Les crimes informatiques d’envergure font peut-être la une, mais les grandes sociétés ne sont pas les seules cibles de la cybercriminalité. En effet, un récent sondage indique que 40 % des cyberattaques visent les petites et moyennes entreprises (PME). Les sociétés de plus petite taille doivent donc également se protéger.
L’information est un outil puissant. En cette ère électronique, elle est devenue une cible populaire pour les criminels.
Récemment, des pirates informatiques ont publié deux millions de noms d’utilisateurs et mots de passe compromis rattachés à des comptes Facebook, LinkedIn et Twitter. Quelques mois plus tard seulement, une attaque similaire a touché 38 millions d’utilisateurs du logiciel Adobe.
De son côté, Sony a perdu au moins 171 millions de dollars américains en 2011 en réagissant à une cyberattaque qui avait exposé quelque 77 millions de fichiers clients reliés au réseau PlayStation et au service Qriocity. Tous ces événements ont fait les manchettes partout dans le monde.
LES PETITES ET LES GRANDES
Les grandes sociétés ne sont pas les seules à être menacées par la cybercriminalité. Quarante pour cent des attaques viseraient les PME. C’est ce que révèle un sondage publié l’année dernière par Symantec, une agence qui offre des services de sécurité en ligne.
En octobre 2012, Symantec et la National Cyber Security Alliance ont également publié les résultats d’un sondage effectué auprès de 1 015 PME (comptant moins de 250 employés) aux États-Unis. « Presque 40 % du milliard et plus de cyberattaques repoussées par Symantec au cours du premier trimestre de 2012 visaient des entreprises comptant moins de 500 employés », pouvait-on lire dans le communiqué de presse diffusé à l’époque.
La croissance du nombre de petites entreprises victimes est également attribuable au fait que les pirates cherchent des accès faciles aux renseignements personnels et aux numéros de carte de crédit, et des failles de sécurité pour pénétrer dans les réseaux utilisés par d’importants fournisseurs et clients. Autrement dit, aucune entreprise n’est à l’abri. De nombreux produits d’assurance contre les cybercrimes conçus pour de grandes sociétés américaines, telles que des institutions financières et des détaillants nationaux, sont offerts par des entreprises spécialisées, mais ils sont malheureusement assortis de primes élevées et de franchises vertigineuses; ils sont donc hors de portée des entreprises canadiennes de plus petite taille. Et si des options pour les PME commencent à voir le jour, sous la demande croissante pour une couverture comparable à celle offerte aux grandes entreprises, certains fournisseurs d’assurance offrent une protection limitée qui n’inclut pas tous les types de risques.
Pour illustrer ces lacunes, prenons l’exemple d’une entreprise qui doit aviser ses clients d’une perte de données personnelles. Certains assureurs ne couvrent que les frais de notification obligatoire. Or, si la notification est obligatoire pour chaque brèche informatique en Alberta, d’autres provinces ne l’obligent que dans certaines circonstances ou n’imposent aucune exigence à cet effet.
Une entreprise qui dispose d’une protection aussi limitée devra payer pour aviser ses clients au sujet des autres détails dont la confidentialité aurait pu être compromise. En revanche, une assurance des cyberrisques solide couvre les frais liés aux notifications de brèches, qu’elles soient obligatoires ou non.
DÉSOLÉ! LE SERVICE EST INTERROMPU!
Certaines des plus grandes pertes sont occasionnées par l’interruption de service. Si un virus est téléchargé sur le serveur informatique d’un fournisseur, par exemple, l’équipement de production peut être mis en arrêt pendant plusieurs jours et nécessiter l’intervention coûteuse d’une équipe de technologies de l’information. Mais cette perte financière n’est rien comparée aux coûts associés à une interruption des activités et aux commandes non honorées. Une assurance contre les pertes d’exploitation peut aider à affronter la menace.
Supposons qu’un petit fleuriste subisse une cyberattaque. Il pourrait avoir à payer pour rebâtir son site Web, envoyer des lettres à des milliers de clients et payer pour un service de surveillance de crédit pour limiter les pertes futures dans le cas où des données de cartes de crédit auraient été compromises. Dans tous les cas, les attaques peuvent également jouer sur le rendement puisque les employés doivent cesser leurs activités habituelles pour restaurer les données ou réagir à l’attaque. Voilà pourquoi une assurance complète des cyberrisques doit protéger les petites entreprises contre les pertes de revenu.
