Pourquoi les PME sont-elles des proies faciles pour les cybercriminels ? Notre expert et chroniqueur René-Sylvain Bédard, fondateur et PDG d’Indominus, vous en donne les dix raisons principales, par ordre décroissant.
10. « Nous sommes trop petits pour être une cible »
Ce mythe est l’un des plus « meurtriers » de l’industrie! Certes, les attaques ciblées vont atteindre de grands groupes (ex: grands fournisseurs d’infrastructures), mais elles visent également la masse. En effet, la taille de votre entreprise n’a aucune incidence sur la décision d’attaquer ou non. D’ailleurs, elle ne sert qu’à définir le montant de la rançon à payer. La méthodologie des cybercriminels veut que lorsqu’ils lancent une cyberattaque, ils s’assurent de viser le bassin le plus large possible pour attirer dans leurs filets toute entreprise, et ce, peu importe sa grandeur.
9. « Nous n’avons pas le budget pour investir sur notre cybersécurité »
C’est là où vous devez vous questionner sur l’importance que vous accordez à vos données.
Que va-t-il se produire si pour une période d’un mois :
- vous n’êtes plus en mesure d’accéder à aucune de vos données, pas même les numéros de téléphones de vos clients ?
- vous ne pouvez plus envoyer ou recevoir de courriels?
- toutes vos données clients sont menacés d’être publiées sur le Dark Web?
- vous n’êtes plus en mesure de répondre à vos obligations et à vos contrats signés?
Dans l’une de ces situations, vous aurez une décision encore plus difficile à prendre. Allez-vous choisir de vous endetter pour récupérer vos données ?
Suivant ce paiement de rançon, vous n’êtes pas sorti(e) du bois, car vous devrez investir sur votre cybersécurité afin d’éviter que cela ne se produise à nouveau. Maintenant, c’est à vous de définir si votre budget est toujours un enjeu.
8. « Nous avons un employé qui s’en charge ! »
Donc, vous avez un ou un employé, non-spécialiste, qui s’occupe de votre cybersécurité ? L’avez-vous formé ? Est-ce que cet employé maîtrise les subtilités qui distinguent un vecteur d’attaque directe d’une attaque à paliers multiples ? Est-ce un spécialiste de la configuration de votre pare-feu ? Des outils de protection ? Connaît-il la différence entre un anti-virus et un EDR ? Dans la majorité des PME, le rôle d’implanter et de gérer la technologie est délégué à l’employé qui comprend le mieux les TI. Sera-t-il mobilisé sur vos écrans de surveillance dans l’éventualité où une attaque massive frappait votre réseau à 4h00 du matin?
7. Le manque de formation des employés
La majorité des employés ne savent pas distinguer un courriel légitime d’une tentative de hameçonnage. Ils n’y prêtent pas attention. Pourquoi ? Parce qu’ils ne comprennent pas le risque lié à cette négligence.
La seule façon d’y remédier est de donner de la formation et de faire de la sensibilisation.
L’erreur humaine est la faiblesse la plus exploitée par les cybercriminels à travers le monde. Que ce soit par l’ingénierie sociale ou, simplement, le courriel comportant une pièce jointe infectée.
6. Le manque d’intérêt de la direction
Le fait de porter plusieurs chapeaux dans une compagnie pose un défi pour les entrepreneurs : celui de la gestion du temps. N’ayant pas assez d’heures dans une journée pour tout faire, il peut arriver qu’ils négligent la tâche d’assurer et de renforcer la cybersécurité de leur entreprise.
25 M$, c’est le montant maximal d’une amende qu’une entreprise aura à payer en lien avec le vol de données, dès septembre 2023
Depuis septembre 2022, le gouvernement du Québec insiste pour que toute PME investisse davantage sur la protection des données. En effet, ils doivent désormais nommer un officier. Ce dernier devra également être formé. La responsabilité de la protection des données de l’entreprise incombera à son propriétaire.
