Steve Lavoie, directeur des solutions TI de la firme Micromedica Solutions d’affaires, spécialisée en logiciels de gestion intégrée et en cybersécurité. (Photo: courtoisie)
CYBERSÉCURITÉ DES PME. Pour maintenir leurs activités et rejoindre leur clientèle durant la pandémie, plusieurs PME se sont tournées vers le télétravail, le commerce électronique et les médias sociaux. Quelque 60 % des 505 petites entreprises canadiennes sondées par Rogers Communications en septembre affirment par exemple mener aujourd’hui «la plupart de leurs activités en ligne», ce qui représente une augmentation de 50 % par rapport à l’avant-pandémie. La contrepartie de ce virage numérique accéléré est que les PME n’ont jamais été plus exposées — et surtout plus vulnérables — aux menaces à leur cybersécurité.
Et menaces il y a. Quand un groupe de cyberpirates a une PME dans sa mire, il ne fait pas dans la dentelle. «Les attaques de rançongiciels sont très pernicieuses», prévient Steve Lavoie, directeur des solutions TI de la firme Micromedica Solutions d’affaires, spécialisée en logiciels de gestion intégrée et en cybersécurité. «Lorsque les cybercriminels réussissent à pénétrer un réseau d’entreprise, ils s’y établissent discrètement et étudient son fonctionnement, explique-t-il. Ils repèrent les copies de sauvegarde, puis ils commencent à exfiltrer des données.»
L’opération peut s’étaler sur des semaines, voire des mois. Et, quand les cyberpirates sont prêts à frapper, ils verrouillent les fichiers et exigent une rançon de quelques milliers de dollars en échange d’une clé de déchiffrement. «Pour forcer le paiement, le groupe peut aller jusqu’à menacer l’entreprise de vendre ses données sur le web clandestin (dark web)», précise Steve Lavoie.
Aujourd’hui, les petites entreprises n’ont plus le luxe de se dire : «ça n’arrive qu’aux grandes». En février dernier, un rapport de la Fédération canadienne de l’entreprise indiquait qu’une PME sur quatre au pays avait été la cible d’une cyberattaque (tous les types confondus) et que 5 % d’entre elles concédaient en avoir subi les dommages depuis le début des mesures sanitaires liées à la COVID-19.
Trouver la faille
Dans un scénario typique, un employé clique sur un lien présent dans un courriel d’hameçonnage, et le cyberpirate profite de cette action pour faire «un mouvement latéral» vers un appareil à la sécurité déficiente, illustre Steve Lavoie.
Cet appareil peut être un ordinateur familial mal configuré. Ce qui est fréquent, considérant que, selon l’Index des menaces de cybersécurité des employés en télétravail 2021 de la solution de cybersécurité Morphisec, 49 % des 1000 télétravailleurs américains sondés en juin dernier continuaient d’utiliser leur propre matériel informatique pour réaliser leurs tâches professionnelles.
En usine, la vulnérabilité peut provenir d’un système de caméra ou d’un système de contrôle des accès qui n’a pas été mis à jour. «Les PME n’ont pas toujours le réflexe de segmenter leur réseau administratif et leur réseau opérationnel, remarque Steve Lavoie. En isolant les machines-outils, on parvient à mitiger le risque de cyberattaque.»
Au-delà des appareils utilisés, la simple présence en ligne peut occasionner des risques. Pensons entre autres à l’actuelle prolifération des bots «malveillants», qui représentent aujourd’hui 39 % du trafic Internet selon une étude de la firme américaine de technologies de l’information (TIC) Barracuda. Ces scripts automatisés, qui reproduisent le comportement d’un internaute pour déjouer les systèmes de sécurité, sont le plus souvent lancés sur des sites de commerces électroniques dans le but de faire du price scraping (récolter les prix d’un concurrent) ou encore de paralyser ces sites avec attaque par déni de service distribué (DDoS ou Distributed Denial of Service).
Les médias sociaux peuvent eux aussi être le point de départ d’une cyberattaque. En s’appropriant le compte d’un cadre, un cybercriminel peut par exemple tenter de le personnifier pour soutirer des informations critiques à un de ses collègues et ainsi pénétrer le réseau de l’entreprise.
La cybersécurité comme avantage concurrentiel
Face à tous ces risques, les chefs d’entreprise ont le choix de se positionner soit en proies faciles pour les cyberpirates, soit en promoteurs actifs de la cybersécurité. En plus d’être une bonne pratique d’affaires, le second choix pourrait s’avérer stratégique au cours des prochaines années. « Les grandes entreprises veulent sécuriser leurs chaînes d’approvisionnement, donc elles auront de plus en plus d’exigence de conformité envers leurs petits fournisseurs », fait remarquer Frédéric Bove, directeur général de PROMPT, un regroupement sectoriel en recherche industrielle spécialisée dans le secteur des TIC et de la communication.
Ce regroupement vient d’ailleurs de lancer la deuxième phase du Programme d’innovation en cybersécurité du Québec (PICQ), financé par le ministère de l’Économie et de l’Innovation du Québec à la hauteur 27,5 millions de dollars. «En plus de financer des projets d’innovation, le PICQ soutiendra cette fois également des projets d’entreprises québécoises qui souhaitent obtenir une certification, une homologation ou une accréditation en cybersécurité pour leurs produits, leurs solutions ou leurs processus», précise le communiqué publié le 5 octobre. Voilà une occasion en or pour les PME québécoises de se positionner comme des leaders en matière de cybersécurité.