Que l’on soit une multinationale ou une petite entreprise familiale, une cyberattaque peut faire des ravages. Heureusement, quels que soient leur taille et leur budget, les entreprises peuvent toutes s’y préparer en adoptant des technologies avancées en matière de cybersécurité.
Capteurs intelligents, réseaux 5G, intelligence artificielle… Les technologies de pointe sont désormais vitales pour les entreprises, qui dépendent de plus en plus d’elles pour assurer leur compétitivité et, dans bien des cas, mener leurs activités quotidiennes. Les nombreuses possibilités offertes par la nouvelle technologie s’accompagnent toutefois de risques importants du point de vue de la sécurité — des risques qui peuvent mettre en jeu jusqu’à la pérennité d’une organisation —, et aucune entreprise n’y échappe, prévenait Roger Ouellet, directeur de la pratique de sécurité chez NOVIPRO, dans un récent webinaire sur le sujet.
Le risque couru par les PME se serait même accru dans les dernières années, alors que les grandes organisations ont investi des sommes importantes et déployé beaucoup d’efforts pour mettre en place des mesures de sécurité sophistiquées, explique-t-il. « Pour une PME, payer une équipe de trois personnes et faire des projets de cybersécurité de 5 M$, quand on a un chiffre d’affaires de 10 M$, ça n’a pas de sens », fait cependant remarquer le directeur.
Il est heureusement tout à fait possible pour les plus petites entreprises d’instaurer de bonnes pratiques pour se protéger des pires impacts d’une éventuelle attaque informatique.
Évaluer son risque et les impacts potentiels
Pour y arriver, rappelle Roger Ouellet, il faut d’abord s’assurer de bien connaître les risques auxquels on s’expose et comprendre les impacts potentiels d’une possible attaque informatique sur notre entreprise et sur ses opérations.
Les conséquences d’une attaque informatique peuvent être multiples et varient grandement d’une entreprise à l’autre. Leur impact peut parfois être direct et tangible, comme lorsqu’une attaque par rançongiciel force l’arrêt de la production pendant une longue période, mais il peut prendre d’autres formes : atteinte à la réputation de l’entreprise, poursuites judiciaires pour ne pas avoir protégé convenablement les données de ses clients ou de ses employés, impossibilité d’honorer des contrats ou la perte d’opportunités commerciales, explique le directeur.
« Il est impossible de réduire le risque et les impacts à zéro, mais si on connaît bien notre situation, on peut s’assurer de les réduire autant que possible », souligne-t-il.
Bien choisir les données que l’on conserve
Une des approches qui peuvent grandement aider les entreprises de toutes tailles à réduire le risque et les impacts d’une attaque réside dans une meilleure collecte et gestion des données sensibles qui pourraient être exposées ou compromises en cas d’attaque.
Par exemple, les nouveaux outils marketing permettent de recueillir une foule de données sur la clientèle, mais celles-ci n’ont pas toujours une grande valeur ajoutée pour l’entreprise. Il est donc possible de réduire considérablement le risque en s’assurant de ne conserver que les données que l’on utilise et de réduire ensuite les impacts potentiels en anonymisant celles qui seront conservées, indique Roger Ouellet.
Cette approche est d’autant plus importante alors que le gouvernement du Québec continue de déployer sa nouvelle loi sur les renseignements personnels, mieux connue sous le nom de Loi 25, rappelle le directeur. Celle-ci prévoit d’importantes pénalités pour les entreprises qui ne protègent pas adéquatement les données personnelles qu’elles collectent, et plus elles stockent de données personnelles dans leurs systèmes, plus elles s’exposent à de lourdes amendes.
« À une certaine époque, résume Roger Ouellet, on disait que plus on avait de données, mieux c’était. Ce n’est plus le cas. Il faut faire très attention. »
Les assurances, un atout qui ne règle pas tout
Les assurances en cybersécurité gagnent en popularité auprès des entreprises qui cherchent à mitiger une partie des risques associés à la sécurité informatique. En outre, de plus en plus d’organisations obligent leurs partenaires commerciaux à souscrire de telles assurances s’ils veulent faire affaire avec elles.
Ces protections peuvent être utiles en fournissant un soutien financier pour aider à se remettre d’une éventuelle attaque, mais ne remplacent pas la mise en place de mesures de cybersécurité, met en garde Roger Ouellet. En fait, si une entreprise n’instaure pas de mesures de sécurité crédibles avant d’aller chercher une assurance, il est fort possible que celle-ci lui coûte très cher ou même que l’assureur refuse de la couvrir, précise-t-il.
Ne pas oublier les usagers
Une fois qu’une entreprise a déployé des mesures de sécurité adéquates pour ses besoins et qu’elle a demandé une couverture d’assurance, le travail est loin d’être terminé.
« Plus on met d’éléments et d’outils en place pour sécuriser un environnement, plus on force les attaques à se diriger vers les usagers », avise Roger Ouellet. Il est donc d’une grande importance de former son personnel adéquatement pour qu’il puisse reconnaître les attaques, et remettre ces formations régulièrement au programme pour s’assurer que les mauvaises habitudes en matière de sécurité ne reviennent pas.
Parce qu’en fin de compte, la sécurité, c’est l’affaire de tous.
Visionnez notre webinaire sur ce sujet passionnant !
Prenez contact avec nos experts pour leur poser toutes vos questions liées à la cybersécurité