6 conseils pour protéger les données de votre entreprise

Les fuites de données proviennent souvent de l’intérieur de votre entreprise

Lecture de 5 minutes

Savez-vous quels sont les maillons les plus faibles de votre entreprise en matière de cybersécurité?

Comme l’indique Ryan Duquette, fondateur et directeur de Hexigent Consulting à Oakville, en Ontario, bien que l’on trouve des cybervoleuses et cybervoleurs partout dans le monde, les maillons faibles sont généralement les membres de votre personnel.

«On ne parle pas ici du piratage de l’entreprise», précise l’expert en sécurité. «Certains membres du personnel estiment qu’elles et ils ont le droit d’accéder aux renseignements d’un projet sur lequel elles et ils ont travaillé, ne serait-ce qu’à une petite partie.»

Environ 75 % du travail qu’accomplit l’entreprise de cybersécurité de Ryan Duquette vise le vol interne de propriété intellectuelle.

La cybersécurité, c’est la responsabilité de tout le monde

«Les membres du personnel peuvent dire que la sécurité ne les concerne pas et s’attendre à ce que leur service des TI prenne les choses en main, mais il ne devrait pas en être ainsi», dit Ryan Duquette.

Les propriétaires d’entreprise doivent prendre le temps de faire réfléchir tout le monde à la cybersécurité, du personnel de l’entretien jusqu’aux hautes dirigeantes et hauts dirigeants, y compris la présidente ou le président de l’entreprise, recommande-t-il.

Évaluez les conséquences liées au vol de renseignements de votre entreprise et mettez en place des mesures pour faire face à toute atteinte à la protection des données, dit-il.

Il suggère de commencer par poser une série de questions: «Que tentez-vous de protéger? Qui y a accès et quelles mesures de contrôle ont été mises en place? S’il y avait une fuite de renseignements, est-ce que ce serait très préjudiciable?»

Votre entreprise pourrait être de plus en plus vulnérable

«En fait, je dirais que ces menaces sont en hausse pour les PME parce que bon nombre d’entre elles détiennent des renseignements très importants sur leurs clientes et clients», explique Ryan Duquette.

Les cybercriminelles et cybercriminels, qu’il s’agisse des membres de votre personnel ou de pirates informatiques se trouvant dans un endroit éloigné, voleront également des renseignements financiers.

«Il y a beaucoup d’entreprises en démarrage qui ont une propriété intellectuelle (PI) d’une grande valeur sur laquelle certaines personnes seraient très heureuses de mettre la main», ajoute Ryan Duquette.

6 conseils pour protéger les données de votre entreprise

1. Effectuez périodiquement des vérifications de cybersécurité

Selon Sem Ponnambalam, cofondatrice et présidente de Xahive, une entreprise de cybersécurité à Ottawa, les entreprises devraient périodiquement faire des vérifications de cybersécurité pour déterminer les lacunes, les forces et les faiblesses de leurs procédures en matière de gestion des données.

2. Sachez quoi faire en cas d’atteinte à la protection des données

Sem Ponnambalam conseille de créer un protocole de cybersécurité pour définir les mesures à prendre en cas d’atteinte à la protection des données. Cela comprend l’élaboration d’une politique visant à aviser immédiatement vos clientes et clients, vos fournisseuses et fournisseurs et les autorités. Vous devriez aussi en informer votre banque.

3. Sauvegardez vos données quotidiennement

Les entreprises devraient sauvegarder leurs données quotidiennement, non seulement dans le nuage, mais aussi sur un disque dur. Faire régulièrement des mises à jour logicielles est une autre bonne habitude à prendre, selon Sem Ponnambalam.

4. Sachez qui a des droits d’accès et pourquoi

Lorsqu’une employée ou un employé quitte votre entreprise, assurez-vous qu’il n’a plus accès à vos renseignements en réinitialisant les mots de passe. Ayez une politique concernant les personnes qui ont accès aux données sensibles de votre entreprise et sachez à quelle fréquence et pourquoi elles y ont accès.

5. Chiffrez vos communications, y compris les courriels

Sem Ponnambalam ajoute que les communications qui comprennent tout renseignement personnel identifiable ou tout renseignement personnel sur la santé devraient être chiffrées afin que leur contenu soit protégé. Les clés de chiffrement ne doivent pas être stockées sur des serveurs, car elles peuvent être déverrouillées.

6. Souscrivez une assurance cybersécurité

Souscrire une assurance cybersécurité peut aider à atténuer les pertes causées par divers cyberincidents, dit Sem Ponnambalam. Et cela montre que vous prenez la menace au sérieux.

Vous devez penser que la cybersécurité est aussi essentielle à votre entreprise que le sont les produits et services que vous offrez.

Quoi faire en cas d’atteinte à la protection des données de votre entreprise

Les entreprises doivent maintenant signaler au Commissariat à la protection de la vie privée du Canada toute atteinte à la protection des renseignements personnels dont elles ont la responsabilité, y compris avec une fournisseuse ou un fournisseur de services. Cette procédure s’applique s’il est raisonnable de penser que l’atteinte crée un risque réel de préjudice important aux personnes touchées.

Selon des données de 2017 de Statistique Canada, les dépenses annuelles moyennes en matière de cybersécurité varient grandement selon la taille de l’entreprise. (Ces données ont été publiées en 2018.)

Les grandes entreprises (250 membres du personnel ou plus) ont dépensé 948 000 $, les moyennes entreprises (de 50 à 249 membres du personnel) ont dépensé 113 000 $ et les petites entreprises (de 10 à 49 membres du personnel) ont dépensé 46 000 $, selon Statistique Canada.

Le cybercrime peut prendre de nombreuses formes

Voici d’autres types de cybercrimes ciblant les entreprises:

Logiciels malveillants et rançongiciels

Les cybervoleuses et cybervoleurs peuvent ne pas être aussi tentés de voler les renseignements de votre entreprise qu’elles et ils le sont d’essayer de vous convaincre de verser une somme d’argent ou une rançon pour les récupérer. Le rançongiciel est un logiciel qui bloque l’accès aux ordinateurs ou aux fichiers jusqu’à ce qu’une rançon soit versée.

Hameçonnage

L’hameçonnage demeure une menace pour les propriétaires d’entreprise. Les criminelles et criminels peuvent parfois utiliser des robots conversationnels ou des modèles de courriel pour tenter d’obtenir vos renseignements financiers ou de santé personnels afin de voler votre argent ou votre identité, ou de les vendre sur le marché noir à prix fort à d’autres criminelles et criminels qui cherchent à utiliser vos renseignements personnels aux fins d’usurpation d’identité.

Attaque par déni de service distribué (DDoS)

Une attaque par DDoS perturbe l’accès à vos propriétés Web en les submergeant de trafic. Votre site Web et vos services deviennent ainsi inaccessibles aux utilisatrices et utilisateurs légitimes. Ce cybercrime peut être utilisé comme moyen de cyberextorsion.

Tables arc-en-ciel

Les cybercriminelles et cybercriminels ne veulent pas toujours s’attaquer directement à leurs cibles. Parfois, elles et ils préfèrent accéder à un serveur et s’emparer des renseignements de tout le monde en même temps, indique Sem Ponnambalam. Elles et ils le feront au moyen de tables arc-en-ciel, qui consistent essentiellement en une méthode permettant d’examiner les algorithmes de mots de passe et d’avoir accès à l’intégralité d’un serveur en quelques minutes, compromettant ainsi les données de chaque utilisatrice ou utilisateur du service.