Logo - Les Affaires
Logo - Les Affaires

Cyberattaques: les PME, des victimes idéales

Dominique Talbot|Publié le 06 avril 2023

Cyberattaques: les PME, des victimes idéales

Le Bureau d’assurance du Canada a estimé que 41% des entreprises avaient été victimes d’une cyberattaque, dans un sondage publié à l’été 2021. (Photo: Kaitlyn Baker pour Unsplash)

Pas moins d’une entreprise canadienne sur cinq a été victime d’une cyberattaque en 2021, selon Statistique Canada.

Le Canada arrive même au 12e rang des pays les plus touchés par des cyberattaques de grande envergure entre 2006 et 2020, avec 11, selon un rapport de la firme Statista. Les États-Unis se classent quant à eux au premier rang, avec 156.

On soulignait le 31 mars dernier la Journée mondiale de la sauvegarde informatique. Voici donc l’occasion de faire un rappel sur les conséquences catastrophiques qu’une attaque peut avoir sur une entreprise, et celles avec lesquelles elle est en affaires.

Le Bureau d’assurance du Canada a estimé que 41% des entreprises avaient été victimes d’une cyberattaque, dans un sondage publié à l’été 2021. Ces dernières rapportaient des dommages de plus de 100 000$. Parmi elles, 24% étaient assurées contre ce type de criminalité.

Au total, au cours de cette année, les entreprises canadiennes ont dépensé plus de 600 millions de dollars pour le rétablissement de leurs systèmes, rapporte Statistique Canada.

«Tout le monde pense que leurs solutions de sauvegarde sont bonnes. Mais quand arrive une attaque, ils s’aperçoivent qu’il y avait des lacunes, exprime Éric Parent, expert en cybersécurité et PDG de l’entreprise EVA-Technologies. Si la personne qui s’occupe de vos systèmes de sécurité n’est pas capable d’identifier les scénarios de menaces qui pourraient se produire, les risques résiduels, son opinion ne vaut rien.»

M. Parent rappelle que dans le milieu de la cybersécurité, il est recommandé de faire trois copies de ses données. «Mais, évidemment, il ne faut pas que ce soit la même chose.»

Il conseille donc une sauvegarde des fichiers, un stockage des systèmes (qui par définition, ramène aussi les fichiers) et une solution complètement débranchée et déconnectée de son système.

«Ça prend de multiples copies des données, faites de différentes façons. Et ça prend absolument une analyse de résilience par une personne qui connaît les méthodes d’attaque et de sabotage.»

 

«À partir du moment où on a des données, on est une cible potentielle.»

Des risques pour la réputation

Encore aujourd’hui, certaines croyances sont tenaces vis-à-vis les cyberattaques. Notamment pour les petites entreprises qui sont nombreuses à se demander pourquoi des pirates informatiques en feraient leur cible.

Mais en réalité, les pirates lancent souvent des attaques et attendent que quelqu’un morde à l’hameçon. Ne cherchez donc pas le lien entre des pirates informatiques russes et une entreprise de Rosemont ou de Rivière-du-Loup.

«À partir du moment où on a des données, même les petites entreprises, on est une cible potentielle», rappelle Fyscillia Ream, coordonnatrice scientifique à la Chaire de recherche en prévention de la cybercriminalité de l’Université de Montréal.

D’ailleurs, les PME, souvent plus vulnérables, sont des victimes idéales.

«Même une facture d’une petite entreprise peut être utile pour des cybercriminels. Ça peut permettre ensuite de faire une attaque envers une autre. En ciblant une petite entreprise, c’est la porte d’entrée vers une grande entreprise.»

C’est ce qui s’est passé à la STM en 2020. Un virus envoyé dans un concessionnaire automobile de Laval a été ouvert par un client de celui-ci qui était à l’emploi de la société de transport. Sur son poste de travail. Résultat, la majorité des 1000 serveurs de la STM ont été paralysés pendant plusieurs jours.

«Il y a eu un piratage l’automne dernier chez Uber. On s’attend à ce qu’une entreprise de technologie ait une équipe de cybersécurité très puissante. Mais en fait, cette équipe n’était pas si importante. Même des grandes entreprises comme celle-ci ne prennent pas assez en compte la cybersécurité», met en garde Mme Ream.

«C’est un peu répétitif, mais il faut sensibiliser les employés. La majorité des attaques ne sont pas nécessairement très sophistiquées. Ce que le cybercriminel a besoin de faire, c’est d’entrer dans le système de l’entreprise, qu’une personne lui ouvre la porte.»

Et les dommages pour une entreprise peuvent aller bien au-delà des systèmes informatiques et des données, insiste Mme Ream.

«Si comme petite entreprise, vous voulez faire des affaires avec une plus grande entreprise, c’est probable qu’on ne fasse pas affaire avec vous si vous n’êtes pas cybersécure. Vous seriez une porte d’entrée vers la plus grosse entreprise.»