Aller au contenu principal
Image du héros de la cybersécurité

Cyber ​​sécurité

N'ignorez pas les risques de cybermenaces pour votre petite ou moyenne entreprise. Soyez averti en matière de cybersécurité et restez au courant des meilleures pratiques en matière de cybersécurité.

Protégez votre organisation du cyber-risque

La cyberprotection n'a pas besoin d'être coûteuse ou compliquée. Commencez par identifier les informations et les systèmes précieux, comprendre les principales menaces et appliquer les meilleures pratiques de gestion des risques. Assurez-vous que ces mesures sont en place pour améliorer votre cybersécurité :

  • Élaborer un plan de réponse aux incidents. Si vous disposez d'un plan, vous pouvez réagir rapidement aux incidents, restaurer les systèmes et les données critiques et réduire au minimum les interruptions de service et les pertes de données. Votre plan doit inclure des stratégies de sauvegarde des données dans un autre emplacement sécurisé.

  • Patcher les systèmes d'exploitation et les applications. Lorsque des problèmes logiciels ou des vulnérabilités sont identifiés, les fournisseurs publient des correctifs pour corriger les bogues, résoudre les vulnérabilités connues et améliorer la convivialité ou les performances. Dans la mesure du possible, activez les correctifs et mises à jour automatiques pour tous les logiciels et matériels afin d'empêcher les pirates d'exploiter ces problèmes ou vulnérabilités de sécurité.

  • Utilisez une authentification utilisateur forte. Implémentez des politiques d'authentification des utilisateurs qui équilibrent la sécurité et la convivialité. Assurez-vous que vos appareils authentifient les utilisateurs avant qu'ils ne puissent accéder à vos systèmes. Dans la mesure du possible, utilisez l'authentification multifacteur (MFA).

  • Sauvegardez et cryptez les données. Copiez vos informations et applications critiques vers un ou plusieurs emplacements sécurisés, tels que le cloud ou un disque dur externe. En cas de cyberincident ou de catastrophe naturelle, ces copies peuvent vous aider à poursuivre vos activités commerciales et à prévenir la perte de données. Les sauvegardes peuvent être effectuées en ligne ou hors ligne et peuvent également être effectuées en trois itérations différentes : complète, différentielle ou incrémentielle. Testez régulièrement vos sauvegardes pour vous assurer que vous pouvez restaurer vos données.

  • Activer le logiciel de sécurité. Activez les pare-feu et installez des logiciels antivirus et anti-malware sur vos appareils pour contrecarrer les attaques malveillantes et vous protéger contre les malwares. Assurez-vous de télécharger ce logiciel auprès d'un fournisseur réputé. Installez le filtrage DNS (Domain Name System) sur vos appareils mobiles pour bloquer les sites Web malveillants et filtrer le contenu nuisible.

  • Formez vos employés. Adaptez vos programmes de formation aux protocoles, politiques et procédures de cybersécurité de votre organisation. Avoir une main-d'œuvre informée peut réduire la probabilité de cyberincidents.

  • Cloud sécurisé et services externalisés. Apprenez à connaître un fournisseur de services avant de vous engager avec eux. Assurez-vous que le fournisseur de services a mis en place des mesures pour répondre à vos exigences et besoins en matière de sécurité. Sachez où se trouvent les centres de données d'un fournisseur de services. Différents pays ont des lois sur la confidentialité et des exigences de protection des données différentes.

  • Sites Web sécurisés. Protégez votre site Web et les informations sensibles qu'il collecte. Chiffrez les données sensibles, assurez-vous que vos certificats sont à jour, utilisez des mots de passe forts ou des phrases secrètes sur le backend du site et utilisez HTTPS pour votre site. Si vous avez externalisé votre site Web, assurez-vous que l'hébergeur de votre site a mis en place des mesures de sécurité.

  • Sécurisez les appareils mobiles. Choisissez un modèle de déploiement d'appareil. Votre organisation fournira-t-elle aux employés des appareils appartenant à l'entreprise ou autoriserez-vous les employés à utiliser des appareils personnels pour le travail ? Assurez-vous que les employés ne peuvent utiliser que des applications approuvées et ne peuvent télécharger que des applications provenant de sources fiables.

  • Contrôle d'accès et autorisation. Appliquez le principe du moindre privilège pour empêcher les accès non autorisés et les violations de données. Les employés ne doivent avoir accès qu'aux informations dont ils ont besoin pour faire leur travail. Chaque utilisateur doit avoir son propre ensemble d'informations d'identification de connexion, et les administrateurs doivent avoir des comptes administratifs et des comptes d'utilisateurs généraux distincts.

  • Établir des défenses périmétriques de base. Protégez vos réseaux contre les cybermenaces. Par exemple, utilisez un pare-feu pour vous défendre contre les intrusions extérieures en surveillant le trafic entrant et sortant et en filtrant les sources malveillantes. Utilisez un réseau privé virtuel (VPN) lorsque les employés travaillent à distance pour sécuriser la connexion et protéger les informations sensibles.

  • Configurez les appareils en toute sécurité. Prenez le temps de revoir les paramètres par défaut de votre appareil et apportez les modifications nécessaires. Au minimum, nous vous recommandons de modifier les mots de passe par défaut (en particulier les mots de passe administratifs), de désactiver les services de localisation et de désactiver les fonctionnalités inutiles.

