Conférence AttriX : les PME sont particulièrement vulnérables aux cyberattaques

Les PME sont une cible de choix pour les cybercriminels, en raison notamment du manque d’investissement dans la cybersécurité. Au cours de la dernière année, 73% des PME ont subi une cyberattaque, alors que les grandes entreprises ont investi massivement parce que, pour elles, le risque est réel, certaines s’étant déjà fait attaquer, a affirmé Nicolas Pinard, spécialiste de la sécurité chez Raymond Chabot VARS, lors de la conférence des utilisateurs 2024 d’AttriX Technologies.

«Et ce sont seulement les PME qui ont déclaré les cyberattaques» a précisé Milie Perreault-Favreau, vice-présidente ventes et relations partenaires chez AttriX.

Les deux spécialistes ont aussi abordé la Loi 25 sur la protection des renseignements personnels.

Le délai moyen entre le moment où un pirate informatique décide d’attaquer les systèmes d’une entreprise et celui où vous en prenez connaissance est de six à neuf mois. «Pendant ce temps, le pirate va regarder comment vous communiquez, avec qui vous communiquez, il va exfiltrer des informations sur vos partenaires, sur vos clients et sur vos employés pour ensuite monétiser son attaque de différentes manières», a expliqué Nicolas Pinard.

Mauvaise nouvelle : l’intelligence artificielle aide les pirates à entrer dans les systèmes informatiques en des temps record. Ils passent généralement à l’action au moment où vos équipes de support ne sont pas au bureau – la nuit ou la fin de semaine par exemple. 

Une fois que le mal est fait, il faut en moyenne 23 jours pour retourner à des opérations de base normales.

«Dans la chaine d’approvisionnement, c’est un vrai fléau», déplore Mme Perreault-Favreau. «Vous êtes un joueur au sein d’une grande chaine d’approvisionnement. Vous pourriez être utilisé comme cheval de Troie pour cibler et infiltrer un client plus gros et bien protégé.»

L’élément à la fois le plus fort et le plus faible dans l’entreprise, ce sont les employés, a souligné Nicolas Pinard. «C’est donc vraiment important de les sensibiliser de différentes manières. Il faut toujours ramener la sécurité à l’avant-plan. On s’assure de verrouiller la porte du bureau et de mettre le système d’alarme à la fin de la journée. C’est le même principe avec la cybersécurité.»

Si vous ne savez pas ce qu’est un code MFA et que vous ne l’avez pas mis en place dans votre entreprise, vous êtes en très grand retard, prévient M. Pinard. «C’est une protection qui est généralement gratuite, surtout si vous avez Office 365. C’est à mettre en place dès maintenant. Cela va vous protéger en très grande partie contre les usurpations de boîtes de courriels.»

«Chez des entreprises qui n’avaient pas mis en place le MFA, on a vu des attaquants entrer dans les comptes et déployer des MFA, particulièrement sur des comptes d’administrateurs », illustre Mme Perreault-Favreau.

La loi 25

La loi 25, entrée en vigueur à l’automne dernier au Québec, impose aux organisations privées et publiques de nouvelles obligations en matière de protection des renseignements personnels. Les deux conférenciers ont partagé certains conseils importants en ce qui a trait à la loi.

Tout d’abord, il faut nommer un responsable de la protection des renseignements personnels (RPRP). Si vous ne l’avez pas fait, c’est le dirigeant de l’entreprise qui est considéré d’office comme être le RPRP. «Il faut vraiment documenter cela dans votre registre des procès-verbaux, sinon vous êtes le RPRP de votre entreprise » a indiqué M. Pinard.

Mme Perreault-Favreau a ajouté : «C’est correct si jamais vous décidez de l’être, mais vous êtes déjà extrêmement sollicité [en tant que dirigeant] et il y a quand même de grosses responsabilités en cas d’événements ou de demandes qui sont liés au RPRP. Assurez-vous de nommer un RPRP, que la personne soit consciente de ses responsabilités et aussi qu’elle soit au courant de sa nomination.»

L’entreprise doit aussi avoir un plan de réponse en cas d’incident à la confidentialité, lequel établit la procédure à suivre lorsqu’il y a motif de croire que s’est produit un incident. Il prévoit les rôles et responsabilités, les étapes de traitement, une grille d’évaluation du préjudice, des modèles d’avis ainsi qu’un registre des incidents de confidentialité.

La loi prévoit aussi que l’entreprise doit rédiger, adopter et publier un plan de gouvernance propre à assurer la protection des renseignements personnels; réaliser des évaluations de facteurs relatifs à la vie privée et informer les personnes concernées de toutes les décisions prises par des moyens automatisés et leur donner le droit de demander que ces décisions puissent être traitées par un humain.

En septembre 2024 s’ajoutera le droit à la portabilité des renseignements personnels. Celui-ci permet à toute personne d’obtenir, dans un format technologique structuré et couramment utilisé, un renseignement personnel informatisé qu’elle a fourni ou de demander que celui-ci soit transmis à une autre personne ou à un organisme dans ce même format.

Milie Perreault-Favreau ne saurait trop insister sur l’importance de bien faire les choses en ce qui a trait à la Loi 25. «Prenez vraiment le temps», dit-elle. «J’ai souvent entendu, lorsque j’étais chez Raymond Chabot, des dirigeants dire : “c’est facile, j’ai été prendre les politiques sur votre site. Je vous ai copié, j’ai changé deux ou trois termes, j’ai mis mon nom d’entreprise et j’ai mis ça sur mon site.” C’est une très mauvaise pratique. Il faut vraiment prendre un pas de recul, analyser son activité de traitement de l’environnement personnel et écrire les politiques pour votre entreprise», conclut-elle.