications systématiques par téléphone pour les transactions importantes.
La gestion des comptes utilisateurs est également une priorité. La plupart des cyberattaques exploitent des mots de passe faibles ou réutilisés. Selon l’Autorité canadienne pour les enregistrements Internet (CIRA), 59 % des Canadiens réutilisaient encore leurs mots de passe dans un sondage de 2019, exposant ainsi leurs organisations à de sérieux risques. Pour remédier à ce problème, encouragez l’utilisation de gestionnaires de mots de passe, outils permettant de générer et stocker de manière sécurisée des mots de passe uniques et complexes pour chaque compte.
De plus, l’authentification multifactorielle (MFA) constitue une barrière extrêmement efficace contre l’accès non autorisé, réduisant significativement les risques même en cas de mot de passe compromis.
Enfin, surveiller activement les éventuelles fuites d’identifiants grâce à des solutions spécialisées permet à votre entreprise de réagir rapidement en cas de compromission.
Sécurisez votre écosystème : gestion des fournisseurs et accompagnement externe
La cybersécurité d’une PME ne s’arrête pas à ses frontières. La multiplication des sous-traitants et des partenaires augmente les risques de cyberattaques par rebond. Une faille chez un fournisseur peut rapidement compromettre la sécurité de votre propre entreprise. Il est donc indispensable d’établir une politique claire de gestion des risques liés aux fournisseurs.
Pour cela, mettez en place des évaluations régulières de la cybersécurité chez vos partenaires clés. Cela peut inclure des questionnaires de sécurité, des audits ponctuels ou encore des certifications exigées contractuellement.
Inscrivez également des exigences précises en matière de sécurité informatique dans vos contrats et accords de niveau de service (SLA). Ces clauses doivent stipuler clairement les attentes en termes de mises à jour logicielles régulières, de gestion des incidents et d’alerte rapide en cas de problème.
Assurez-vous enfin que les mises à jour logicielles, tant chez vous que chez vos fournisseurs, soient systématiques. La plupart des cyberattaques exploitent des failles connues qui auraient pu être corrigées à temps par l’application régulière des correctifs.
Dans un contexte où toutes les entreprises ne disposent pas forcément d’une expertise interne suffisante, recourir à un RSSI externalisé (vCISO) devient une solution pratique et abordable. Un vCISO est un expert indépendant, travaillant à temps partiel pour plusieurs entreprises. Il offre ainsi une expertise pointue sans nécessiter d’embauche à plein temps. Ce professionnel peut vous aider à définir votre stratégie de cybersécurité, à assurer la conformité réglementaire et à former efficacement votre personnel.
En conclusion, la cybersécurité pour une PME ne doit plus être considérée comme une dépense, mais plutôt comme un investissement stratégique. En concentrant vos ressources sur les domaines les plus et en vous entourant de compétences externes lorsque nécessaire, vous renforcez considérablement la résilience de votre entreprise face aux menaces cyber, tout en optimisant votre budget.
Checklist : évaluez rapidement la cybersécurité de votre PME
Pour vous assurer de ne rien oublier, voici une liste rapide des mesures essentielles à mettre en place au sein de votre entreprise :
Sécurisation des courriels :
- Processus de vérification systématique pour les demandes sensibles
- Mise en place d’un filtrage des courriels avancé
Gestion des comptes utilisateurs :
- Utilisation obligatoire d’un gestionnaire de mots de passe
- Activation de l’authentification multi-facteurs sur tous les comptes sensibles
- Surveillance active des éventuelles fuites d’identifiants
Sécurité de la chaîne d’approvisionnement :
- Évaluation régulière de la cybersécurité de vos fournisseurs et sous-traitants clés
- Intégration de clauses précises relatives à la cybersécurité dans les contrats et SLA
- Application rigoureuse des mises à jour
Gouvernance et expertise :
- Désignation d’un responsable de la cybersécurité (interne ou externalisé comme un vCISO)
- Révision régulière de votre stratégie de cybersécurité et ajustement selon l’évolution des menaces
Gestion des incidents :
- Élaboration d’un plan d’action clair en cas d’incident cyber
- Tests réguliers du processus de réponse aux incidents
Sauvegarde et récupération des données :
- Sauvegardes régulières des données critiques
- Vérifications périodiques de l’intégrité et de l’accessibilité des sauvegardes
Évaluation des vulnérabilités :
- Réalisation d’audits de sécurité ou tests d’intrusion réguliers
- Application rapide des correctifs identifiés lors des évaluations
Sensibilisation continue des équipes :
- Diffusion régulière de rappels actualisés sur les risques cyber
- Organisation de formations en cybersécurité pour tous les employés
Par Rolland Winters, Directeur cybersécurité
Commissionnaires du Québec
