Technologies de l'information
Article
Nouvelle
Étude de cas
Portrait de formateur

Ce que les PME devraient savoir sur la cybersécurité

Technologia
par Technologia
Technologia
Ce que les PME devraient savoir sur la cybersécurité

Quelle que soit la taille de votre organisation, la cybersécurité devrait être une de vos préoccupations. Être petit et discret n’est pas un sauf-conduit, car pour les pirates informatiques il s’agit de faire feu de tout bois. Qu’importe le secteur, l’ancienneté, la nature de vos activités, vous devez prendre des précautions quant à la protection de vos données, au risque de le payer très cher. 

 

Qui est concerné par la cybersécurité ?

Cybersécurité : tous concernés

Le piratage a beaucoup évolué dans les dernières années. Alors qu’on assistait auparavant à un piratage ciblé envers des entreprises qui présentaient de la valeur, aujourd’hui nous sommes face à un piratage de masse, qui vise aussi bien les grandes que les petites entreprises. Après tout, à partir du moment où une entreprise a une activité commerciale c’est qu’elle a de la valeur… La question n’est pas de savoir « si » votre entreprise sera victime d’une attaque cyber, mais plutôt « quand » le sera-t-elle et si vous serez protégé ce jour-là. 

Qui plus est, même quand une entreprise dispose de « sauvegardes », cela peut prendre du temps pour les réactiver et donc provoquer un arrêt (temporaire) de l’activité. Dont la conséquence directe se mesure en pertes sèches.

Ce qui explique que 21 % des PME ne survivront pas à un incident de sécurité…

Et les possibilités d’incident sont nombreuses car la technologie est présente partout : même la plus petite entreprise imaginable  comprend au minimum un téléphone intelligent. La surveillance technologique devient donc nécessaire.

70 % du tissu économique québécois repose sur les PME. Ces dernières sont donc tout naturellement les premières visées aujourd’hui.

D’où viennent les failles de sécurité 

Cybersécurité : le risque humain

95 % des failles de sécurité sont humaines (qu’elles soient intentionnelles ou non). Le travail hybride n’a pas arrangé les choses.

En clair, dans l’écrasante majorité des cas, c’est une action humaine qui a provoqué la faille, comme par exemple de cliquer sur un lien dans un courriel qui semblait inoffensif… 

Comment lutter contre les failles de sécurité ?

En suivant quatre grands axes de travail : 

  • Les infrastructures (tâches qui incombent aux TI : câblage, serveurs, matériel…)
  • La sécurité au sens large (accès aux bâtiments, caméras de surveillance, alarmes… car la cybersécurité fait partie d’un tout)
  • La gouvernance, le risque et la conformité (politiques internes, plan de relève, analyse de risque, assurances, certification, etc.)
  • La politique et les formations (politique usager, usage des objets connectés personnels, sensibilisation aux risques…)

Quelle que soit la taille de l’entreprise, ces axes demeurent valides, d’autant que certains seront mieux maîtrisés que d’autres.

Comment adopter le bon état d’esprit en matière de sécurité des PME ?

Cybersécurité : adopter le bon état d'esprit

D’abord ne pas se focaliser sur des aspects spécifiques (logiciel, méthode de chiffrement, etc.), mais au contraire avoir une approche à haut niveau, dans laquelle tous les employés peuvent participer. Dans cette logique, voici trois grands principes de cybersécurité :

  • N’assumez pas : ne prenez rien pour acquis et valider le plus clairement possible quelles sont les dispositions en place et qui en est responsable, à l’interne comme à l’externe. Simplement se dire « j’ai un contrat et tout est beau » n’est pas suffisant. Demandez à tester les dispositifs, validez le temps de mise en place en cas de problème (3 heures ou 3 semaines peuvent faire une grosse différence sur les affaires).
  • Challengez-vous : posez des questions, validez que les options choisies sont les bonnes, que les plans de contingence sont à jour.
  • Ne faites pas l’autruche : « je suis trop petit pour intéresser des pirates ». Si basiques et « inoffensives » soient les données d’une entreprise, au minimum elles lui permettent de rester opérationnelle! Or ce sont bien les données qui sont chassées par les pirates. Toutes les données. Choisir d’ignorer la menace c’est se mettre une cible sur le dos.

