Cybercriminalité : votre PME est-elle protégée?

Au cours des dernières années, de nombreuses PME ont opté pour le commerce en ligne, surtout depuis la pandémie. Or, s’il est vrai qu’une boutique en ligne peut vous aider à élargir votre clientèle, elle peut aussi rendre votre entreprise vulnérable aux cyberattaques.

L’impact de la cybercriminalité sur les PME est considérable. Selon nos recherches, entre mars et octobre 2020:

  • Près de 1 PME sur 6 a fait l’objet de cyberattaques qui ont échoué
  • 1 PME sur 20 en a été victime 

Cela représente environ 61 000 PME victimes de cybercriminalité au pays!

En 2018, les Canadiens ont dépensé plus de 57 milliards $ pour des achats en ligne, comparativement à près de 20 milliards $ en 2012. Comme le commerce en ligne est en croissance constante, le risque d’être victime de la cybercriminalité augmente également.

Qu’est-ce que la cybercriminalité?

La cybercriminalité est une activité criminelle (parfois appelée cyberfraude ou cyberattaque) qui cible ou utilise un ordinateur, un réseau informatique ou un appareil mis en réseau. 

Voici des exemples de cybercrimes qui touchent les entreprises:

  • Vol d’identité: Les fraudeurs piratent des bases de données et volent les noms d’utilisateur, les mots de passe, les numéros de carte de crédit et d’autres renseignements personnels pour faire des achats frauduleux.
  • Hameçonnage pour prendre le contrôle du compte de clients légitimes: Les fraudeurs dupent les clients à l’aide de courriels frauduleux contenant un lien vers un faux site Web qui leur permettra de recueillir leurs mots de passe et noms d’utilisateur. Ces renseignements permettront aux fraudeurs de faire des achats non autorisés.
  • Attaque par logiciel malveillant (ou maliciel), notamment un logiciel espion.
  • Fraude du faux fournisseur: Cette arnaque consiste à demander un transfert électronique de fonds à une entreprise en se faisant passer pour un fournisseur.
  • Attaque par rançongiciels: Une forme de chantage en ligne où, après avoir bloqué l’accès à votre ordinateur, vos réseaux et votre téléphone intelligent, un escroc exige une somme d’argent exorbitante pour le rétablir.

La fraude est le type de cybercrime le plus couramment rapporté à la police. Selon Statistique Canada, en 2018, elle représentait environ la moitié de tous les crimes commis sur Internet. 

Quels sont les principaux cyberrisques pour mon entreprise? Comment les prévenir?

Il y a 4 facteurs déterminants qui peuvent vous rendre plus vulnérable à la cybercriminalité. Le fait de les connaître et de comprendre comment ils peuvent vous nuire vous aidera à prendre des mesures pour protéger votre entreprise.

Mots de passe faibles: 63% des fuites de données sont attribuables à des mots de passe faibles, que les pirates informatiques réussissent habituellement à trouver en quelques secondes.

  • Renforcez vos mots de passe en utilisant des phrases passe, qui sont une combinaison de mots et de lettres que vous seul pouvez connaître (par exemple, une réplique de film ou un extrait des paroles d’une chanson).
  • Utilisez un mot de passe unique pour chaque compte.
  • Songez à vous procurer un logiciel de gestion des mots de passe pour ne pas les oublier.
  • Activez la fonction d’authentification à deux facteurs, si possible. Cela vous oblige à utiliser un code unique que vous recevrez sur votre appareil mobile à chaque connexion.

Logiciels désuets: Un correctif (ou patch) est un fichier contenant une liste de modifications à apporter à vos systèmes logiciels, vos programmes ou vos applications dans le but de corriger des failles de sécurité ou d’autres bogues.

  • Faites vos mises à jour dès que vous recevez une notification.
  • Activez les mises à jour automatiques, si possible.
  • Nommez une personne qui aura la responsabilité d’assurer la mise à jour des ordinateurs et appareils mobiles de votre entreprise.

L’hameçonnage est une des principales formes de cybercrime: 91% des attaques commencent par un courriel hameçon. Ce courriel infecté peut entraîner le téléchargement d’un virus ou le déverrouillage de l’accès à vos données, voire déclencher un rançongiciel.

  • Apprenez à reconnaître l’hameçonnage en portant attention aux anomalies ou éléments qui pourraient vous faire douter de l’authenticité d’un courriel: vérifiez l’adresse de l’expéditeur, les logos d’entreprise et les fautes d’orthographe.
  • Si vous ne connaissez pas l’expéditeur d’un courriel, ne cliquez sur aucun lien et ne téléchargez aucune pièce jointe.
  • Supprimez le courriel et videz votre corbeille immédiatement.
  • En cas de doute, cherchez un numéro de téléphone (ailleurs que dans le courriel) où appeler pour vérifier l’authenticité du courriel.
  • Assurez la sauvegarde de vos données au cas où elles seraient prises en otage.

Les clés USB et autres médias amovibles peuvent être problématiques (27 % des infections par logiciel malveillant sont causées par des clés USB infectées).

  • Évitez d’utiliser des médias amovibles, optez plutôt pour une solution comme le stockage infonuagique.
  • Si vous ne connaissez pas la provenance d’un dispositif, ne le branchez pas à votre ordinateur.
Y a-t-il d’autres moyens de protéger mon entreprise contre les cyberattaques?

D’abord, informez-vous et restez à l’affût des cyberrisques et des types de cybercrimes qui existent. Par exemple, vous devez savoir qu’il ne faut pas ouvrir un courriel ou cliquer sur un lien dans un message texte qui vous semble suspect.