  • Supports portables sécurisés. Le stockage et le transfert de données à l'aide d'un périphérique multimédia portable, comme une clé USB, sont pratiques et économiques, mais ils peuvent être sujets à la perte ou au vol. Maintenir un inventaire de tous les actifs. Utilisez des périphériques de stockage portables cryptés, si possible, et désinfectez-les correctement avant de les réutiliser ou de les jeter.

Source: Centre canadien pour la cybersécurité

En savoir plus sur la cyberassurance

Protégez votre organisation contre les escroqueries par hameçonnage

La cybermenace la plus courante est le phishing, une tentative de vol d'informations personnelles et financières. La plupart des organisations légitimes ne vous demanderont jamais de révéler des informations privées par e-mail, SMS, message direct sur les réseaux sociaux ou appel téléphonique.

Malheureusement, chaque organisation et chaque individu est exposé au risque d'escroquerie par hameçonnage. Voici quelques éléments à garder à l'esprit pour vous protéger des escroqueries par hameçonnage :

  • Soyez extrêmement prudent chaque fois que vous recevez un message vous demandant de révéler des informations personnelles, même si ce message peut sembler légitime à première vue.

  • Dans la mesure du possible, essayez de vérifier les demandes d'informations par d'autres moyens. Par exemple : si vous recevez un message de votre banque vous demandant d'agir immédiatement pour cliquer sur un lien ou vérifier certaines informations, il vous suffit d'appeler directement votre agence bancaire pour vérifier la légitimité du message.

  • Connaître les principales formes d'escroqueries par hameçonnage :

  • Smishing est une tentative par SMS (message texte)

  • Le spearphishing est un message ciblé conçu pour donner l'impression qu'il provient d'une source personnelle connue

  • Le spoofing est un faux site Web conçu pour amener quelqu'un à partager des informations confidentielles

  • La chasse à la baleine cible spécifiquement les cadres supérieurs ou les responsables gouvernementaux

Source: Hameçonnage : ne vous laissez pas entraîner

Protégez vos employés des arnaques

Hameçonnage. Deepfakes. Ingénierie sociale. Infractions de tiers. Ce ne sont là que quelques exemples de menaces en ligne contre vos identités numériques professionnelles et personnelles. Que vos employés travaillent au bureau, à la maison ou en déplacement, il est important que chacun soit averti en matière de cybersécurité et protège son identité. Voici quelques bonnes pratiques :

  • Utiliser le Wi-Fi en toute sécurité

    • Modifier les noms de réseau par défaut (SSID) et les mots de passe

    • Évitez d'utiliser les réseaux Wi-Fi publics

    • Si le Wi-Fi public doit être utilisé, un réseau privé virtuel (VPN) peut aider à protéger les informations et les comptes sensibles

  • Tenir à jour les outils et logiciels de sécurité

    • Utilisez un pare-feu ainsi qu'un logiciel anti-virus et anti-hameçonnage

    • Utilisez des mots de passe forts avec l'authentification multifacteur (MFA)

    • Veiller à ce que les employés qui gèrent des comptes de médias sociaux professionnels fassent preuve de prudence lorsqu'ils publient des informations

    • Surveillez régulièrement les comptes financiers pour détecter toute activité suspecte

    • Identifiez les comptes inutilisés et supprimez les informations d'identification avant de supprimer

  • Partagez avec prudence

    • Recherchez avec qui votre entreprise partage des données et lisez les politiques de confidentialité pour savoir comment les tiers traitent les informations

    • Vérifier l'identité de toute personne demandant des informations personnelles ou professionnelles et la légitimité de la demande

    • Ne cliquez pas sur les liens dans les SMS ou les e-mails. En cas de doute, utilisez les coordonnées affichées sur le site Web officiel d'une organisation pour confirmer l'identité

Source: Centre canadien pour la cybersécurité

Que faire après un cybercrime

Si vous avez été victime d'un cybercrime, il est important de prendre des mesures immédiates :

  • modifier les mots de passe et les questions de sécurité sur le compte compromis et tous les comptes associés

  • déterminer les données concernées telles que les informations financières, les numéros d'assurance sociale, etc.

  • signaler l'incident :

    • à votre cyber assureur, ils peuvent vous aider dans les démarches à entreprendre pour protéger vos données

    • au fournisseur de compte ainsi que les comptes associés ou connectés

    • aux forces de l'ordre

    • email Cybercentre (contact@cyber.gc.ca) pour signaler le vol d'identité organisationnel

    • contacter le Centre antifraude du Canada en ligne ou sur 1 888-495-8501 pour signaler un incident d'usurpation d'identité

    • soumettre des informations sur les logiciels malveillants, les menaces électroniques ou les pourriels à Innovation, Sciences et Développement économique Canada

  • être informé des modifications de vos données personnelles

    • Utilisez Equifax et à la TransUnion pour analyser les rapports de solvabilité et activer les alertes en cas de demandes non autorisées

Sources: Centre canadien pour la cybersécurité et à la Innovation, Sciences et Développement économique Canada