Cybersécurité
Ne restez pas indifférent aux risques de cybermenaces qui pèsent sur votre petite ou moyenne entreprise. Faites preuve d’intelligence cybernétique et tenez-vous au courant des pratiques exemplaires en matière de cybersécurité.
- Protégez vos opérations contre les cyberrisques
- Protégez vos opérations contre les escroqueries par hameçonnage
- Protégez vos employés contre les escroqueries
- Que faire après un cybercrime?
Protégez vos opérations contre les cyberrisques
La cyberprotection n’a pas besoin d’être coûteuse ni compliquée. Pour commencer, répertoriez les informations et les systèmes essentiels, comprenez les principales menaces auxquelles est confrontée votre organisation et adoptez les meilleures pratiques en gestion des risques. Adoptez les mesures suivantes pour renforcer votre cybersécurité :
Élaborez un plan d’intervention en cas d’incident. Ce dernier vous permettra de réagir rapidement en cas d’incident, de restaurer les données et les systèmes essentiels, et de minimiser les interruptions de service et les pertes de données. Votre plan doit comprendre des stratégies de sauvegarde des données à un emplacement hors site sécurisé.
Appliquez des correctifs aux applications et aux systèmes d’exploitation. Dès que des problèmes ou vulnérabilités sont détectés dans un logiciel, le fabricant diffuse un correctif qui corrige les bogues, colmate les vulnérabilités connues et améliore la convivialité et la performance. Si possible, activez l’application automatique des correctifs et des mises à jour pour tous les logiciels et le matériel afin d’empêcher les malfaiteurs d’exploiter les faiblesses ou les vulnérabilités.
Utilisez une authentification robuste. Établissez des politiques d’authentification des utilisateurs qui répondent aux besoins, tant sur le plan de la convivialité que sur celui de la sécurité. Assurez-vous que les dispositifs authentifient les utilisateurs avant de leur donner accès aux systèmes. Dans la mesure du possible, recourez à l’authentification multifactorielle.
Sauvegardez et chiffrez les données. Copiez vos informations et vos applications essentielles sur au moins un autre site protégé, comme un nuage ou un disque dur externe. En cas d’incident de sécurité informatique ou de catastrophe naturelle, ces copies vous aideront à poursuivre vos activités et à prévenir la perte de données. Vos données peuvent être sauvegardées en ligne ou hors ligne de trois façons : sauvegarde complète, sauvegarde différentielle et sauvegarde incrémentielle. Testez vos sauvegardes régulièrement pour vous assurer de pouvoir récupérer vos données.
Activez les logiciels de sécurité. Activez les pare-feux et installez sur vos dispositifs des antivirus et des antimaliciels qui bloquent les attaques malveillantes et offrent une protection contre les maliciels. Assurez-vous de télécharger ce logiciel d’un fournisseur de bonne réputation. Installez un filtre de système d’adressage par domaines (DNS) sur vos appareils mobiles pour bloquer les sites Web malveillants et filtrer le contenu dangereux.
Formez vos employés. Adaptez vos programmes de formation à vos protocoles, politiques et procédures de cybersécurité. Un effectif bien formé diminue le risque d’incident de sécurité informatique.
Sécurisez les services infonuagiques et les autres services externalisés. Apprenez à connaître le fournisseur de services avant de conclure un contrat. Assurez-vous qu’il a mis en place des mesures pour répondre à vos exigences et à vos besoins en matière de sécurité. Sachez où se trouvent les centres de données des fournisseurs de services. Les lois sur la protection de la vie privée et les exigences de protection des données varient d’un pays à l’autre.
Sécurisez les sites Web. Protégez votre site Web et les informations sensibles qu’il collecte. Cryptez les données sensibles, assurez-vous que vos certificats sont à jour, utilisez des phrases ou mots de passe forts sur l’arrière-plan du site et utilisez le protocole HTTPS pour votre site. Si vous avez externalisé votre site Web, assurez-vous que l’hébergeur de votre site a mis en place des mesures de sécurité.
Sécurisez les appareils mobiles. Choisissez un modèle de déploiement des appareils. Décidez si votre organisation fournira des appareils aux employés ou les autorisera à utiliser leurs appareils personnels pour le travail. Assurez-vous que les employés ne peuvent utiliser que des applications approuvées et télécharger des applications qu’à partir de sources fiables.
Contrôle d’accès et autorisation. Appliquez le principe du moindre privilège pour empêcher les accès non autorisés et les violations de données. Les employés doivent seulement avoir accès aux informations dont ils ont besoin pour faire leur travail. Chaque utilisateur doit avoir ses propres identifiants de connexion, et les administrateurs doivent disposer de comptes administratifs et de comptes d’utilisateurs généraux distincts.
Établissez des défenses périphériques de base. Protégez vos réseaux contre les cybermenaces. Par exemple, utilisez un pare-feu pour surveiller le trafic entrant et sortant et filtrer les sources malveillantes afin de vous défendre contre les intrusions extérieures. Utilisez un réseau privé virtuel (RPV) lorsque les employés travaillent à distance, afin de sécuriser la connexion et de protéger les informations sensibles.
Configurez les appareils de façon sécuritaire. Prenez le temps de revoir les paramètres par défaut de chacun d’eux et apportez-y les modifications nécessaires. Au minimum, nous recommandons de changer les mots de passe par défaut (en particulier les mots de passe administratifs), de désactiver les services de localisation et de désactiver les fonctions inutiles.
