Comparativement aux grandes sociétés, les PME possèdent souvent une infrastructure informatique moins sophistiquée et peu ou pas de mesures de surveillance et de prévention, en faisant des proies faciles aux cyberattaques. Avec la pandémie, le passage à l’infonuagique, l’adoption du commerce électronique et l’essor du télétravail créent de nouvelles brèches dans les systèmes — dont les conséquences peuvent parfois s’avérer coûteuses.
Peu de prévention chez les PME
En octobre dernier, un sondage Léger commandé par le Bureau d’assurance du Canada (BAC) auprès d’entreprises canadiennes ayant moins de 500 employés révélait que 47 % d’entre elles ne consacrent aucune part de leur budget annuel à la cybersécurité. « Petite ou grande, toute entreprise faisant affaire avec des fournisseurs présentant des défaillances en matière de cybersécurité devient elle-même vulnérable » observe Pierre Babinsky au BAC. De plus, seulement 24 % des répondants affirment avoir l’intention de souscrire une assurance cyberrisque au cours de la prochaine année.
Une variété de cyberrisques
Qu’ils réclament une rançon ou recherchent des informations sensibles à revendre sur le Dark Web, les cybercriminels font preuve d’inventivité pour atteindre leurs objectifs. Ils utilisent une multitude de tactiques, comme celles-ci :
• Vol de matériel informatique : Voler un ordinateur portable ou un téléphone intelligent permet de contourner bien des mesures de sécurité en ligne. Ce n’est pas l’équipement en soi qui a de la valeur, mais bien les données personnelles et confidentielles qu’il contient.
• Rançongiciel : Que ce soit après avoir cliqué sur un lien malveillant, ouvert une pièce jointe douteuse ou en insérant une clé USB laissée dans vos bureaux, l’installation de ce type de logiciel malveillant verrouille l’accès aux données jusqu’à ce qu’un montant d’argent soit versé.
• Ingénierie sociale : Aussi appelée « fraude du président », ce stratagème vise à duper un employé en se faisait passer pour un haut dirigeant. Par le biais de faux courriels et d’un argumentaire convaincant, la victime est poussée à effectuer un transfert de fonds frauduleux.
• Déni de service : Les entreprises qui dépendent de leur site web pour poursuivre leurs activités sont particulièrement vulnérables à cette menace. Les cybercriminels bombardent le système informatique de requêtes jusqu’à ce qu’il soit compromis, exigeant une rançon pour mettre fin à l’attaque.
• Réseaux non sécurisés : Dans les lieux publics comme les hôtels et les restaurants, un cybercriminel peut plus facilement infiltrer le réseau sans fil et les appareils s’y connectant. Autre possibilité: configurer un réseau frauduleux au nom identique pour espionner l’activité des utilisateurs.
Combien coûte une cyberattaque ?
Selon le même sondage, 41 % des PME ayant subi une cyberattaque ont dû débourser au moins 100 000 $. « En ayant infiltré les systèmes d’une entreprise, les cybercriminels sont souvent bien renseignés sur sa situation financière et exigent un montant d’argent en conséquence », précise Pierre Babinsky. D’autres sommes peuvent s’ajouter à cette demande de rançon, notamment des amendes , des dommages-intérêts, des frais liés aux enquêtes judiciaires, à la restauration des données, ainsi que des dépenses pour assurer la poursuite des activités et protéger la réputation de l’entreprise.
Prévention et assurance cyberrisque
Pourtant, il existe des moyens économiques de prévenir les cyberriques. L’adoption de ceux-ci peut faciliter l’obtention.
