En 2007, plus de 74 millions de numéros de carte de crédit ont été volés dans les ordinateurs de T.J. Maxx. Cette attaque, qui a été l’une des premières grandes affaires de cyberresponsabilité, a contribué à sensibiliser le public à l’une des plus importantes menaces de l’ère de l’information : des voleurs qui, avec pour seules armes un clavier et une souris, ne dérobent rien d’autre que des données.

Certains propriétaires d’entreprise croient qu’ils sont à l’abri des cybercrimes, et que seules les grandes multinationales en sont victimes. Mais la triste réalité, c’est que virtuellement toutes les entreprises sont exposées au risque de cyberresponsabilité. Et même si toutes ne sont pas aux prises avec les mêmes enjeux de relations publiques que T.J. Maxx, ce genre de mauvaise publicité peut détruire une réputation et saper la confiance des clients.

Qu’est-ce que la cyberresponsabilité?

La cyberresponsabilité se rapporte aux risques de faire des affaires dans le monde numérique, notamment ceux liés au commerce électronique, aux ordinateurs, aux réseaux et aux autres actifs informationnels. Il est presque certain que vous utilisez un ordinateur pour faire rouler votre entreprise; il est donc important de vous protéger contre les criminels qui cherchent à s’approprier vos informations sensibles.

Le cybercrime est l’un des secteurs d’activités criminelles qui connaît la plus forte croissance. Il serait très difficile de couvrir tous les types de cybercrimes dans un seul article. Nous nous concentrerons donc sur les vols de données et les dommages causés aux ordinateurs et aux réseaux informatiques.

Comment les cybercrimes peuvent-ils nuire à votre entreprise?

Le cybercrime peut prendre différentes formes. Par exemple :

• Un virus informatique peut endommager vos logiciels et vos données.
• Des pirates informatiques peuvent vous voler des renseignements confidentiels et des actifs de propriété intellectuelle.
• Des pirates peuvent « détourner » votre site Web, c’est-à-dire remplacer son contenu par de la fausse information ou des pseudo-données.

Le cybercrime peut avoir des répercussions non seulement sur vous, mais aussi sur vos employés, vos clients et tous ceux avec qui vous faites affaire. Par exemple, si vous vous faites voler ou si vous perdez un ordinateur portable contenant des renseignements personnels sur vos employés ou vos clients (adresse, date de naissance, numéro d’assurance sociale, numéro de carte de crédit, etc.), ces personnes risquent de se faire voler leur identité si l’information tombe entre de mauvaises mains.

Comment protéger votre entreprise?

Voici 12 conseils pour limiter l’exposition de votre entreprise aux cybercrimes :

1. Élaborez des politiques de sécurité de l’information où vous résumez vos attentes à l’égard de l’entreprise et des employés en matière de technologies et d’information. Ces attentes doivent être simples, réalistes, et comprises des employés. Vérifiez également que votre personnel comprend bien les risques de cyberintrusion.
2. Installez un pare-feu et un antivirus pour bloquer le plus possible les accès non autorisés. Il pourrait aussi être utile d’utiliser un système de détection des intrusions pour augmenter vos chances de détecter les intrus qui tentent d’accéder à votre réseau.
3. Mettez à jour vos systèmes et vos logiciels régulièrement afin de toujours utiliser les versions les plus récentes.
4. Utilisez des mots de passe, composés de préférence d’au moins huit caractères et d’une combinaison de lettres minuscules et majuscules, de signes de ponctuation, de caractères spéciaux et de chiffres. Ne réutilisez pas vos anciens mots de passe.
5. Verrouillez votre ordinateur lorsque vous quittez votre bureau.
6. Cryptez vos données, surtout celles qui sont confidentielles, essentielles à vos activités ou stockées sur des appareils portables. N’oubliez pas que les téléphones intelligents peuvent contenir autant, sinon plus, de données qu’une dizaine de classeurs!
7. Réservez l’utilisation des appareils portables aux employés qui en ont vraiment besoin pour accomplir leur travail. Demandez-vous s’il est vraiment nécessaire d’enregistrer de l’information sensible sur ces appareils et, dans l’affirmative, assurez-vous que des mécanismes de sécurité appropriés en restreignent l’accès. Voyez s’il n’y a pas lieu d’utiliser un câble de sûreté et un cadenas pour verrouiller les ordinateurs portables aux bureaux des employés en tout temps.
8. Assurez-vous que les accès à distance à votre réseau sont sécurisés. Vérifiez auprès de votre administrateur de réseau si on peut accéder à votre réseau autrement qu’avec un réseau privé virtuel. Demandez-lui aussi si vos transmissions sans fil sont protégées à l’aide de mécanismes WPA ou WPA2, du protocole de sécurité pour IP ou du protocole SSL.
9. Faites régulièrement des copies de sauvegarde de vos données et gardez-les dans un endroit sûr à l’extérieur de votre lieu de travail.
10. Protégez vos données sensibles, surtout celles qui concernent les clients et les employés, à l’aide de mécanismes de protection adaptés à leur importance et à leur degré de confidentialité. Veillez à conserver l’information seulement pour la période nécessaire et à détruire ensuite les données de façon sûre.
11. Faites des vérifications sur vos fournisseurs de services externes. L’efficacité de vos pratiques de sécurité dépend des gens qui les mettent en application. Avant d’impartir certaines fonctions, comme le traitement de la paie, l’hébergement Web ou le traitement des données, comparez les pratiques et les normes de sécurité du fournisseur potentiel aux vôtres. Consignez par écrit les engagements du fournisseur envers vous sous forme de contrat.
12. Contrôlez les accès internes à votre système – les menaces ne viennent pas juste des pirates. Donnez seulement à vos employés un accès aux systèmes dont ils ont besoin pour accomplir leur travail. Quand une personne quitte l’entreprise, désactivez immédiatement ses accès et récupérez les appareils électroniques qu’elle a en sa possession.

N’hésitez pas à demander de l’aide. La cyberresponsabilité est un enjeu complexe. Il peut être avantageux d’embaucher un expert pour évaluer les cyberrisques et les effets potentiels d’une intrusion sur vos finances.