En plus de la vigilance habituelle dont vous devez faire preuve en tant que propriétaire d’entreprise, effectuez le suivi de vos achats en surveillant de près vos relevés bancaires et vos bons de commande. Vérifiez s’il y a des anomalies dans vos transactions financières et installez une solution logicielle de protection (cryptage des données, un coupe-feu, antivirus, etc.).

Vous pouvez aussi opter pour une assurance cyberrisques, qui couvre des infractions commises en ligne, y compris le vol de données et l’implantation de virus informatiques comme les rançongiciels. Cette assurance peut aider à couvrir les dommages et intérêts légaux, les frais de gestion de crise, les frais de programmation informatique et de récupération de données, l’interruption de vos activités commerciales et d’autres dépenses.

Conseils pour vous protéger contre la cybercriminalité
  • Restez au courant des risques pour votre entreprise en consultant des sources comme le Bureau d’assurance du Canada, le Centre canadien pour la cybersécurité, le Centre de confiance de Mastercard, le site Web de la FCEI et d’autres sites et ressources d’associations professionnelles. 
  • Sensibilisez vos employés à la cybercriminalité et formez-les pour qu’ils puissent reconnaître et éviter les cyberattaques.
  • Partagez des renseignements sur les escroqueries et les pratiques exemplaires de prévention directement avec des propriétaires d’entreprise et via des associations professionnelles. 
  • Déterminez si la cyberassurance en vaut la peine pour votre entreprise par rapport aux risques. Le Bureau d’assurance du Canada dispose de renseignements à ce sujet.
  • Investissez dans un logiciel antivirus. Il existe plusieurs logiciels réputés: choisissez celui qui répond à vos besoins. Posez-vous les questions suivantes:
    • Quel est le coût par ordinateur/appareil?
    • Est-il facile à installer? 
    • La gestion quotidienne du logiciel est-elle simple?
    • Quel est le soutien offert par le fournisseur?
  • Conformité aux normes PCI – Consultez le forum du Conseil des normes de sécurité PCI, un réseau de marques mondiales (Visa, Mastercard et AMEX) qui ont établi des pratiques exemplaires pour les transactions électroniques et le traitement des paiements.
  • Soyez à l’affût des signes courants d’un achat frauduleux:
    • Commande anormalement volumineuse faite en ligne sans contact préalable du client.
    • Commande urgente et prioritaire de marchandises de grande valeur faite par un client qui exige une expédition pour le lendemain.
    • Commande avec coordonnées manquantes; client qui refuse de fournir une information importante, par exemple son numéro de téléphone de jour.
    • Commande devant être expédiée à une adresse différente de celle de l’adresse de facturation. Vérifiez aussi que l’adresse de facturation est la même que celle inscrite au dossier de la société émettrice de carte de crédit. Un système de vérification d’adresse peut bloquer les ventes ou achats lorsque les adresses ne correspondent pas.
    • Commandes faites à l’étranger.
  • Fixez une limite au nombre d’articles pouvant être achetés et au montant des transactions, selon ce que vous pouvez vous permettre.
  • Exigez de vos clients qu’ils entrent le code de sécurité à trois chiffres qui se trouve au verso de leur carte de crédit.
  • En cas de doute, appelez le détenteur de la carte pour confirmer la commande. Si les coordonnées fournies ne vous permettent par d’entrer en contact avec lui, n’expédiez pas la marchandise. Les fraudeurs ne donnent pas leur vrai numéro de téléphone.
Que dois-je faire si je suis victime de cybercriminalité?

Malheureusement, à l’heure actuelle, vous avez peu de recours. Les fraudeurs sévissent souvent de l’étranger, ce qui complique la tâche des autorités canadiennes. Or, vous devriez quand même signaler tout cybercrime contre votre entreprise au Centre antifraude du Canada.

Si vous êtes victime d’une cyberattaque qui risque de causer des préjudices importants (pertes financières, vol d’identité, perte de biens, etc.), vous êtes tenu de la signaler au Commissariat à la protection de la vie privée du Canada, d’avertir les personnes touchées et de conserver un dossier sur l’incident. 

Si vous croyez avoir été la cible d’une fraude en ligne, signalez-la à votre service de police local et au Centre antifraude du Canada. Le Bureau de la concurrence du Canada est également une ressource de confiance pour tout ce qui touche à la fraude et à la cybercriminalité.

Le gouvernement du Canada a créé un portail d’information où vous pouvez évaluer vos pratiques en matière de sécurité en ligne.

Que fait la FCEI?

Le gouvernement examine actuellement de nouvelles lois sur la gestion des renseignements personnels en ligne. À la FCEI, nous veillons à ce que les nouveaux règlements ne soient ni trop complexes ni coûteux pour les PME. 

La FCEI vous offre des ressources comprenant des affiches, des listes de vérification et de modèles de politique qui vous permettront de vous sensibiliser aux cyberrisques, tout comme vos employés, et de prendre des mesures pour protéger votre entreprise. 

Northbridge Assurance, notre partenaire du programme d’économies, offre une assurance cyberrisques, d’autres types d’assurance et du soutien juridique. 

Notre partenaire du programme d’économies, Vubiz, offre des cours en lignes gratuits dans plusieurs domaines, y compris :

  • Sécurité des TI – Fraude au président
  • Sécurité des TI – Sensibilisation à la protection des courriels
  • Sécurité des TI – Sensibilisation à l’hameçonnage
  • Sécurité des TI – Rançongiciel
  • Sensibilisation au piratage psychologique

Rendez-vous sur le portail des membres pour visionner le webinaire « Cybersécurité: comment protéger votre entreprise », présenté par la FCEI et Mastercard.