SAGUENAY – La principale faille en cybersécurité pour les PME serait la méconnaissance du phénomène par les travailleurs. À l’ère où tout se transige par Internet, on observe une lacune de connaissance au niveau des bonnes pratiques à avoir sur le web.

« Pour la plupart, nous sommes ignorants au niveau technologique. L’informatique est entrée dans nos vies et aujourd’hui, nous composons avec en ayant des connaissances limitées », explique David Gagnon, directeur général adjoint chez BGM Informatique. Sabin Bouchard, PDG de la firme Evolution Cloud, exprime la même opinion en précisant que lorsqu’il interroge des clients commerciaux, la plupart de ceux-ci sont incapables de préciser où se trouvent concrètement leurs données et où sont conservées leurs sauvegardes de restitution.

Le constat est là. Les internautes ne semblent pas avoir conscience des dangers qui peuvent venir du Net. D’ailleurs, on observe une hausse notable au niveau mondial de la cybercriminalité chaque année. « La formation de son personnel demeure l’un des meilleurs moyens pour se prévenir contre les cyberattaques. Des entreprises au Québec se spécialisent dans l’analyse des failles d’une société. L’une des stratégies qu’elles utilisent c’est de créer une campagne d’hameçonnage à l’insu des employés. De cette manière, on identifie facilement les membres d’une équipe qui peuvent être susceptibles de cliquer sur un maliciel par mégarde ou par méconnaissance », explique M. Gagnon. De son côté, Sabin Bouchard souligne que par expérience, 25 % du personnel d’une entreprise est à risque d’entrer son mot de passe au mauvais endroit où encore de télécharger un logiciel malveillant.

D’ailleurs, le gouvernent du Québec sur son site Internet donne les consignes suivantes concernant les ressources humaines et la cybersécurité :

• Limitez le nombre d’employés à qui vous donnez accès à des données sensibles. De manière générale, accordez à vos employés uniquement les accès dont ils ont besoin pour effectuer leurs tâches.

• Mettez en place une politique d’utilisation d’Internet et sensibilisez votre personnel aux pratiques à risque.

• Si l’un de vos employés quitte son emploi, désactivez ses différents accès personnels : accès à son poste informatique, au réseau à distance, à sa boîte de courriel, etc.

Des actions simples et efficaces

Pour les deux hommes travaillant dans le secteur des technologies, il est essentiel de toujours installer les dernières mises à jour des systèmes informatiques exploités. « Les mises à jour contiennent généralement les correctifs visant à pallier les failles potentielles des logiciels. Travailler sur une version désuète peut présenter des risques », explique M. Bouchard.

Du côté de BGM Informatique, on souligne l’importance d’activer les systèmes du type Authentification multifacteurs. « C’est une protection de premier plan et la plupart des grandes entreprises l’incorporent à leurs produits. C’est un programme qui demande à l’utilisateur de s’identifier à plus d’un endroit lors d’une connexion. Par exemple, vous êtes sur le site de votre banque et avant d’accéder à vos comptes, ils vous demandent d’inscrire un numéro envoyé par SMS à votre téléphone mobile. Cet outil certifie à l’utilisateur qu’il est bel et bien sur le site de son institution financière. »

Les antivirus 2.0

Pendant des années et encore aujourd’hui, les antivirus traditionnels sont efficaces pour se prémunir contre les dangers d’Internet. Toutefois, ils ne préviennent pas les cyberattaques ciblées. « À la base, un antivirus c’est une banque de données qui comprend les signatures de virus connus. Ce sont des systèmes qui nécessitent des mises à jour constantes. Les antivirus protègent votre ordinateur contre les maliciels les plus courants. Dans le cas d’une cyberattaque contre une PME, le programme utilisé est unique et il est spécifiquement conçu pour la victime. Aucun antivirus vendu dans une grande surface ne peut être efficace contre ça. Il faut se tourner vers des systèmes plus élaborés comme les Endpoint detection and response (EDR) et les Managed detection and response (MDR). Ces outils surveillent le comportement d’un usager sur Internet et s’ils détectent des actions pouvant être dangereuses, ils interviennent. On peut se procurer ce type de logiciel pour pas cher et ça évite bien des tracas », explique le président d’Évolution Cloud.

Trois, deux, un

Un travail de gestion de crise devrait être fait en amont pour toutes entreprises qui transigent sur Internet, conservent de l’information ou emploient des technologies comme, entre autres, Office 365. « Il faut avoir un plan d’intervention si l’on subit une attaque. Il faut connaître ses failles et toujours avoir des copies de sauvegarde de ses données », affirme Sabin Bouchard.

