[Photo: 123RF]
LES GRANDS DE LA COMPTABILITÉ – «Nous surveillons l’évolution des cybermenaces à partir de plusieurs points dans le monde et nous en informons nos clients afin de réduire leurs risques d’affaires», explique Éric Aubailly, chef national des services-conseils du secteur des technologies de l’information chez BDO Canada.
Au cours des dernières années, M. Aubailly a noté que les PME, notamment les plus importantes, étaient de plus en plus visées par des attaques qui concernaient jadis davantage les grandes entreprises. C’est le cas notamment des fameux rançongiciels, qui cryptent les données d’une entreprise et exigent une rançon en échange d’une clé de décryptage.
Le vol d’information reste aussi une menace majeure. Certains pirates font de l’espionnage économique, alors que d’autres menaceront, par exemple, de rendre publiques des données sensibles, à moins que l’entreprise n’accepte de payer une rançon.
«Nous aidons nos clients à repérer les plus grands risques de vulnérabilité dans leur entreprise et à les colmater afin de réduire les chances de succès des attaques et aussi afin de savoir comment réagir en cas d’attaque», explique M. Aubailly. À son avis, la vulnérabilité la mieux partagée entre les PME serait l’absence des mises à jour des logiciels et des outils technologiques. Les rustines et les mises à jour sont souvent négligées, alors qu’elles existent précisément pour corriger des défauts de sécurité. «Les entreprises deviennent donc à risque même avec des failles de sécurité qui sont connues et pourraient aisément être corrigées», se désole M. Aubailly.
Associé et leader des services de sécurité à la firme MNP, Tom Beaupré remarque lui aussi que les pirates informatiques soutirent de plus en plus d’argent aux PME. Leurs méthodes deviennent plus sophistiquées. Ils prennent le temps de glaner des informations. Au point où parfois, ils savent exactement, au moment de dévoiler leur attaque, de combien d’argent l’entreprise dispose dans ses comptes de banque.
Le facteur humain
M. Beaupré souligne à quel point la formation et les bonnes pratiques se révèlent cruciales. Sa firme mène d’ailleurs des tests d’intrusion, notamment d’hameçonnage, pour vérifier le degré de préparation des employés d’une PME. Ils utilisent des moyens simples, par exemple un courriel promettant une carte-cadeau si on clique sur un lien. Plusieurs continuent de se faire prendre.
«Malheureusement, l’être humain demeure le point faible de la cybersécurité, déplore M. Beaupré. Il a tendance à faire confiance un peu trop facilement et à manquer de vigilance.» Les pirates savent bien se servir de cette crédulité. M. Beaupré relate un cas classique où des employés de PME ont reçu un appel les prévenant qu’il y aurait une panne dans un service en ligne offert par un tiers et qu’on leur offrait du soutien. Les pirates ont ensuite provoqué la panne en entrant dans le système de la PME. Les employés ont eux-mêmes téléphoné aux gens qui leur avaient gentiment offert de les aider à conclure leurs transactions bancaires pendant la panne. Ce faisant, les pirates ont réussi à obtenir et à modifier plusieurs informations sur les accès bancaires de la PME et à lui soutirer des sommes importantes.
«Il y a encore beaucoup de sensibilisation à faire auprès des entreprises et de leurs employés, conclut M. Beaupré, et c’est un des rôles que nous jouons auprès d’eux, en plus de les conseiller sur des moyens de défense technologiques.»