5 trucs pour être moins vulnérable au cyberrisque

Lorsque l’on imagine la cybercriminalité, on pense à des pirates de l’informatique quelque part dans un autre pays qui percent les défenses de nos réseaux, et en profitent pour commettre un larcin. La réalité est souvent tout autre.

Les cybercriminels ont compris qu’il est parfois beaucoup plus facile de compter sur la naïveté des employés et l’erreur humaine pour tromper leurs victimes, rappelle Reid Johnston dans Advisor Perspectives. Selon le rapport Data Breach Investigation Report de Verizon pour 2019, la forme de cybermenace qui a le plus augmenté depuis sept ans est l’ingénierie sociale (par exemple le hameçonnage), lequel a plus que doublé.

Cette méthode était rapportée dans 17 % des pertes de données analysées par Verizon en 2013, mais dans 35 % d’entre elles en 2018. Le piratage, lui, avait en fait diminué légèrement, passant de 56 % à 53 %. 

Les cybercriminels sont particulièrement intéressés aux firmes du secteur financier, puisqu’elles détiennent des informations sensibles et qu’elles gèrent beaucoup d’argent. Ils comptent sur le fait que les employés sont souvent mal formés pour exploiter leurs mauvaises habitudes ou leurs émotions.

Reid Johnston suggère cinq moyens de réduire le risque.

1. AMÉLIORER ET AUGMENTER LA FRÉQUENCE DES FORMATIONS 

Endormir les employés avec une séance annuelle sur PowerPoint ne suffit pas à former adéquatement une équipe. Il faut s’assurer que les employés comprennent qu’ils sont tous concernés par la cybersécurité. Cela devrait être clairement inscrit dans la définition de tâches de chacun d’entre eux et constituer une partie importante de la formation à l’embauche.

Par la suite, mener des séances de formation une fois par trimestre n’est pas une mauvaise idée, ne serait-ce que pour suivre l’évolution, souvent rapide, des cybermenaces ou faire le point sur des incidents.

2. AXER LA FORMATION SUR LE QUOTIDIEN RÉEL DE L’ENTREPRISE 

Selon FINRA, les formations en cybersécurité devraient être basées sur les risques, systèmes et incidents spécifiques à votre entreprise. Les erreurs et incidents du passé ne devraient pas être cachés. Au contraire, ceux-ci constituent des occasions de formation intéressantes. Même chose pour les incidents vécus par vos compétiteurs. Si vous échangez sur de tels événements avec les dirigeants d’autres firmes, présentez à vos employés les leçons que ceux-ci ont tirées de leurs ennuis. 

3. FAIRE DES TESTS D’HAMEÇONNAGE

L’hameçonnage est considéré par Verizon comme le principal vecteur des vols de données basés sur l’ingénierie sociale et les attaques de logiciels malveillants. 

En plus de la formation, il est important d’effectuer régulièrement (jusqu’à une fois par mois) de fausses attaques de ce genre afin d’évaluer la « résistance » des employés. Il existe des programmes tels que Knowbe4 pour le faire. 

4. ADOPTER UNE PROCÉDURE STANDARD POUR LES TRANSFERTS DE FONDS ÉLECTRONIQUES 

Depuis quelques années, la « fraude au président » a fait plusieurs victimes. Dans ce genre de stratagème, des voleurs envoient un courriel venant supposément du PDG ou du CFO, qui demande à un employé de virer de l’argent. La fraude a évolué et une firme peut désormais recevoir des courriels de la part de gens se faisant passer pour leurs clients, leurs fournisseurs ou d’autres parties pouvant demander un transfert de fonds. 

Il faut donc prendre des mesures pour s’assurer que les procédures pour accepter et effectuer un tel transfert sont standardisées et bien comprises de tous. Il peut, par exemple, être interdit aux employés et dirigeants de la firme de demander un transfert de fonds simplement par courriel. Il faudra toujours le faire de vive voix ou en personne.

Si un client ou un fournisseur envoie un courriel avec une demande de virement, il faudra toujours vérifier auprès d’eux par téléphone avant d’y accéder. Il est aussi important d’exiger qu’une telle transaction soit toujours approuvée par au moins deux personnes.

5. ATTENTION AUX APPAREILS MOBILES

Les utilisateurs de téléphones intelligents (aussi bien dire tout le monde) sont particulièrement vulnérables aux attaques misant sur l’hameçonnage ou les médias sociaux. Les gens sont souvent moins attentifs sur leur téléphone parce qu’ils l’utilisent rapidement, entre deux déplacements, dans les transports en commun ou même en marchant. Il est plus facile alors de se faire prendre à cliquer sur un lien qui semble fiable. Encore ici, la formation est la clé pour s’assurer que les employés comprennent ce risque accru. 

Il arrive fréquemment que des firmes, notamment les plus petites, manquent d’expertise pour prévenir les cyberrisques de manière convenable. Elles ne devraient pas hésiter à investir dans un soutien externe pour se doter de procédures et de formations adéquates.

Le jeu en vaut largement la chandelle. Un récent rapport du courtier belge Vanbreda, spécialisé en matière de protection contre le cyberisque, montre que 45 % des incidents qui leur ont été rapportés ont mené à l’arrêt des activités des entreprises visées, révèle L’Écho. Les arrêts ont généralement duré quelques heures, mais parfois plusieurs semaines, comme dans le cas d’ASCO Industries, une entreprise aéronautique. Une entreprise sur trois a dû faire une réclamation d’assurance pour pallier les dommages subis.

En matière de cyberrisque, il vaut donc vraiment mieux prévenir que guérir.