Partout dans le monde, les entreprises et leurs employés ont dû composer avec la pandémie de COVID-19. Compte tenu des pressions qu’ont entraînées les mesures de prévention du virus sur notre quotidien et notre routine professionnelle, nous avons été nombreux à nous tourner vers le télétravail, toujours en vigueur dans une certaine mesure. Malheureusement, les nouvelles vulnérabilités qui y sont associées – notamment les mesures de sécurité inadéquates, les réseaux résidentiels à risque et les erreurs humaines – sont de plus en plus la cible des cybercriminels.
Selon les données du Bureau d’assurance du Canada* (BAC), les petites entreprises victimes d’une cyberattaque ayant déclaré des pertes financières d’au moins 100 000 $ sont passées de 37 % en 2019 à 41 % en 2021. L’incidence du cybercrime touche les petites et les grandes entreprises canadiennes.
Vous trouverez ci-dessous des recommandations pour mieux protéger votre entreprise contre la cybercriminalité dans le contexte du télétravail. La mise en œuvre de ces recommandations aidera les entreprises à protéger leurs données et à se montrer moins vulnérables à la cybercriminalité.
Protégez-vous en suivant ces 12 recommandations
Choisissez des mots de passe complexes
C’est la première ligne de défense contre la cybercriminalité.
Les mots de passe robustes ont habituellement une longueur minimale, et contiennent des majuscules, des minuscules, des chiffres et des caractères spéciaux. Ils devraient compter au moins huit caractères (idéalement davantage); par exemple, $Magenta. Le Centre canadien pour la cybersécurité recommande des pratiques exemplaires sur son site Web. Au Royaume-Uni, le National Cyber Security Centre recommande d’utiliser trois mots au hasard, par exemple, drapeausingebleu. Ce mot de passe deviendra encore plus complexe et sécuritaire si vous y ajoutez des chiffres et des caractères spéciaux, par exemple, 27drapeausingebleu&.
Si vous utilisez des mots de passe faibles ou faciles à deviner, les cybercriminels auront accès à des renseignements d’entreprise non autorisés. Par exemple, évitez d’utiliser votre date ou votre lieu de naissance, le nom de votre équipe sportive préférée, le nom de votre animal de compagnie ainsi que le nom de votre partenaire ou de votre enfant.
Utilisez l’authentification multifacteur
Ajoutez un facteur d’authentification à votre mot de passe pour augmenter le niveau de protection. Vous pourrez ainsi entrer votre mot de passe, puis un code de sécurité généré de façon aléatoire et envoyé par message texte ou dans une application.
Établissez des droits d’accès à l’échelle de l’entreprise
Les employés ne devraient avoir accès qu’aux systèmes, fonctions, logiciels et répertoires nécessaires à leurs tâches. Vous empêcherez ainsi tout accès non autorisé aux données de l’entreprise et limiterez les répercussions associées à un compte compromis.
Servez-vous de réseaux privés virtuels (VPN) pour protéger vos données
Les VPN rehaussent la sécurité des activités en ligne parce qu’ils constituent un réseau privé lorsque vous êtes connecté à un réseau public; les utilisateurs peuvent donc envoyer et recevoir des données comme si leurs appareils étaient connectés à un réseau privé. Les réseaux privés sont sécuritaires et offrent un accès contrôlé aux utilisateurs autorisés, notamment au moyen de la protection par mot de passe et de la connexion chiffrée.
Limitez l’utilisation des appareils
Pour des raisons de cybersécurité, il n’est pas recommandé que les employés utilisent leurs appareils puisqu’ils ne sont vraisemblablement pas dotés des mêmes dispositifs de sécurité que ceux appartenant à l’entreprise. Par exemple, le chiffrement des données, un logiciel antivirus ou les mises à jour de sécurité ne sont peut-être pas installés sur leur portable. L’utilisation d’appareils personnels à des fins professionnelles peut entraîner une perte de données et un accès non autorisé qu’il serait difficile de détecter si d’autres membres du ménage les utilisent.
