Le cybercrime, une menace pour votre entreprise

Le cybercrime, une menace
pour votre entreprise
par BOB POKLITAR
Prévention des sinistres
www.federated.ca/fr/
La sécurité
de votre
entrEprise
en tête
Septembre 2013
En 2007, plus de 74 millions de numéros de carte de crédit ont été
volés des ordinateurs de TJ Maxx, un grand magasin américain.
Cela a été l’un des premiers cas majeurs mettant en cause la
cyberresponsabilité. Cet événement a donc contribué à sensibiliser
le public à l’égard de ce qui est devenu l’une des plus importantes
menaces de l’ère de l’information : les intrusions dans les systèmes
informatiques et le vol de données perpétrés par des voleurs armés
de rien de plus qu’une souris et un clavier.
BOB POKLITAR
FPAA, CPCU
Directeur principal en analyse
du risque, Les assurances
Federated
Comme propriétaire de PME, vous avez peut-être
l’impression que vous êtes à l’abri du cybercrime,
que seules les multinationales y sont exposées.
Mais la triste réalité, c’est que pratiquement
toutes les entreprises courent des risques de subir
des pertes au chapitre de la cyberresponsabilité.
Même si votre entreprise n’entretient pas le même
genre de relations publiques que TJ Maxx, vous
pouvez malgré tout être victime du même genre
de publicité négative, qui pourrait avoir pour
effet de détruire votre réputation et de vous faire
perdre la confiance de vos clients.
Qu’est-ce que la
cyberresponsabilité?
La cyberresponsabilité fait référence aux risques
associés au fait de faire des affaires dans le monde
numérique. Ces risques englobent, notamment,
ceux reliés au commerce électronique, aux
ordinateurs, aux réseaux et aux autres importants
actifs informationnels. Comme vous utilisez sans
doute un ordinateur pour réaliser vos activités
commerciales, il est important de vous protéger
contre les criminels qui pourraient tenter de
s’approprier les renseignements de nature délicate
qui vous appartiennent.
Le cybercrime est l’un des secteurs d’activités
criminelles qui connaît la plus forte croissance.
Comme il serait pratiquement impossible
d’aborder tous les types de cybercrimes dans un
seul article, dans les lignes qui suivent, nous nous
concentrerons sur les vols d’information et les
dommages causés aux ordinateurs et aux réseaux
informatiques.
Comment le cybercrime peutil nuire à mon entreprise?
Le cybercrime peut prendre différentes formes.
Par exemple :
•• Un virus informatique peut endommager vos
logiciels et vos données.
•• Des pirates informatiques peuvent vous
voler des renseignements confidentiels et
de l’information faisant l’objet de droits de
propriété intellectuelle.
•• Des pirates peuvent « détourner » votre site
Web, c’est-à-dire remplacer l’information qu’il
contient par de la fausse information ou des
pseudo-données.
Le cybercrime peut avoir des répercussions non
seulement sur vous, mais aussi sur vos employés,
vos clients et tous ceux avec qui vous faites
affaire. Par exemple, si un ordinateur portatif est
perdu ou volé et qu’il contient de l’information
personnelle sur vos employés ou vos clients –
comme leur adresse, leur date de naissance, leur
numéro d’assurance sociale et leur numéro de
carte de crédit – ces personnes seront à risque de
se faire voler leur identité si l’information tombe
entre de mauvaises mains.
Comment puis-je protéger
mon entreprise?
Voici 12 conseils pour vous aider à réduire vos
risques d’être victime de cybercrime.
1. Établissez des politiques de sécurité pour
protéger votre information. Indiquez
brièvement ce que vous attendez de
La sécurité
de votre
entrEprise
en tête
l’entreprise et de vos employés en ce qui concerne les points
suivants dans la liste. Assurez-vous que vos attentes sont
simples et réalistes et que vos employés les comprennent, au
même titre que les risques d’intrusion dans les ordinateurs.
2. Installez un pare-feu et un antivirus sur les postes de
travail pour bloquer les accès non autorisés. Évaluez aussi
la possibilité d’installer un système de détection d’intrusion
pour augmenter vos chances de détecter les infractions sur
votre réseau.
3. Mettez à jour vos systèmes et vos logiciels régulièrement
afin de toujours utiliser les versions les plus récentes.
