La préparation aux cyber attaques représente actuellement une des principales difficultés rencontrées par les entreprises. Malgré les efforts déployés pour améliorer la sécurité en ligne des entreprises, plusieurs idées reçues continuent d’exister.
Si vos employés ou vous-même croyez à l’un ou l’autre des mythes présentés ci-dessous, votre entreprise est exposée à un risque inconnu. Consultez la liste complète ou affichez notre infographie pour savoir comment casser ces mythes et faire en sorte que votre entreprise reste protégée en ligne.
Les mots de passe forts figurent parmi les éléments fondamentaux de l’utilisation de pratiques de cybersécurité saines, en particulier pour les entreprises. Toutefois, la mise en œuvre et l’application de règles de mots de passe forts ne sont que le début. En fait, un des principaux éléments que les entreprises oublient dans leur préparation aux cyber attaques n’est pas la façon dont les utilisateurs accèdent aux informations mais bien quelles informations sont disponibles en premier lieu.
Non seulement les employés doivent utiliser des mots de passe forts, mais les entreprises doivent savoir qui elles autorisent à accéder à quelles données. Dans le cadre d’une étude récente, nous avons déterminé que 41 % des entreprises possédaient au moins 1 000 fichiers sensibles accessibles à tous les employés. De nombreuses entreprises ne possèdent pas non plus de système de surveillance de l’accès administrateur. Les mots de passe forts aident à assurer la sécurité de l’entreprise, mais le risque est bien plus important une fois que les employés sont dans le système.
La multiplication des piratages de grande ampleur qui font les gros titres conduisent les PME à croire qu’elles ne seront pas prises pour cibles. La réalité est tout autre. En fait, selon le rapport Verizon 2018 sur les fuites de données, 58 % des victimes des piratages de données sont de petites entreprises.
Les raisons sont multiples. De nombreuses entreprises ne sont pas ciblées de manière spécifique mais bien victimes d’attaques « spray-and-pray » dans lesquelles les hackers mettent en place des systèmes automatisés chargés d’infiltrer les entreprises de manière aléatoire. Ces attaques étant aléatoires, n’importe quelle entreprise peut en faire les frais, quelle que soit sa taille.
Les petites entreprises ont tendance à être des proies plus faciles car elles consacrent un budget moins important à l’acquisition d’un logiciel avancé de protection des données et n’ont pas d’équipe de sécurité dotée de l’expertise requise. Elles sont donc plus susceptibles d’être touchées par des attaques spray-and-pray. Les attaques ciblées visent également plutôt les petites entreprises justement parce qu’elles ne sont pas protégées.
Tout comme certaines entreprises pensent qu’elles ne seront pas prises pour cibles en raison de leur taille, d’autres croient à tort qu’elles sont à l’abri des attaques à cause de leur secteur d’activité. Ce mythe va de pair avec l’idée erronée selon laquelle certaines entreprises n’ont « rien de valeur » à voler. En réalité, toute donnée sensible allant des numéros de carte de crédit aux adresses et informations personnelles font de toute entreprise une cible potentielle.
Par ailleurs, même si les données ciblées n’ont pas de valeur à la revente sur le darkweb, elles peuvent être critiques au fonctionnement de l’entreprise. Le ransomware, par exemple, peut rendre des données inutilisables si vous ne payez pas la somme exigée pour obtenir la clé de déchiffrement. Les attaques peuvent donc être très rentables pour les hackers même si les données sont considérées comme « avec peu de valeur ».
L’antivirus joue indubitablement un rôle clé dans le maintien de la protection de votre organisation, mais il ne vous protègera pas de tout. Le logiciel n’est que le début d’un plan de cybersécurité complet. Pour protéger réellement votre organisation, vous devez vous doter d’une solution complète prenant en compte tous les aspects, depuis la formation des employés jusqu’à la détection des menaces internes et la protection contre les sinistres.
S’il ne fait aucun doute que les menaces externes présentent un risque et doivent faire l’objet d’une surveillance étroite, les menaces internes sont tout aussi dangereuses et méritent d’être tenues à l’œil tout aussi étroitement. Dans les faits, une recherche suggère que les menaces internes peuvent représenter jusqu’à 75 % des piratages de données.
Ces menaces peuvent provenir de toute personne interne, des employés frustrés cherchant à se venger jusqu’aux employés satisfaits non formés à la cybersécurité. Par conséquent, il est important de mettre en place un système capable de dissuader et de surveiller les menaces internes.
Alors que l’informatique joue un rôle important dans la mise en œuvre et l’examen de règles permettant aux entreprises de rester protégées en ligne, la vraie préparation à la sécurité est de la responsabilité de chaque employé, et pas seulement de ceux du service informatique.
Par exemple, selon Verizon, 49 % des malwares sont installés par e-mail. Si vos employés ne sont pas formés aux meilleures pratiques de cybersécurité, notamment à la façon d’identifier les attaques de phishing et d’éviter les liens présentant un risque, ils peuvent exposer votre entreprise à des menaces.
Si certains de vos employés sont souvent en déplacement, travaillent à distance ou utilisent des espaces de travail partagés, ils peuvent penser à tort qu’un mot de passe suffit pour qu’un réseau Wi-Fi soit sûr. En réalité, les mots de passe Wi-Fi limitent surtout le nombre d’utilisateurs de chaque réseau ; d’autres utilisateurs ayant le même mot de passe peuvent voir les données sensibles transmises. Ces employés doivent investir dans des VPN pour mieux protéger leurs données.
Téléchargez un Livre-Blanc sur les 5 menaces pesant sur le télétravail, et comment s'en protéger
Il y a encore dix ans de cela, il était peut-être encore possible de savoir tout de suite si votre ordinateur était infecté par un virus : l’apparition de fenêtres publicitaires, le ralentissement du navigateur et dans les cas extrêmes, le plantage total du système étaient assez révélateurs.
Aujourd’hui, les malwares sont bien plus insidieux et difficiles à détecter. Selon la souche avec laquelle votre ordinateur ou réseau est infecté, il est fort possible que la machine piratée continue de fonctionner normalement, permettant ainsi au virus de faire des ravages avant d’être détecté.
Les employés pensent souvent que leurs appareils personnels ne sont pas concernés par les protocoles de sécurité auxquels les ordinateurs de l’entreprise sont soumis. Pour cette raison, les politiques de BYOD (bring your own devices – apportez vos appareils personnels) exposent les entreprises à un nouveau risque dont elles n’ont peut-être pas conscience. Les employés qui utilisent leurs appareils personnels pour travailler doivent respecter les mêmes protocoles que tous les ordinateurs du réseau.
Ces règles ne s’appliquent pas uniquement aux téléphones et ordinateurs portables. Les politiques BYOD doivent couvrir tous les appareils qui accèdent à Internet, y compris les appareils portables sur le corps (wearable device) et les appareils d’IoT (Internet des Objets)
La cybersécurité est une lutte de tous les instants, et non une tâche parmi tant d’autres qu’il suffit de cocher sur une liste puis d’oublier. De nouvelles menaces et méthodes d’attaques font sans cesse leur apparition et exposent en permanence vos systèmes et données à des risques. Pour être vraiment protégé en ligne, vous devez surveiller vos systèmes sans relâche, procéder à des audits internes et examiner, tester et évaluer des plans d’urgence.
Veiller à la cyber protection d’une entreprise est un effort constant qui exige la participation de tous les employés. Si l’un des membres de votre entreprise croit à l’un des mythes exposés ci-dessus, il est peut-être temps de repenser votre formation à la cybersécurité et d’organiser un audit dans votre entreprise pour évaluer le risque auquel vous êtes exposé.