Dès septembre 2023, la pénalité pour vols de données sera sévère : 4% du chiffre d’affaires mondial de l’entreprise, ou jusqu’à 25 M$ en amendes.
5. La productivité à tout prix! Le fameux : « Just make it work! »
« Peu m’importe comment tu fais, mais il faut que ça fonctionne ! » Cela a mené, au fil des années, à de nombreuses brèches ou, du moins, à des failles de sécurité potentielles.
J’ai le souvenir d’une firme de placement qui avait plusieurs milliards d’actifs sous gestion. D’ailleurs, elle avait 75 personnes désignées comme administrateurs de ses infrastructures, alors que son équipe TI ne comptait que trois personnes.
Souvent, et spécialement dans les PME, la productivité se fait aux dépends de la cybersécurité.
4. L’omniprésence de la technologie
Bon nombre d’industries, telles que celle de l’hôtellerie, fonctionnaient toutes très bien avant l’arrivée de l’informatique, et existaient même depuis plus d’une centaine d’années.
Aujourd’hui, demandez à un gestionnaire d’hôtel de se passer d’outils technologique pendant deux ou trois semaines, et il fermera certainement ses portes.
Dans le même ordre d’idée, de penser que de revenir au papier est une option, alors que tous vous processus intègrent la technologie, est utopique.
Vous n’avez qu’à noter le nombre de fois où vous avez eu besoin de technologie pour mener une tâche au travail, au cours de votre journée, pour vous en apercevoir, et réaliser que vous y êtes dépendant(e).
3. Le manque de sensibilisation et de vision des dirigeants
Malheureusement, le concept de percolation est unidirectionnel. J’ai vu différentes tailles d’entreprises dans lesquelles la direction et le conseil d’administration n’étaient pas conscients du fait que leur entité se faisait constamment attaquer, se croyant parfaitement à l’abri, et n’envisageant pas d’investir en cybersécurité.
Une attaque est vite arrivée lorsque ceux qui prennent les décisions ignorent le problème. Or, dans ces cas-là, il est trop tard pour de la prévention…
2. La pénurie de talents
Cette réalité n’épargne personne. Mais les PME qui souhaitent se prémunir contre les dangers des cyberattaques, en engageant un spécialiste de la cybersécurité, se heurtent à d’autres obstacles :
- La difficulté de trouver un candidat intéressé ou intéressant
- La compétition menée par les autres recruteurs : grandes banques, grands groupes de conseil et même le gouvernement.
- La difficulté de garder l’employé, vu la demande incessante et la qualité des projets offerts par les grandes entreprises sur le marché
- Les hautes attentes salariales, vu la flambée des salaires en technologie, et plus particulièrement en cybersécurité
1. « Cela n’arrive qu’aux autres »
C’est le mythe fondateur. Mais l’autre, c’est probablement vous! Après tout, une attaque cybercriminelle peut aussi vous tomber dessus…
De grandes entreprises, attaquées sans arrêt, des PME de 25 personnes au bord du gouffre après trois semaines d’incapacité à travailler avant de relancer leurs projets, ça existe…
Je compare souvent une cyberattaque à un incendie. Pour venir à bout des flammes, vous devez souvent être équipé d’un détecteur de fumée. Ce dernier doit être relié à une centrale d’alarme. Cette centrale doit être en mesure d’arrêter le début de l’incendie et ce, même avant d’appeler les pompiers. Sinon, cela signifie que l’incendie a été détecté un peu trop tard. À ce stade, les dommages et les pertes sont inévitables.
Notre équipe d’experts a d’ailleurs conçu un questionnaire, pour permettre aux PME d’avoir une vue d’ensemble sur l’état de leur cybersécurité, et ce, sur différents aspects (opérationnel, gouvernance et formation) de leur entreprise, afin de mieux cerner leurs besoins et optimiser leurs projets en cybersécurité.
Crédit Image à la Une : Pexels