Protéger votre entreprise des cybermenaces en formant vos employés

Articles
Articles
|
30 septembre 2022

Marcel Labelle est conseiller stratégique, aviseur et gestionnaire aguerri comptant plus de 30 années d’expérience en cybersécurité, en gestion des risques et de conformité, en audit informatique et en audit interne.

La cybersécurité est l’affaire de toutes les PME. Aucune entreprise n’est épargnée par les cyberattaques, les logiciels malveillants ou les exfiltrations de données. Bien que seules les attaques visant de grosses entreprises soient plus souvent médiatisées, les entreprises de taille plus modeste sont elles aussi victimes des cybercriminels, et cela peut coûter cher.

La sécurité à l’ère du télétravail

Les gestionnaires de PME doivent savoir que les cybermenaces représentent un risque important pour eux. « La cybersécurité, c’est aussi important que la sécurité physique », rappelle Marcel Labelle, CPA, CA, CISSP, CISM, CISA, CRISC, CGEIT et président et directeur général de l’organisme Cybereco.

« Il faut être conscient qu’une entreprise a de l’information à protéger. Avant, les dossiers importants du personnel d’une organisation étaient conservés par le service des ressources humaines, souvent dans un classeur verrouillé et dont l’accès était limité. Aujourd’hui, avec l’informatique, il est tout aussi important de savoir qui contrôle l’accès à certains dossiers stratégiques; quel niveau de protection est en place », explique le spécialiste.

Former son personnel pour détecter les cybermenaces

« Si le personnel dans les organisations est bien formé, il sera en mesure de reconnaître qu’un courriel ou un texto est potentiellement menaçant. Une fois que ce réflexe est bien ancré dans les équipes, il est possible d’atténuer les risques. »

Certaines organisations exécutent d’ailleurs des campagnes d’hameçonnage justement pour tester les réflexes des gens au sein de leur entreprise.

« Les gestionnaires de PME doivent comprendre l’importance de l’enjeu et s’assurer de protéger la viabilité de leur entreprise, car il s’agit d’un risque qui peut la mettre en péril. Les exemples de cyberattaques au Québec qui visent des industries et des organisations de différentes tailles sont nombreux. L’impact d’une cyberattaque sur les entreprises peut être majeur et peut même en menacer la survie en entraînant la faillite. Ça peut prendre des mois à une organisation pour se relever d’une attaque », estime Marcel Labelle.

Plus que jamais donc, il est essentiel d’informer les employés des vulnérabilités existantes pour l’entreprise tout en leur donnant les outils pour instaurer de meilleures pratiques en matière de cybersécurité.

Les cybercriminels utilisent souvent deux types de tactiques qui ciblent les employés, que ce soit par texto ou par courriel. Ainsi, les employés qui sont formés pour reconnaître l’hameçonnage ou d’autres types d’attaque éviteront de devenir, à leur insu, l’intermédiaire d’un cyberattaquant :

  • L’hameçonnage (ou phishing) est un type de fraude qui utilise des astuces d’ingénierie sociale pour obtenir des données confidentielles de la part des personnes ciblées. La plupart des tentatives d’hameçonnage peuvent conduire à un vol d’identité ou d’argent ainsi qu’au vol de données.
  • Le rançongiciel est une forme de logiciel malveillant qui prend en otage les données de l’organisation. Les attaquants exigeront un paiement avant de redonner l’accès aux données.

Par où commencer en matière de cybersécurité?

Pour les gestionnaires de PME qui ont à gérer les cybermenaces et à protéger leurs systèmes, voici les recommandations de M. Labelle en matière de formation des employés :

  • Comprendre les risques liés à la cybersécurité.
  • Ce n’est pas parce qu’une formation est donnée aux employés que la tâche est terminée; les environnements changent et, en cybersécurité, les changements sont encore plus rapides.
  • Savoir qu’il y a différents aspects dans un courriel malveillant :
    • L’expéditeur du courriel peut être malveillant ou encore c’est le fichier joint ou le lien URL qui est problématique;
    • Se méfier de la réception d’un message à caractère urgent;
    • Être vigilant lorsque les communications proviennent d’une personne inconnue ou lorsqu’on réclame des informations bancaires. Toujours se questionner avant de cliquer.
  • Installer des solutions technologiques, comme des logiciels antipourriel, antivirus, antimaliciel et pare-feu, en plus d’offrir de la formation pour contrer les attaques possibles et réduire le risque.
  • Avoir la même approche devant les cyberrisques que devant les enjeux de santé et de sécurité au travail ou de sécurité physique.
  • Se demander, chaque fois qu’un nouveau logiciel ou un nouvel environnement informatique est utilisé, s’il peut représenter une menace.
  • Comprendre que, dans le domaine de la cybersécurité, les risques, les menaces et les solutions sont en constante évolution; alors qu’on entendait très peu parler de rançongiciel il y a deux ou trois ans, c’est aujourd’hui répandu, car il n’y a plus de frontière dans le cyberespace et cela ouvre la porte à une attaque venant de différents pays.
  • Il faut être conscient que la formation doit être en constante évolution pour être en mesure de protéger la propriété intellectuelle ou des renseignements personnels.

En terminant, Marcel Labelle offre cette analogie : « si on décide de prendre la route, on s’assure que notre véhicule est en bon ordre et que notre ceinture de sécurité est bouclée et on respecte les limites de vitesse. Sécuriser son entreprise, c’est un peu la même chose. Si on décide d’aller sur le Web, il faut prendre les moyens de protection pour être sur le Web. »

Commentaires

Partager sur mon fil d’actualité

Powered by WP LinkPress

Inscrivez-vous à l’infolettre

  • Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.