Les cyberattaques menacent de plus en plus les petites et moyennes entreprises. Pourtant, selon une étude réalisée par Northbridge Assurance, de nombreux propriétaires de petites entreprises ne perçoivent pas les cyberattaques et les atteintes à la protection des données comme des menaces importantes.

En fait, l’étude, menée en partenariat avec Léger auprès de 800 entreprises canadiennes de différents secteurs d’activités et qui s’est échelonnée sur trois ans, a révélé que les entreprises s’inquiètent de moins en moins des cyberattaques au fil du temps. Ce constat s’explique en partie par l’opinion répandue comme quoi les cybercriminels ne s’intéressent qu’aux grandes entreprises, ce qui est faux.

Pourtant, près de la moitié des petites entreprises (45 %) a été victime d’une cyberattaque aléatoire au cours de la dernière année, selon un sondage mené en 2022 par la Fédération canadienne de l’entreprise indépendante (FCEI). De plus, 27 % des petites entreprises ont subi une attaque ciblée.

Toute entreprise qui dispose d’un site Web, qui traite des transactions ou qui stocke des données de clients, toutes tailles confondues, s’expose à un risque et pourrait être tenue pour responsable en cas de perte ou de vol de données, ou de compromission de la sécurité de celles-ci.

Quels sont les cyberrisques qui guettent votre entreprise?

Les petites entreprises sont souvent des cibles faciles pour les cybercriminels, car elles ne disposent pas de systèmes de défense en profondeur comme les grandes entreprises, par exemple des pare-feu de réseau, l’authentification à deux facteurs et des outils de protection contre la fraude. Des pirates peuvent même se servir de petites entreprises qu’ils considèrent comme un maillon faible pour accéder à d’importants fournisseurs ou clients.

Les conséquences financières de tels incidents peuvent être lourdes : pertes de revenus et de productivité et coûts imprévus engagés pour répondre aux atteintes à la protection des données et les résoudre. Il est également possible que des coûts aient à être engagés pour aviser les clients de la perte de leurs données ou de la compromission de la sécurité à cet égard. Les atteintes à la réputation qui en découlent peuvent aussi avoir des conséquences à long terme, telles que la perte de clients.

Des atteintes en matière de cybersécurité, soit des atteintes à la protection des données ou des fuites de données, signifient habituellement qu’il y a vol de données, lesquelles peuvent ensuite faire l’objet d’une demande de rançon, d’une vente sur le Web clandestin ou d’une utilisation à des fins de vol d’identité. Une atteinte à la protection des données peut passer inaperçue pendant des semaines, voire des mois, alors que les cybercriminels peuvent menacer de vendre ou de divulguer ces données sensibles.

Les pirates ont recours à des moyens de plus en plus perfectionnés grâce à l’utilisation de l’intelligence artificielle générative. Voici quelques exemples de cyberrisques :

Hameçonnage : forme de piratage psychologique au moyen de laquelle les cybercriminels envoient des courriels ou des textos frauduleux destinés à manipuler les employés pour qu’ils téléchargent des logiciels malveillants ou partagent des données sensibles, ce qui peut entraîner des pertes de données, des vols d’identité et des attaques par rançongiciel.

Harponnage : il s’agit d’une autre forme de piratage psychologique selon laquelle un employé reçoit un courriel frauduleux d’un cybercriminel qui se fait passer pour son supérieur, courriel dans lequel le cybercriminel demande des données sensibles (telles que les données de connexion au système de gestion des relations avec la clientèle de l’entreprise).

Rançongiciel : si un cybercriminel réussit à percer la sécurité entourant le réseau, il peut chiffrer les données afin que les employés ne puissent plus y accéder, à moins qu’une rançon ne soit payée, généralement en bitcoins. Cependant, même lorsque la rançon est payée, rien ne garantit que les cybercriminels rétabliront l’accès à toutes les données (et ils ont toujours la possibilité d’en vendre une partie sur le Web clandestin).