David Gagnon spécifie l’importance d’avoir une bonne stratégie de sauvegarde. « Lorsqu’on lit le contrat d’utilisateur d’un géant du web qui offre des services d’hébergement, il ne garantit jamais la protection des données. Il assure une haute disponibilité des données. Ce sont deux choses totalement différentes. La haute disponibilité des données signifie que l’entreprise assure au client d’avoir accès à son information en tout temps. Il n’assure pas qu’il garde des sauvegardes de récupération si un pirate informatique accède aux comptes. » La règle d’or en matière de sauvegarde se nomme 3-2-1. Cela se traduit comme suit : disposer de trois copies de vos données au moins, entreposer ces copies sur deux supports différents et conserver une copie de la sauvegarde hors site, c’est-à-dire sur d’autres serveurs ou physiquement pas dans l’entreprise.

Crime organisé

En 2021, le Bureau d’assurance du Canada (BAC) a publié une enquête mentionnant que plus de 40 % des petites et moyennes entreprises ont subi au moins une cyberattaque. Une réalité qui ne date pas d’hier puisque déjà en 2018, le gouvernement du Canada avait instauré un plan de cybersécurité à la hauteur de 507,7 millions de dollars sur 5 ans, et de 108,8 M$ par année par la suite. Une aide qui est arrivée peut-être trop tard puisque même si la GRC dispose de plus de moyens pour protéger la population et les entreprises, la problématique demeure et ne semble pas s’essouffler.

« Ce ne sont plus des jeunes dans leur sous-sol qui commettent des cyberattaques contre des entreprises. Ce sont des groupes organisés disposant de moyens importants. Souvent ce sont des organisations qui comptent plusieurs employés et qui se trouvent en dehors du pays, comme en Afrique ou en Chine », précise Sabin Bouchard, président d’Evolution Cloud. En effet, la cybercriminalité semble très lucrative. Au Canada en 2021, l’institut Angus Reid révélait que la rançon moyenne payée par les entreprises qui désiraient récupérer leurs données cryptées était de 458 247 $.

Se méfier de sa messagerie

Il y a quelques semaines, une organisation criminelle s’est fait passer pour un organisme sans but lucratif (OBNL) bien connu de la région afin de duper des PME. « Nous avons reçu un courriel de l’OBNL en question qui nous indiquait qu’ils avaient changé d’institution bancaire. Le message nous demandait donc de modifier les informations bancaires relatives au paiement de facture. Notre département de comptabilité s’est douté de quelque chose et après vérification nous nous sommes rendu compte qu’il s’agissait d’une technique d’hameçonnage », explique David Gagnon, directeur général adjoint de BGM Informatique.

Le gestionnaire précise que le courriel ainsi que le communiqué de presse en pièce attachée étaient écrits dans un français irréprochable. De plus, le message affichait les logos de l’OBNL et incluait dans le champ CC du courriel plusieurs personnes clés de l’organisme. « Il y avait même la signature et le numéro de téléphone de la présidente à la fin du message. Ce qui nous a mis la puce à l’oreille, ce sont les adresses courriel; elles finissaient par “.net” au lieu de “.com”. Les fraudeurs ont donc créé un nom de domaine similaire et ils ont fabriqué de toutes pièces un courriel identique à ceux qu’envoie l’OBNL. Ne pas avoir pris le temps de bien observer les différences et tout simplement avoir modifié les informations voulues, nous aurions pu envoyer de l’argent dans un compte qui n’a rien à voir avec celui de notre partenaire. »

Type de fraude

Rançongiciel

En termes simples, un rançongiciel est un type de maliciel qui chiffre les fichiers sur un appareil. L’auteur de menaces exige par la suite une rançon en échange du déchiffrement. Lors de la première moitié de 2021, les attaques par rançongiciel ont augmenté de 151 % à l’échelle mondiale comparativement à la première moitié de 2020. Cette année, les rançons et les paiements ont également atteint des niveaux jamais vus. (Source : Gouvernement du Canada)

Fraude du président

Un courriel frauduleux, d’apparence soignée et signé du nom du président de l’entreprise, est envoyé à des employés. Il peut contenir des informations très précises, ce qui rend la requête plus crédible. Généralement, un soi-disant avocat personnifié par le fraudeur prend la relève pour organiser et donner des consignes spécifiques au transfert de fonds. (Source : Sûreté du Québec).

Hameçonnage (Phishing)

Il s’agit d’un stratagème frauduleux pour obtenir des renseignements personnels (p. ex. date de naissance, numéro de carte de crédit, mots de passe, numéro d’assurance sociale) ou de l’argent. Le fraudeur fait croire à une victime que la communication provient d’une entité légitime (p. ex. institution financière, organisme gouvernemental, entreprise) ou d’un membre de son entourage (p. ex. petit-enfant, cousin, ami). (Source : Sûreté du Québec)