6 conseils pour protéger les données de votre entreprise │ BDC.ca
logo BDC

6 conseils pour protéger les données de votre entreprise

Les fuites de données proviennent souvent de l’intérieur de votre entreprise

Partager

Savez-vous quels sont les maillons les plus faibles de votre entreprise en matière de cybersécurité?

Comme l’indique Ryan Duquette, fondateur et directeur de Hexigent Consulting à Oakville, en Ontario, bien que l’on trouve des cybervoleurs partout dans le monde, les maillons faibles sont généralement vos employés.

«On ne parle pas ici du piratage de l’entreprise», précise l’expert en sécurité. «Certains employés estiment qu’ils ont le droit d’accéder aux renseignements d’un projet sur lequel ils ont travaillé, ne serait-ce qu’à une petite partie.»

Environ 75 % du travail qu’accomplit l’entreprise de cybersécurité de M. Duquette vise le vol interne de propriété intellectuelle.

La cybersécurité, c’est la responsabilité de tous

«Les employés peuvent dire que la sécurité ne les concerne pas et s’attendre à ce que leur service des TI prenne les choses en main, mais il ne devrait pas en être ainsi», dit M. Duquette.

Les entrepreneurs doivent prendre le temps de faire réfléchir tout le monde à la cybersécurité, du personnel de l’entretien jusqu’aux hauts dirigeants, y compris le président de l’entreprise, recommande-t-il.

Évaluez les conséquences liées au vol de renseignements de votre entreprise et mettez en place des mesures pour faire face à toute atteinte à la protection des données, dit-il.

Il suggère de commencer par poser une série de questions: «Que tentez-vous de protéger? Qui y a accès et quelles mesures de contrôle ont été mises en place? S’il y avait une fuite de renseignements, est-ce que ce serait très préjudiciable?»

Votre entreprise pourrait être de plus en plus vulnérable

«En fait, je dirais que ces menaces sont en hausse pour les PME parce que bon nombre d’entre elles détiennent des renseignements très importants sur leurs clients», explique M. Duquette.

Les cybercriminels, qu’il s’agisse de vos employés ou de pirates informatiques se trouvant dans un endroit éloigné, voleront également des renseignements financiers.

«Il y a beaucoup d’entreprises en démarrage qui ont une propriété intellectuelle (PI) d’une grande valeur sur laquelle certains seraient très heureux de mettre la main», ajoute M. Duquette.

6 conseils pour protéger les données de votre entreprise

1. Effectuez périodiquement des vérifications de cybersécurité

Selon Sem Ponnambalam, cofondatrice et présidente de Xahive, une entreprise de cybersécurité à Ottawa, les entreprises devraient périodiquement faire des vérifications de cybersécurité pour déterminer les lacunes, les forces et les faiblesses de leurs procédures en matière de gestion des données.

2. Sachez quoi faire en cas d’atteinte à la protection des données

Mme Ponnambalam conseille de créer un protocole de cybersécurité pour définir les mesures à prendre en cas d’atteinte à la protection des données. Cela comprend l’élaboration d’une politique visant à aviser immédiatement vos clients, vos fournisseurs et les autorités. Vous devriez aussi en informer votre banque.

3. Sauvegardez vos données quotidiennement

Les entreprises devraient sauvegarder leurs données quotidiennement, non seulement dans le nuage, mais aussi sur un disque dur. Faire régulièrement des mises à jour logicielles est une autre bonne habitude à prendre, selon Mme Ponnambalam.

4. Sachez qui a des droits d’accès et pourquoi

Lorsqu’un employé quitte votre entreprise, assurez-vous qu’il n’a plus accès à vos renseignements en réinitialisant les mots de passe. Ayez une politique concernant les personnes qui ont accès aux données sensibles de votre entreprise et sachez à quelle fréquence et pourquoi elles y ont accès.

5. Chiffrez vos communications, y compris les courriels

Mme Ponnambalam ajoute que les communications qui comprennent tout renseignement personnel identifiable ou tout renseignement personnel sur la santé devraient être chiffrées afin que leur contenu soit protégé. Les clés de chiffrement ne doivent pas être stockées sur des serveurs, car elles peuvent être déverrouillées.

6. Souscrivez une assurance cybersécurité

Souscrire une assurance cybersécurité peut aider à atténuer les pertes causées par divers cyberincidents, dit Mme Ponnambalam. Et cela montre que vous prenez la menace au sérieux.

Vous devez penser que la cybersécurité est aussi essentielle à votre entreprise que le sont les produits et services que vous offrez.

Quoi faire en cas d’atteinte à la protection des données de votre entreprise

Les entreprises doivent maintenant signaler au Commissariat à la protection de la vie privée du Canada toute atteinte à la protection des renseignements personnels dont elles ont la responsabilité, y compris avec un fournisseur de services. Cette procédure s’applique s’il est raisonnable de penser que l’atteinte crée un risque réel de préjudice important aux personnes touchées.

Que tentez-vous de protéger? Qui y a accès et quelles mesures de contrôle ont été mises en place? S’il y avait une fuite de renseignements, est-ce que ce serait très préjudiciable?

Selon des données de 2017 de Statistique Canada, les dépenses annuelles moyennes en matière de cybersécurité varient grandement selon la taille de l’entreprise. (Ces données ont été publiées en 2018.)

Les grandes entreprises (250 employés ou plus) ont dépensé 948 000 $, les moyennes entreprises (de 50 à 249 employés) ont dépensé 113 000 $ et les petites entreprises (de 10 à 49 employés) ont dépensé 46 000 $, selon Statistique Canada.

Le cybercrime peut prendre de nombreuses formes

Voici d’autres types de cybercrimes ciblant les entreprises:

Logiciels malveillants et rançongiciels

Les cybervoleurs peuvent ne pas être aussi tentés de voler les renseignements de votre entreprise qu’ils le sont d’essayer de vous convaincre de verser une somme d’argent ou une rançon pour les récupérer. Le rançongiciel est un logiciel qui bloque l’accès aux ordinateurs ou aux fichiers jusqu’à ce qu’une rançon soit versée.

Hameçonnage

L’hameçonnage demeure une menace pour les entrepreneurs. Les criminels peuvent parfois utiliser des robots conversationnels ou des modèles de courriel pour tenter d’obtenir vos renseignements financiers ou de santé personnels afin de voler votre argent ou votre identité, ou de les vendre sur le marché noir à prix fort à d’autres criminels qui cherchent à utiliser vos renseignements personnels aux fins d’usurpation d’identité.

Attaque par déni de service distribué (DDoS)

Une attaque par DDoS perturbe l’accès à vos propriétés Web en les submergeant de trafic. Votre site Web et vos services deviennent ainsi inaccessibles aux utilisateurs légitimes. Ce cybercrime peut être utilisé comme moyen de cyberextorsion.

Tables arc-en-ciel

Les cybercriminels ne veulent pas toujours s’attaquer directement à leurs cibles. Parfois, ils préfèrent accéder à un serveur et s’emparer des renseignements de tout le monde en même temps, indique Mme Ponnambalam. Ils le feront au moyen de tables arc-en-ciel, qui consistent essentiellement en une méthode permettant d’examiner les algorithmes de mots de passe et d’avoir accès à l’intégralité d’un serveur en quelques minutes, compromettant ainsi les données de chaque utilisateur du service.

Partager

v17.9.0.10395