Installez les mises à jour d’antivirus et de logiciels dès qu’elles sont disponibles
Les utilisateurs considèrent parfois les mises à jour comme une perte de temps, mais il est très important de les installer dès qu’elles sont disponibles. Chaque mise à jour est assortie des plus récentes mesures de sécurité.
Rédigez des aide-mémoires
Les services d’assistance TI peuvent être facilement débordés lorsque les gens ne savent pas comment accéder à un réseau privé à distance ou utiliser les systèmes et les applications. Les aide-mémoires sont d’excellents moyens d’atténuer les pressions exercées sur l’équipe des TI et d’éviter les incidents liés à la sécurité.
Formez vos employés aux tactiques d’hameçonnage
L’hameçonnage est une technique qui consiste à envoyer des courriels de façon massive pour soutirer des renseignements sensibles, comme des informations de connexion ou bancaires. Les personnes ciblées reçoivent un message les invitant à cliquer sur un lien malveillant ou encore à se rendre sur un faux site, l’objectif étant d’installer un logiciel malveillant sur leur appareil afin d’ouvrir la porte de leurs comptes aux cybercriminels.
Adoptez des politiques pour les supports amovibles
Les cartes mémoire SD, les clés USB et les autres supports amovibles peuvent contenir des virus susceptibles de se propager dans un réseau. Il faut mettre en place une politique interdisant l’utilisation de supports amovibles, et désactiver les ports des ordinateurs en conséquence. Le transfert de données devrait plutôt se faire par courriel ou sur un site de stockage infonuagique.
Évitez de travailler dans des endroits publics
Trois éléments sont à retenir lorsque vous travaillez dans un endroit public :
- Ne laissez pas vos appareils sans surveillance : les appareils laissés sans surveillance ou déverrouillés sont une cible de choix. Gardez toujours votre appareil avec vous.
- Méfiez-vous de votre entourage : est-ce que quelqu’un peut voir par-dessus votre épaule? Cette personne pourrait enregistrer les données à votre écran ou vos saisies clavier.
- Évitez les réseaux sans fil publics : les réseaux sans fil non protégés par mot de passe ouvrent la porte aux cybercriminels. Optez plutôt pour la connexion sécurisée au réseau 4G d’un cellulaire.
Protégez vos données avec une technologie de chiffrement
Il s’agit d’un processus qui consiste à coder les messages ou les données de sorte que seules les personnes autorisées puissent y accéder. Personne n’est à l’abri des cyberincidents, mais les criminels qui auront accès à ces données ne pourront les déchiffrer.
Signalez les incidents liés à la sécurité
Les employés doivent savoir qu’il est essentiel de signaler tout incident lié à la sécurité. Il faut savoir évaluer la situation rapidement et intervenir efficacement pour maintenir un certain niveau de sécurité, limiter les dommages, récupérer les données et augmenter les chances d’arrêter les fautifs. Les plans d’intervention en cas de cyberincident s’avèrent un bon moyen de vous préparer à ce type de scénario. Pour connaître les quatre étapes nécessaires à un plan d’intervention, consultez l’article intitulé Cybersécurité : Réagir rapidement pour une reprise prompte des activités.
Outre les recommandations formulées ci-dessus, vous pouvez aussi souscrire une assurance contre les cyberrisques pour vous protéger contre une foule de cyberévénements. La cyberassurance permet de gérer les risques de votre entreprise de façon proactive et donne accès en tout temps à des experts techniques qui vous aideront à gérer les cyberincidents. Elle aide aussi les clients à se conformer aux exigences de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du Canada.
Il n’est pas toujours facile de protéger ses activités contre la cybercriminalité dans le contexte du télétravail. Nous espérons toutefois que ces recommandations vous seront utiles et vous rendront moins vulnérables à la cybercriminalité.
*Source BAC : https://fr.ibc.ca/news-insights/news/many-small-businesses-vulnerable-to-cyber-attacks