Sécurisez les supports portables. Le stockage et le transfert de données à l’aide d’un support portable, comme une clé USB, sont pratiques et rentables, mais ces supports peuvent être perdus ou volés. Tenez un inventaire de tous vos actifs. Si possible, utilisez des dispositifs de stockage portables cryptés et aseptisez-les correctement avant de les réutiliser ou de vous en débarrasser.
Source : Centre canadien pour la cybersécurité
Renseignez-vous sur la cyberassurance
Protégez vos opérations contre les escroqueries par hameçonnage
La cybermenace la plus courante est l’hameçonnage, qui est une tentative de vol de renseignements personnels et financiers. La plupart des organisations légitimes ne vous demanderont jamais de fournir des renseignements personnels dans un courriel, un message texte, un message direct sur les médias sociaux ou par téléphone.
Malheureusement, toutes les organisations et toutes les personnes peuvent être victimes d’une escroquerie par hameçonnage. Voici quelques conseils pour vous en protéger :
Soyez extrêmement prudent chaque fois que vous recevez un message vous demandant de fournir des renseignements personnels, même si ce message semble légitime à première vue.
Dans la mesure du possible, vérifiez les demandes de renseignements par d’autres moyens. Par exemple, si vous recevez un message de votre banque vous demandant de cliquer sur un lien ou de vérifier certains renseignements, appelez votre succursale bancaire pour vérifier la légitimité du message.
Connaissez les principales formes d’escroquerie par hameçonnage :
L’hameçonnage par message texte qui utilise le message texte comme outil.
L’harponnage, qui est un message ciblé conçu pour donner l’impression qu’il provient d’une source personnelle connue.
La mystification, qui est un faux site Web conçu pour inciter une personne à fournir des renseignements personnels.
La chasse à la baleine, qui cible les cadres supérieurs ou hauts fonctionnaires.
Source : Hameçonnage : Ne vous laissez pas prendre
Protégez vos employés contre les escroqueries
Hameçonnage. Hypertrucage. Ingénierie sociale. Violations par des tiers. Ce ne sont là que quelques exemples des menaces en ligne qui pourraient compromettre vos identités numériques professionnelles et personnelles. Que vos employés travaillent au bureau, à la maison ou en déplacement, ils doivent tous être bien informés des menaces et des façons de protéger leurs données. Voici quelques pratiques exemplaires :
Utilisez les réseaux sans fil de façon sécuritaire.
Modifiez les noms (SSID) et mots de passe par défaut des réseaux.
Évitez d’utiliser les réseaux sans fil publics.
Si un réseau sans fil public doit être utilisé, un réseau privé virtuel (RPV) peut contribuer à protéger les données et les comptes sensibles.
Maintenez les outils et logiciels de sécurité à jour
Utilisez un pare-feu ainsi qu’un logiciel antivirus et antihameçonnage
Utilisez des mots de passe forts avec une authentification multifactorielle
Assurez-vous que vos employés qui gèrent les comptes de médias sociaux de l’entreprise fassent preuve de prudence lorsqu’ils publient des informations
Vérifiez régulièrement les comptes financiers pour détecter toute activité suspecte
Repérez les comptes inutilisés et retirez les renseignements d’identification avant de supprimer les comptes
Partagez des informations avec prudence
Connaissez les tiers avec lesquels votre entreprise partage des données et lisez leurs politiques de confidentialité pour savoir comment ils traitent les informations
Vérifiez l’identité de quiconque vous demande des renseignements personnels ou professionnels, ainsi que la légitimité de la demande
Ne cliquez pas sur les liens contenus dans les messages textes ou des courriels. En cas de doute, utilisez les coordonnées affichées sur le site Web officiel d’une organisation pour confirmer son identité.
Source : Centre canadien pour la cybersécurité
Que faire après un cybercrime?
Si vous avez été victime d’un cybercrime, vous devez agir sans tarder :
Changez les mots de passe et les questions de sécurité du compte compromis et de tous les comptes associés.
Déterminez quelles données ont été touchées, comme des renseignements financiers, numéros d’assurance sociale, etc.
Signalez l’incident :
à votre fournisseur de cyberassurance, qui peut vous aider à prendre les mesures nécessaires pour protéger vos données;
au fournisseur du compte ainsi qu’aux comptes associés ou connectés;
aux forces de l’ordre.
Envoyez un courriel au Centre pour la cybersécurité (contact@cyber.gc.ca) pour signaler un vol d’identité organisationnelle.
Communiquez avec le Centre antifraude du Canada, en ligne ou au 1 888-495-8501, pour signaler un vol d’identité.
Envoyez à Innovation, Sciences et Développement économique Canada des informations sur les logiciels malveillants, les menaces électroniques ou les pourriels.
Soyez informé des modifications apportées à vos données personnelles.
Utilisez Equifax et TransUnion pour analyser les rapports de crédit et activer les alertes pour les demandes de renseignements non autorisées.
Sources : Centre canadien pour la cybersécurité et Innovation, Sciences et Développement économique Canada
Autres sections dignes d’intérêt
Les rouages de l’assurance entreprise
Pour gérer les incertitudes et prospérer dans un marché jalonné d’occasions et de risques, il est essentiel pour une entreprise de détenir une assurance adéquate. Veillez donc à ce que votre entreprise soit protégée contre les risques auxquels elle fait face.
Gestion des primes de votre assurance entreprise
Assurer une entreprise peut coûter cher. Comparez avant d’acheter. Choisissez une franchise plus élevée. Pensez aux avantages que permet la gestion du risque. Économisez grâce à des mesures proactives.
Des réponses d’experts à vos questions au sujet de l’assurance.
Appelez-les lorsque vous avez besoin d’informations générales sur l’assurance. S’ils ne peuvent pas répondre à votre question, ils vous diront à qui vous adresser.