Attaque par déni de service : cette attaque se produit lorsqu’un cybercriminel submerge de requêtes le réseau, de sorte que celui-ci ne peut pas répondre ou tombe en panne. Par conséquent, les employés et les clients ne peuvent pas accéder à des services comme leurs courriels, leurs comptes en ligne ou des sites Web.

Ce ne sont pas toutes les atteintes à la protection des données qui sont liées à une cyberattaque aléatoire ou ciblée. Par exemple, si un employé est pressé de se rendre à une réunion et que, sans faire exprès, il oublie son porte-documents dans un taxi et que ce porte-documents contient des renseignements confidentiels sur les clients, il y a un risque d’atteinte à la protection des données.

En quoi consiste l’assurance des cyberrisques?

Certains propriétaires de petites entreprises ne se sentent pas concernés par l’assurance des cyberrisques, surtout s’ils n’utilisent pas beaucoup de technologies. Ils peuvent aussi croire qu’ils n’en ont pas les moyens. Mais même les toutes petites entreprises sont exposées à un risque de sinistre.

Et bien souvent, le sinistre finit par coûter beaucoup plus cher que la prime d’assurance des cyberrisques. En fait, la cybercriminalité et la fraude (y compris l’hameçonnage et l’extorsion) ont coûté aux Canadiens plus de 500 millions de dollars en 2022, selon la GRC.

L’assurance des cyberrisques est conçue pour protéger les petites entreprises contre certains sinistres liés à des cyberattaques et à des atteintes à la protection des données, telles que les frais pour répondre à un incident, les frais de récupération des données et les services de relations publiques.

Par exemple, si votre entreprise est victime d’un piratage informatique et que des renseignements personnels de vos clients font l’objet d’un vol, votre assurance des cyberrisques pourrait vous aider à couvrir les frais juridiques en cas de réclamation, les frais de restauration du réseau ou les services d’une firme de relations publiques, afin que vous puissiez reprendre vos activités le plus rapidement possible.

La cybersécurité pour les petites entreprises

Les clients de TruShield Assurance ont non seulement accès à l’assurance des cyberrisques, mais aussi à des services de soutien fournis par Cyberscout, un chef de file en matière de services de gestion des risques liés aux données. Ces services comprennent des conseils sur les mesures à prendre en amont pour protéger votre entreprise des menaces informatiques, ainsi qu’un accompagnement pour bien répondre à une atteinte à la protection des données, le cas échéant, dans le cadre de la gestion de crise, de l’aide pour aviser les clients et des conseils en matière de relations avec les médias.

Les clients de TruShield ont également accès au site Web de Cyberscout, sur lequel ils pourront trouver des conseils sur la protection des données, des règlements en matière d’atteinte à la protection des données, des guides sur le chiffrement et des modèles de plans d’intervention pour répondre à un incident.

L’assurance des cyberrisques offre une protection supplémentaire contre les risques auxquels les entreprises font face, et ce, peu importe leur taille ou leur secteur d’activité. Elle devrait faire partie intégrante de votre police d’assurance des petites entreprises.

Dotez-vous d’une police d’assurance des cyberrisques adaptée à votre entreprise afin de bien la protéger

Il faut voir la réalité en face : n’importe quelle entreprise peut être victime d’une cyberattaque. Notre équipe peut travailler avec vous pour veiller à ce que votre police couvre les cyberrisques auxquels vous faites face. Commencez vos démarches en consultant notre page sur l’assurance des cyberrisques et des atteintes à la protection des données.

 

Le présent billet est fourni uniquement à titre informatif et ne vise pas à remplacer les conseils de professionnels. Nous ne faisons aucune assertion et n’offrons aucune garantie relativement à l’exactitude ou à l’intégralité des renseignements présentés. Nous ne pourrons en aucun cas être tenus responsables des pertes pouvant découler de l’utilisation de ces renseignements.