Une bonne façon de vérifier que vous ne tombez pas dans un de ces écueils est de commencer par faire un audit annuel : tous les points nécessaires sont-ils couverts ? les responsables clairement identifiés ? leurs responsabilités sont-elles bien comprises ? y a-t-il des questions sans réponse ?

En clair : avoir un plan d’action, que vous remettrez en question à intervalles réguliers. Cette remise en question peut se faire en interne, avec le risque qu’il soit plus difficile de voir les enjeux possibles (de la même façon qu’on voit généralement moins les fautes d’orthographe dans son propre texte). D’où l’intérêt de parfois faire appel à l’externe pour bénéficier d’une approche neutre, neuve et objective. Le but n’est pas de juger les uns ou les autres : il est normal que des drapeaux soient levés. 

Sachez qu’il n’y a pas de plan d’action immuable  : la technologie et les techniques de piratage évoluent. Ce qui est vrai aujourd’hui, ne le sera peut-être plus demain. 

La loi 25 sur la protection des données personnelles vous aide à devenir meilleur. En imposant un cadre contraignant elle vous rappelle que les données des clients, des employés, etc. n'appartiennent pas à l'organisation, mais qu'elle doit en prendre soin.

Dois-je prendre une assurance contre le cyber risque ?

Dans les dernières années   de dédommagements liés à des enjeux informatiques ont explosé. Ce qui a amené les assureurs à revoir plus ou moins clairement les couvertures offertes à leurs souscripteurs, sans toujours les en informer clairement d’ailleurs. Certains demandent des choses assez généralistes, d’autres sont très pointus. 

Pour une PME il est donc essentiel de relire son contrat en cours (et les exemptions qui sont nombreuses!) et de poser des questions pour valider la réalité de la couverture offerte.

En conclusion

Les PME font aujourd’hui partie des cibles privilégiées des pirates, notamment parce qu’elles ont souvent minimisé les risques et tardé à prendre des mesures préventives. Or, en cybersécurité, réparer coûte plus cher qu’anticiper. Une faille peut amener à la fermeture pure et simple. Heureusement il n’est pas trop tard pour se poser les bonnes questions, se faire conseiller et prendre les mesures adéquates, à commencer par développer une culture de la sécurité et une certaine sensibilisation à la protection des données à l’ensemble des collaborateurs.

Pour aller plus loin : 

Cybersécurité : monter un plan d'action pour protéger l'entreprise

 

Photo de daniel kalman sur Unsplash
Photo de Adi Goldstein sur Unsplash
Photo de Jakob Owens sur Unsplash
Photo de Leonie Zettl sur Unsplash

 

Articles similaires

Voir tous les articles de blogue
Spring et Java : un duo stratégique pour des applications robustes et évolutives
Article
Nouvelle
Étude de cas
Portrait de formateur
Spring et Java : un duo stratégique pour des applications robustes et…
Technologia
par Technologia
Cybersécurité : pourquoi les organisations agiles auront toujours un temps d’avance
Article
Nouvelle
Étude de cas
Portrait de formateur
Cybersécurité : pourquoi les organisations agiles auront toujours un temps…
Technologia
par Technologia
Le train de l’IA est en marche, ne restez pas sur le quai
Article
Nouvelle
Étude de cas
Portrait de formateur
Le train de l’IA est en marche, ne restez pas sur le quai
Technologia
par Technologia
Test logiciel : bien démarrer l’automatisation
Article
Nouvelle
Étude de cas
Portrait de formateur
Test logiciel : bien démarrer l'automatisation
Michel Benoit
par Michel Benoit