4. Utilisez des mots de passe. Songez à utiliser des mots
de passe de huit caractères ou plus comprenant une
combinaison de lettres minuscules et majuscules, de signes de
ponctuation, de symboles et de chiffres. Autant que possible,
ne permettez pas aux employés de réutiliser d’anciens mots
de passe.
5. Verrouillez votre ordinateur lorsque vous quittez votre
bureau.
6. Chiffrez vos données, surtout celles qui sont confidentielles,
essentielles pour la réalisation de vos activités ou stockées
sur des appareils portatifs. N’oubliez pas que les téléphones
intelligents peuvent contenir autant, sinon plus, de données
que onze classeurs!
7. Réservez l’usage des appareils portatifs aux employés
qui en ont vraiment besoin pour accomplir leur travail.
Demandez-vous si vos renseignements de nature délicate
ont vraiment besoin d’être stockés sur ces appareils et, dans
l’affirmative, assurez-vous que des mécanismes de sécurité
appropriés en restreignent l’accès. Voyez s’il n’y a pas lieu
d’utiliser des câbles de sécurité et des cadenas pour sécuriser
les appareils sur les bureaux des employés en tout temps.
8. Assurez-vous que les accès à distance à votre réseau sont
sécurisés. Vérifiez auprès de votre administrateur de réseau
s’il est bel et bien possible d’accéder au réseau à distance
et, le cas échéant, si l’accès est limité à des réseaux privés
virtuels. Demandez-lui aussi si vos transmissions sans fil
sont protégées à l’aide de mécanismes WPA ou WPA2, du
protocole de sécurité pour IP ou du protocole SSL.
9. Faites régulièrement des copies de secours de vos données
et gardez-les dans un endroit sûr à l’extérieur des lieux de
travail.
10.Protégez vos données de nature délicate, surtout celles
qui concernent les clients et les employés, à l’aide de
mécanismes de protection adaptés à leur importance et à
leur degré de sensibilité. De plus, dotez-vous d’une politique
de conservation des données pour vous assurer de conserver
l’information seulement pour la période nécessaire et de
détruire ensuite les données de façon sûre.
11.Faites des vérifications au sujet de vos fournisseurs de
services externes. L’efficacité de vos pratiques de sécurité
dépendra des gens qui les mettront en application. Avant
d’impartir certaines fonctions, comme le traitement de la
paie, l’hébergement Web ou le traitement des données,
évaluez les pratiques et les normes de sécurité du fournisseur
envisagé par rapport aux vôtres. Consignez par écrit les
engagements du fournisseur envers vous sous forme de
contrat.
12.Contrôlez les accès internes à votre système. Ne faites pas
que protéger votre réseau informatique contre les pirates;
protégez-le également des menaces potentielles à l’interne.
Pour ce faire, donnez à vos employés accès uniquement
aux systèmes dont ils ont besoin pour accomplir leur
travail. Et lorsque quelqu’un quitte l’entreprise, désactivez
immédiatement ses accès aux systèmes et ramassez
rapidement les appareils électroniques qui appartiennent à
l’entreprise.
Au besoin, n’hésitez pas à chercher de l’aide. La
cyberresponsabilité est un enjeu complexe. Il peut être
avantageux d’embaucher un expert pour évaluer les cyberrisques
et les effets potentiels d’une intrusion sur vos finances.
© La Federated, Compagnie d’Assurance du Canada. Tous droits réservés.
Le présent document est fourni par La Federated, Compagnie d’Assurance
du Canada (« La Federated ») uniquement à titre informatif dans le but de
parfaire vos pratiques internes en matière de sécurité, de conformité et de
gestion du risque; il ne vise pas à remplacer les évaluations ou les autres
conseils professionnels d’un individu ou d’une entité qualifié. La Federated
ne fait aucune assertion et n’offre aucune garantie relativement à l’exactitude
ou à l’intégralité des renseignements contenus dans ce document. La
Federated ne pourra en aucun cas être tenue responsable des pertes ou des
dommages directs, indirects, spéciaux, punitifs ou autres pouvant découler
de l’utilisation par vous ou par toute autre personne des renseignements
contenus dans ce document, ou du fait que vous ou toute autre personne
vous êtes fié à ceux-ci.
MD
Marque déposée
de La Federated,
Compagnie d’assurance
du Canada
KYBM-51 FR