D’autres problèmes potentiels sont liés à l’information qu’une petite entreprise, qui ne peut compter sur une équipe juridique interne, choisit de partager sur son site Web ou son serveur Internet. Prenons l’exemple d’un petit hôtel qui affiche des photos d’attractions touristiques locales trouvées sur Internet, sans payer les droits, et qui est ensuite poursuivi pour 10 000 $.
D’autres poursuites peuvent être intentées si une entreprise affiche la marque de commerce d’une autre sur son site Web, sans obtenir les permissions nécessaires, ou si elle publie des renseignements préjudiciables. Une assurance des cyberrisques pour petites entreprises offrirait une protection en matière de responsabilité civile en ligne.
De précieuses données commerciales sont souvent compromises lorsqu’un employé perd son ordinateur portable, son disque dur ou sa clé USB. Pour compliquer les choses, de nombreuses personnes n’arrivent plus à se souvenir où elles ont mis chaque dispositif de stockage contenant des données.
Offrir une couverture appropriée est une chose, mais les assureurs peuvent également donner accès à des équipes internes de gestion des risques ou à des experts indépendants qui peuvent aider à prévenir les brèches de sécurité et à endiguer les problèmes qui surgissent. Après tout, les petites entreprises ont besoin de cette aide plus que les grandes, ces dernières ayant souvent des équipes d’experts sur place.
LA FORMATION, C’EST LA CLÉ
Il arrive que des membres du personnel divulguent involontairement des données importantes, telles que des noms d’utilisateurs ou des mots de passe, en répondant à des courriels d’hameçonnage qui semblent provenir de cadres supérieurs ou de l’équipe des ressources humaines. Mais ils risquent moins de commettre cette erreur s’ils savent distinguer le faux du vrai.
Toutefois, il ne suffit pas de les informer des risques possibles : leur matériel informatique doit être aussi bien protégé que les données elles-mêmes. De précieuses données commerciales sont souvent compromises lorsqu’un employé perd son ordinateur portable, son disque dur ou sa clé USB. Pour compliquer les choses, de nombreuses personnes n’arrivent plus à se souvenir où elles ont mis chaque dispositif de stockage contenant des données. Les entreprises peuvent réduire ces risques en chiffrant les données et en contrôlant le matériel informatique qui les contient.
Ces menaces ne se limitent pas au matériel informatique de l’entreprise. De plus en plus d’entreprises ont adopté une stratégie « Apportez votre propre appareil » (AVPA) : elles autorisent les employés à utiliser leurs appareils personnels, comme leur tablette ou leur téléphone intelligent, pour accéder aux fichiers d’entreprise. Selon Symantec, 37 % des travailleurs adultes sondés utilisent maintenant leur propre appareil tant au travail qu’à la maison, et 17 % d’entre eux stockent de l’information personnelle sur leur appareil de travail.
Si cette polyvalence d’utilisation entraîne des gains de productivité, elle peut également créer de nouvelles menaces qui peuvent être contenues par la mise en place de politiques clairement définies.
Les sociétés canadiennes reconnaissent qu’il est nécessaire de protéger l’information. En effet, selon le rapport Les entreprises canadiennes et les renseignements personnels de 2012, préparé par Phoenix Strategic Perspectives Inc. pour le Commissariat à la protection de la vie privée du Canada, 77 % des entreprises sondées reconnaissent qu’il est important de protéger la vie privée.
Ce même rapport permet de constater que seuls 44 % des répondants chiffrent les données stockées dans leurs appareils. Et un plus petit nombre encore savent comment ils réagiraient en cas de problème.
De plus, le sondage révèle que moins du tiers des entreprises canadiennes ont mis en place des directives en cas de brèche de sécurité. Les résultats sont basés sur un sondage téléphonique à composition aléatoire mené auprès de 1 513 résidents canadiens âgés de 16 ans et plus.
Si l’information personnelle est compromise et qu’une bonne stratégie de gestion de crise est en place, tous les gens concernés seront informés de la perte et les cadres seront prêts à répondre aux questions des médias.
D’autres stratégies permettront de chiffrer et de faire des copies de sécurité des données ainsi que de récupérer les données perdues le plus rapidement possible. Quant aux mesures d’urgence, elles aideront l’entreprise à se préparer au pire, en espérant le meilleur.
Aucune stratégie n’est infaillible, mais ces mesures peuvent aider à se préparer contre d’éventuelles cyberattaques.
Combinées à une bonne assurance, elles aideront les petites et moyennes entreprises à réduire leurs pertes NETtes.