Cybersécurité : comment protéger les données sensibles de son entreprise ?

Virus, phishing, piratages, rançongiciels…. Aucune société du secteur numérique et technologique n’est aujourd’hui à l’abri de cyberattaques. Voici donc nos meilleurs conseils pour sécuriser vos précieuses données professionnelles.

L’actualité fait sans cesse mention de cyberattaques menées à petite comme à grande échelle. En 2021 seulement, nos gouvernements, nos hôpitaux, nos universités, ainsi que des entreprises canadiennes comme Molson Coors et Bombardier ont été victimes d’attaques majeures.

Mais ces exemples médiatisés ne constituent qu’une infime fraction des agressions menées contre des sociétés, la cible favorite des cybercriminels. Dans les faits, une cyberattaque a lieu toutes les 39 secondes à travers le monde, ce qui équivaut à plus de 2240 attaques par jour. Selon une étude de la Fédération des chambres de commerce du Québec menée avec la firme Aviseo Conseil et paru en octobre 2021, 41 % des entreprises québécoises ont été ou pensent avoir été la cible d’une ou de plusieurs cyberattaques, et 87% des chefs d’entreprises se disent préoccupés par les cybermenaces.

De manière encore plus alarmante, une étude menée par TELUS avec IDC auprès de centaines d’entreprises canadiennes privées et publiques de plus de 50 employés a indiqué qu’au cours de l’année 2020, 83% des organisations ont dû faire face à des tentatives de rançongiciels… et que 84% d’entre elles n’ont pas réussi à s’en protéger.

Impacts des cyberattaques sur les entreprises, Étude sur la cybersécurité de la FCCQ, 2021

Le secteur numérique très ciblé

Le secteur numérique et, plus globalement, technologique a toujours été une cible de choix pour les pirates, que ce soit à des fins d’espionnage, de malveillance ou d’amusement à déjouer les systèmes de protection des entreprises.

La cybercriminalité s’est toutefois trouvé une rampe de lancement parfaite avec l’avènement du télétravail, qui multiplie les accès potentiels aux données des sociétés en raison de la prolifération des outils de connexion (ordinateurs personnels, tablettes et cellulaires), des failles informatiques et des erreurs humaines. Voilà pourquoi, elle est, en ordre d’importance, la cinquième industrie la plus touchée par des attaques virtuelles.

Dans l’étude de la FCCQ, on dénote ainsi que les tentatives de vol d’informations sensibles, d’espionnage, de sabotage, de dégradation de l’image, de vol d’identité et de propriétés intellectuelles, ou encore de fraude coûtent en moyenne à chaque société du numérique touchée 4,7 milliards de dollars US… en plus de causer des ruptures de service, une perte de confiance des clients et une atteinte importante à sa réputation.

On a tendance, à tort, de croire que les entreprises technologiques peuvent mieux se défendre que les autres. Par exemple, en 2021, Microsoft, aussi imposante soit-elle, a été victime d’une cyberattaque qui a permis l’accès au contenu de 250 000 serveurs. Les auteurs ont pu espionner les courriels de chercheurs du domaine de la santé, de bureaux d’avocats, d’organisations non-gouvernementales, etc.

Quelles sont les données sensibles en jeu ?

Les industries numériques et technologiques sont très appréciées des pirates pour la valeur des technologies qu’elles créent ou utilisent, bien sûr, mais aussi pour la concentration de données monnayables qu’elles recèlent, que d’autres acteurs sont avides d’exploiter eux-mêmes et donc d’acheter à gros prix. Coordonnées professionnelles et personnelles, informations financières, hébergement de systèmes complets de milliers d’entreprises; tout cela représente une vraie manne pour des cybercriminels.

Alors, quelles sont les données les plus sensibles à sécuriser au sein des entreprises ? De manière générale, elles correspondent à des informations ayant une valeur économique et stratégique que l’on ne veut pas voir volées, altérées ou supprimées. Elles concernent des personnes (employés, partenaires, fournisseurs, clients), les métiers (secrets de fabrication, propriété intellectuelle, plans de production, prototypes, etc.), l’organisation (gouvernance, documents stratégiques, projets en R&D), les finances (trésorerie, budgets, contrats, rémunérations, etc.) et le volet légal (conformité, statuts, etc.)

5 méthodes pour sécuriser des données sensibles

1. Sécuriser les lieux physiques

Comme on l’a vu avec des scandales comme celui du Mouvement Desjardins et, plus récemment encore, des faux passeports sanitaires, les failles humaines peuvent s’avérer dévastatrices. Il est donc essentiel de sécuriser au maximum les salles, serveurs et postes de travail qui contiennent les données les plus sensibles de son entreprise. Ce qui passe par du gardiennage, des accès limités et nominatifs, des digicodes, ainsi que des changements de mots de passe dès qu’un employé quitte la société. Les ordinateurs sensibles doivent quant à eux se désactiver automatiquement après quelques minutes d’inactivité, être verrouillés dès que la personne qui l’utilise s’absente, et idéalement être exempts de moyens de téléchargement physique (port USB, SD) ou de paramètres pouvant permettre de copier des fichiers.

2. Mettre en place une politique rigoureuse de comptes et de mots de passe

Il est recommandé d’attribuer à chaque employé un compte utilisateur nominatif, plutôt que les regrouper dans des indicatifs de fonction (comme compta1, dév10, etc.) en s’assurant de faire adopter une politique rigoureuse de mot de passe pour chaque accès personnalisé, qu’il s’agisse du poste de travail du bureau, ou bien de l’ordinateur, de la tablette ou du cellulaire personnels de l’employé. Ce mot de passe, à renouveler aux trois mois, doit être difficile à deviner, demeurer totalement confidentiel et invisible sur tous les types de supports informatiques. Les experts conseillent aussi aux entreprises d’exiger des mots de passe d’au moins huit caractères mêlant lettres, chiffres et caractères spéciaux.

3. Sécuriser le