Les menaces à la cybersécurité les plus importantes pour les PME
La cybersécurité est essentielle pour les entreprises de toutes tailles; découvrez les types de menaces qui pourraient toucher votre entreprise.
Les PME font l’objet des mêmes menaces à la sécurité que les grandes entreprises. Cependant, certaines PME croient à tort qu’elles sont à l’abri en raison de leur taille. En fait, les plus petites entreprises sont encore plus à risque, car plusieurs n’ont pas les ressources nécessaires pour se défendre efficacement contre ces attaques.
Ce qui est plus inquiétant et qui a été démontré par un récent sondage effectué par CISCO auprès des PME, c’est que l’effet d’une attaque est proportionnellement plus important pour une PME que pour une grande entreprise. Par exemple, une entreprise type valant 100 milliards de dollars qui fait l’objet d’une cyberattaque devrait s’attendre à des coûts d’environ 292 000 $, ce qui représente seulement 0,000003 % de ses revenus annuels1. Par contre, une petite entreprise, dont le chiffre d’affaires brut est de 100 000 $ par année, perdra probablement un quart de son revenu (25 000 $) ou plus1.
La première étape de la prévention consiste à comprendre les types d’attaques qui existent. Voici certaines des attaques les plus connues.
- Virus et autres logiciels malveillants : Ces logiciels sont conçus pour endommager les ordinateurs de bureau, les ordinateurs portables, les appareils mobiles, les réseaux, les serveurs et d’autres systèmes. Les dommages sont causés une fois que le logiciel malveillant est introduit (téléchargé) dans un appareil cible. Les types courants de logiciels malveillants comprennent les chevaux de Troie, les virus, les vers informatiques, les logiciels publicitaires et les logiciels espions.
- Rançongiciel : Il s’agit d’un type de logiciel malveillant qui est utilisé spécifiquement pour obtenir une rançon de la part de la victime. Il est utilisé pour menacer de dévoiler les données d’une entreprise victime, de fermer des systèmes ou de bloquer l’accès aux fichiers ou aux renseignements, à moins que l’entreprise ne paie une rançon. Ces attaques visent tous les types d’entreprises et sont généralement menées au moyen d’un cheval de Troie déguisé en fichier légitime téléchargé par un utilisateur.
- Hameçonnage : Le fraudeur essaie d’accéder à des données sensibles comme un nom d’utilisateur, un mot de passe, un numéro de carte de crédit, un numéro d’assurance sociale et d’autres renseignements. Il le fait en se faisant passer pour une entité digne de confiance, en utilisant des courriels ou des messages instantanés pour obtenir de l’information. Souvent, on demande à l’utilisateur d’entrer des renseignements personnels dans un faux site web qui semble légitime. Parmi les autres variantes, mentionnons l’hameçonnage ciblé, qui vise des personnes ou des entreprises précises, et les attaques de harponnage, qui sont dirigées contre la haute direction et des cibles de premier plan.
- Attaques par déni de service distribué : Ces types d’attaques peuvent être parmi les plus dommageables, car elles peuvent entraîner la fermeture de serveurs essentiels. Le fraudeur surcharge un système cible de demandes, ce qui le rend inaccessible aux utilisateurs. De telles attaques empêchent les systèmes de répondre aux demandes légitimes et rendent les systèmes de l’entreprise inutiles. De plus, étant donné le grand nombre de demandes provenant de sources multiples, ces types d’attaques sont difficiles à arrêter.
- Réseau de robots : Avec l’IdO en plein essor, il y a beaucoup d’appareils connectés à Internet, chacun utilisant au moins un robot. Le fraudeur peut utiliser ces robots pour effectuer des attaques par déni de service distribué, voler des données et accéder à des appareils et à leurs connexions.
- Menace persistante avancée : Le fraudeur obtient un accès non autorisé au réseau d’une entreprise et demeure non détecté. Son objectif est de voler des données, de causer des dommages, de perturber les systèmes ou d’effectuer d’autres actes malveillants.
- Téléchargements furtifs : Des logiciels malveillants ou indésirables sont téléchargés parce que l’utilisateur a visité ou ouvert un site web ou une pièce jointe de courriel non sécurisés. Par exemple, le contenu malveillant sur un site peut être en mesure d’exploiter les vulnérabilités dans le navigateur d’un utilisateur pour exécuter un code malveillant.
- Menaces internes : Il s’agit de menaces malveillantes provenant du personnel, d’anciens membres du personnel, de sous-traitants ou d’autres personnes travaillant au sein d’une entreprise. Ces gens utilisent généralement des renseignements privilégiés sur les outils et les systèmes de sécurité pour causer des dommages, ou pour supprimer ou voler des données. Ces types de menaces peuvent provenir d’initiés malveillants, de négligence ou de parties externes qui obtiennent des authentifiants d’accès sans autorisation.
De plus, en raison des menaces mentionnées ci-dessus, les PME sont également vulnérables à la perte de données en raison de sauvegardes insuffisantes et doivent se conformer à divers règlements pour éviter des amendes. La cybersécurité n’est ni facile ni peu coûteuse. Contrairement aux grandes entreprises, les PME disposent de ressources limitées pour protéger leurs réseaux, leurs systèmes, leurs applications et leurs données. Elles doivent donc tirer le maximum de leurs ressources.
Jetez un coup d’œil à un cadre en 5 étapes ou aux 12 conseils pour vous aider à mettre en place votre stratégie de cybersécurité.
Rogers Affaires est là pour vous aider : nous avons établi un partenariat avec la Toronto Metropolitan University pour lancer Simply Secure, une ressource gratuite en cybersécurité (en anglais seulement) pour les PME. Vous pouvez également communiquer avec nous, et nous vous aiderons à trouver les bonnes solutions pour votre entreprise. Contactez-nous dès aujourd’hui pour en savoir plus et pour découvrir comment nous pouvons vous aider.
Sources :
1. Cisco, Étude sur les résultats en matière de sécurité – édition 2021 pour les petites et moyennes entreprises
2. Cisco, IDG, Le guide de la cybersécurité pour les entreprises de taille moyenne, 2021
3. Cisco, Rapport sur la cybersécurité des PME, 2021
4. Gouvernement du Canada, https://cyber.gc.ca/fr/orientation/bulletin-sur-les-cybermenaces-la-menace-des-rancongiciels-en-2021
5. Cisco, https://www.cisco.com/c/dam/global/fr_fr/products/security/pdf/2020_cisco_smb-cybersecurity-report_fr.pdf, 2020
6. Cisco, https://www.cisco.com/c/fr_ca/products/security/common-cyberattacks.html?dtid=osscdc000283, 2022