Une cyberattaque pourrait détruire votre entreprise

 In Wolters Kluwer

À la fin de l’année dernière, nul autre que Facebook a causé toute une surprise en révélant qu’une personne mal intentionnée avait piraté le site Web de ce géant des médias sociaux, exposant les renseignements personnels des comptes de plus de 50 millions de ses utilisateurs.

Ce n’est pas drôle, mais ça n’arrive qu’aux mégaentreprises technologiques, pas vrai?

Faux!

Statistique Canada a révélé qu’« en 2017, plus de 20 pour cent des entreprises ont été victimes de violations de données » 1. Et si ce n’est pas suffisant pour attiser vos craintes, voici une autre mauvaise nouvelle qui vous fera réfléchir : en mai 2018, les géants bancaires « BMO et CIBC ont annoncé qu’ensemble, environ 90 000 de leurs clients avaient été touchés par une violation »2. 

Bienvenue dans la nouvelle normalité où la cybersécurité est un problème de taille pour toutes les industries, y compris le monde de la comptabilité. Une cyberattaque peut paralyser le fonctionnement d’une entreprise, sans oublier les répercussions sur sa rentabilité. Les études estiment que « le coût moyen d’une attaque sur une petite entreprise de moins de 100 employés est de 3,5 M$ » 3. Tout un problème! Ajoutez à cela le fait qu’environ « 60 pour cent des petites entreprises piratées font faillite dans les 6 mois suivant la cyberattaque »4, et vous avez deux fois plus d’ennuis.

Au bout de compte, il est extrêmement important que les comptables (et les responsables de la protection de la vie privée et de la sécurité) jouent un rôle plus important et plus actif dans les « deux P » du domaine de la cybersécurité : protection et prévention.

Une violation des données pourrait se produire en ce moment même

Désolé de vous l’annoncer, mais toutes les entreprises sont vulnérables aux cyberattaques. Selon Simone Fontaine, experte en sécurité, « la question n’est pas de savoir si vous serez piraté, mais quand vous serez piraté »5.

Comment se produisent les violations de données?

Elles surviennent quand un cybercriminel arrive à infiltrer une source de données et en extrait de l’information de nature sensible. Cela peut se faire physiquement, en accédant à un ordinateur ou un réseau pour voler des fichiers locaux ou en contournant la sécurité d’un réseau à distance. Cette dernière méthode est souvent celle privilégiée pour cibler les entreprises.

Voici d’autres statistiques pour vous : « L’erreur humaine joue un rôle dans 25 pour cent des violations de données »5 et « 60 pour cent des cyberattaques sont menées sans le vouloir par une personne au sein de l’organisation » 6. Voilà une autre preuve qu’il est difficile d’éviter les cyberattaques.

Ne prenez pas de risque

Quand vous travaillez en finances et en comptabilité, vous êtes le gardien d’une foule de renseignements cruciaux et sensibles appartenant aux clients, comme des renseignements de cartes de crédit ou des dépenses, des détails personnels et des états financiers, pour ne nommer que ceux-là. Il vous revient de veiller sur cette information. Autrement, en ayant accès à des noms, des adresses de courriel, des comptes bancaires et des états financiers, des pirates sournois pourraient créer de fausses identités menant à ce qu’on appelle couramment un vol d’identité. Ce vol peut entraîner de la fraude et de graves conséquences pour vos employés, ou encore la fin de votre relation avec certains clients mécontents du fait que leur identité ait été compromise. Selon Dre Annie Cavoukian, ancienne commissaire à la protection de la vie privée de l’Ontario, « si vous traitez de l’information financière, vous devriez vous munir de la meilleure protection de la confidentialité possible »7. 

Il est même possible que des pirates astucieux volent votre propriété intellectuelle et plongent votre entreprise dans une tourmente qui pourrait durer des années.

La protection commence par le choix de bonnes politiques

Dans notre univers cybersensible, un peu de prévention peut vous éviter une montagne de grandes contrariétés.

Vous devez évaluer votre profil de risque cybernétique, vérifier la dernière fois où il a été mis à jour et créer des politiques de sécurité numérique correspondant à votre stratégie d’entreprise globale. Il s’agit de mettre sur pied un cyberprogramme protégeant les actifs de données les plus précieux pour votre entreprise, et peut-être identifier vos adversaires les plus probables. Veillez aussi à mettre en place un plan d’intervention en cas de violation qui pourra être mis en œuvre rapidement en situation de piratage.

C’est là un excellent point de départ. Il existe heureusement d’autres pratiques exemplaires pouvant atténuer le risque de violation des données et de cyberattaque.

