Avec la prolifération des appareils mobiles et l’engouement pour le télétravail, la sécurité de l’information est devenue l’un des principaux enjeux des PME. Voici un petit guide pour contrer les tentatives de cyberattaques et préserver l’intégrité de vos données.   

1- Planifier vos moyens de défense

La première mesure à adopter pour assurer la sécurité de l’information dans votre PME est d’implanter un processus structuré. Il est essentiel d’analyser les besoins et les objectifs de votre organisation afin de développer un programme de sensibilisation à la cybersécurité. «Les entreprises ne peuvent plus compter uniquement sur les technologies pour les protéger: les cyberattaquants ciblent désormais l’utilisateur pour arriver à leurs fins», explique Theo Zafirakos, CISO pour l’entreprise Terranova Security*.

Or, les programmes de sensibilisation à la sécurité de l’information ne nécessitent pas nécessairement un investissement important. «Une fraction du budget informatique et l’intervention d’un analyste de la sécurité suffisent à éviter les cyberattaques. L'effort varie en fonction du nombre d'employés et des besoins en matériel de formation», dit-il.

La démarche vise à mobiliser l’ensemble des employés et à les former pour améliorer les habitudes en matière de sécurité informatique. Il est ensuite indispensable de mesurer la performance de votre programme par rapport à vos objectifs.

2- Poser des petits gestes au quotidien

Chaque petit geste est important en matière de sécurité. Incitez votre personnel à davantage de vigilance. Vous pourriez, par exemple, rédiger une politique d’utilisation d’Internet pour les employés de bureau. Invitez-les à utiliser des mots de passe robustes et une authentification à deux critères lorsque c’est possible. Utilisez les logiciels antivirus et pare-feu nécessaires pour protéger vos équipements informatiques contre les virus, vers et autres logiciels espions. Finalement, faites les mises à niveau des logiciels de sécurité sur tous les ordinateurs lorsqu’elles seront disponibles.

D’autres mesures simples et efficaces peuvent aussi assurer la confidentialité de vos données. Disposez de vos documents papier d’une façon appropriée. Conservez vos archives dans des classeurs verrouillés et limitez-en l’accès. Puis, avant de vous débarrasser des ordinateurs ou disques durs, détruisez toutes les données qui y sont stockées.

3- Ne pas mordre à l’hameçon

Une campagne d’hameçonnage est conçue pour amener les victimes à cliquer sur des liens malveillants ou des pièces jointes entraînant l'installation de logiciels malicieux. Cette technique, aussi connue sous l’appellation «usurpation de marque», a comme objectif de tromper le destinataire afin de lui soutirer des renseignements personnels, financiers ou de nature délicate.

Par exemple, l’une des fraudes les plus répandues consiste à harponner les victimes à l’aide d’un courriel provenant d’une institution bancaire. Dans ce type d’escroquerie, l’envoi semble provenir d’une source fiable, pourtant certains éléments peuvent vous mettre la puce à l’oreille. L’objet du message et l’adresse de l’expéditeur proviennent-ils du nom de domaine mentionné? Le courriel est-il truffé de fautes d’orthographe? Rappelez-vous que le courrier électronique est l’un des vecteurs les plus courants des tentatives d’hameçonnage. Les destinataires doivent supprimer le message, sans cliquer sur les liens fournis, et, idéalement, aviser le fournisseur de service Internet et l’institution usurpée. Le mot d’ordre? Réfléchir avant de cliquer!

4- Se protéger des rançongiciels

Cette attaque est, en quelque sorte, la prise en otage virtuelle des ordinateurs de votre société par un pirate informatique souhaitant empocher des milliers de dollars facilement! Une fois la rançon versée, le fraudeur transmet une clé de cryptage permettant de libérer l’ordinateur de l’emprise du code malicieux. Il ne suffit d’ailleurs que d’ouvrir un fichier infecté pour que l’ordinateur redémarre et affiche ensuite un message de rançon. Pour vous prémunir contre ce genre de risques, un programme de formation déployé à l’interne peut s’avérer une démarche très pertinente. En informant vos employés de la gravité des cyberattaques et des meilleurs moyens de les éviter, vous limiterez les probabilités que survienne un tel incident.

5- Choisir un fournisseur en cybersécurité compétent

La première erreur que commettent les dirigeants d’entreprise est de négliger l'importance d'un programme de sensibilisation à la cybersécurité. «Les organisations doivent engager des fournisseurs en sécurité d’information qui possèdent une expertise en la matière et du contenu prêt à être déployé. N’hésitez pas à impliquer le service des communications et des ressources humaines pour faciliter le déploiement d’un tel programme», conclut Theo Zafirakos.

*Terranova Security est un fournisseur partenaire de Desjardins Capital, qui fait partie de son vaste réseau d'affaires, vous donnant accès à des offres exclusives.