Réduire le risque par une meilleure gestion des données

En matière de gestion des données, vous pouvez mettre en œuvre des techniques pour renforcer la protection des renseignements personnels, comme l’authentification à deux facteurs. Un autre moyen constitue à limiter l’accès (ou fournir une autorisation d’accès) à seulement quelques employés si des données sont en jeu. C’est dans cette situation que les administrateurs définissent et appliquent des politiques de sécurité et des droits d’accès, gèrent le cycle de vie des documents et effectuent des vérifications de conformité et de sécurité.

Vous pouvez gérer vos données dans le nuage au lieu d’utiliser des serveurs locaux. Ainsi, les documents sont en sûreté dans des centres de données redondants et tolérants aux pannes qui utilisent plusieurs pare-feu de prochaine génération conçus pour la protection et la continuité des activités. Vous pouvez aussi copier et archiver vos données dans le nuage afin de réduire les conséquences en cas de violation de données. De plus, n’oubliez pas que si vos renseignements importants sont stockés dans le nuage, il est impossible qu’ils soient volés à partir d’un disque dur ou d’un serveur interne.

Un environnement infonuagique permet aussi aux gens d’avoir accès à l’information à l’extérieur du bureau, et ils peuvent ainsi travailler de n’importe où en toute sécurité et sans inquiétude.

Voici un autre conseil : ne laissez pas de l’information qui ne sert pas sur vos serveurs internes, comme des renseignements sur un employé ayant quitté l’entreprise depuis longtemps ou le numéro de carte de crédit d’un ancien client. Encore une fois, vous pouvez avoir recours aux solutions de gestion de données infonuagiques afin de trier et d’écarter les anciens documents qui ne sont plus utiles.

Pour obtenir plus de renseignements sur le sujet, consultez le document Cinq principes essentiels d’une gestion intelligente des documents.

Exploiter la puissance des portails

En plaçant trop d’importance sur le courriel comme moyen d’échange d’information, vous risquez la vie de votre entreprise. Il a été maintes fois prouvé que le courriel n’est pas un moyen sûr pour transmettre des documents confidentiels. Des cybercriminels futés pourraient bien voir l’information que vous transmettez.

Une plateforme ou un portail de communication établit un environnement fermé pour l’échange d’informations de nature sensible avec ceux qui en ont la permission. Cette méthode améliore considérablement la sécurité entourant vos documents tout en offrant un degré inégalé de contrôle sur le partage de fichiers. Apprenez-en plus sur les avantages des portails en lisant Le pouvoir des portails.

Si vous réduisez votre dépendance envers le courrier électronique, vous minimisez considérablement le risque que vos employés soient exposés à une autre cause de violation de données : l’hameçonnage. Ce type de piratage implique l’envoi de courriels-pièges à des gens qui ne s’y attendent pas; si ces courriels sont accidentellement ouverts, ils créent des vulnérabilités permettant aux pirates d’infiltrer des systèmes sécurisés.

Être proactif en utilisant des antiprogrammes malveillants et d’autres outils

Des outils de gestion de la sécurité plus sophistiqués, comme les antiprogrammes malveillants, peuvent repousser et détecter les attaques avant qu’elles ne se produisent. Ces outils reconnus et fiables sont nécessaires pour aider à atténuer et à éviter les problèmes de sécurité. Il est tout aussi important de fournir à vos utilisateurs finaux de l’information sur les cybercrimes. Cela évitera les cyberattaques de pirates qui arrivent, par la ruse ou l’appât, à forcer un employé à leur donner accès au réseau de votre entreprise afin de faire leur chemin jusqu’à vos données confidentielles.

Voilà donc des mesures de sécurité prudentes qui vous permettront d’éviter plus facilement les répercussions d’une cyberattaque. Il est impératif de les mettre en œuvre dès aujourd’hui. Qu’attendez-vous?

Références (en anglais seulement) :

1 https://business.financialpost.com/pmn/business-pmn/statistics-canada-says-businesses-spent-14b-on-cybersecurity-in-2017

2 https://www.cbc.ca/news/business/bank-hacks-cibc-simplii-bmo-1.4682162

3 https://www.esecurityplanet.com/network-security/external-cyber-attacks-cost-enterprises-3.5-million-a-year.html

4 https://www.inc.com/thomas-koulopoulos/the-biggest-risk-to-your-business-cant-be-eliminated-heres-how-you-can-survive-i.html

5 https://www.securis.com/25-of-data-breaches-are-caused-by-human-error/

6 https://hbr.org/2016/09/the-biggest-cybersecurity-threats-are-inside-your-company

7https://www.cpacanada.ca/en/news/canada/2018-11-13-data-wiping

Recent Posts