CYBERSÉCURITÉ
CYBERSÉCURITÉ Cyberattaques contre des PME: les risques encourus De nombreuses entreprises pensent qu’elles ne présentent aucun intérêt pour les pirates informatiques. Pourtant, les cyberattaques constituent une menace réelle également pour les PME. Quels sont les risques liés à Internet, et comment s’en protéger? Texte Melanie Ade L a digitalisation permet d’optimiser et donc d’accélérer les processus tout en faisant baisser les coûts. Mais elle augmente aussi le risque d’être victime d’une cyberattaque. En 2021, plus de 30 000 infractions numériques ont été signalées en Suisse, soit une augmentation de 24% par rapport à 2020. Les PME, en particulier, sont de plus en plus visées par les hackers, car elles ne peuvent investir autant dans leur sécurité informatique que les grands groupes. Tobias Ellenberger, expert en cybersécurité et CEO de l’entreprise Oneconsult, passe en revue les principaux cyberrisques pesant sur les PME et explique comment s’en prémunir. Phishing et smishing Le phishing (ou hameçonnage) désigne la tentative de se faire passer pour un expéditeur de confiance dans le cadre d’une communication électronique à travers des e-mails ou des messages falsifiés. Cette escroquerie vise à obtenir de l’utilisateur des informations financières, des données d’accès ou d’autres données sen- Assurance Cyber d’AXA L’assurance Cyber d’AXA protège votre entreprise contre les préjudices financiers et juridiques ainsi que les atteintes à la réputation consécutives à une cyberattaque. L’outil gratuit «Cyber-Check et protection pour les PME» vous indique le niveau de votre entreprise en matière de sécurité informatique et vous explique comment vous protéger des cyberattaques. axa.ch/cyber sibles, ou à lui faire ouvrir un document. L’objectif peut être de vider un compte, d’usurper une identité ou d’installer un logiciel malveillant, par exemple. Que pouvez-vous faire? Sensibilisez vos collaboratrices et vos collaborateurs à ce sujet. Montrez-leur à quoi ressemble généralement un e-mail de phishing. Si un e-mail vous semble suspect, posez-vous les bonnes questions: est-il plausible que cette personne m’écrive? Est-ce que j’attends un message de cet expéditeur? Fiez-vous à votre intuition, et en cas de doute, appelez l’expéditeur avant de cliquer sur un lien ou d’ouvrir une pièce jointe. Systèmes non actualisés Les systèmes obsolètes ont tendance à présenter des lacunes de sécurité et des failles que les cybercriminels n’hésitent pas à exploiter. Les pirates disposent désormais de systèmes perfectionnés leur permettant d’identifier les systèmes et les ordinateurs vulnérables et d’agir Mon ENTREPRISE 22 03/2022
CYBERSÉCURITÉ Mon Entreprise rapidement. Les systèmes qui ne sont pas mis à jour régulièrement sont donc particulièrement exposés aux cyberattaques. Que pouvez-vous faire? Mettez systématiquement à jour vos logiciels. Plus ils sont récents, plus leur sécurité est élevée. Activez les mises à jour automatiques qu’offrent la plupart des programmes. Actualiser votre système d’exploitation et vos logiciels doit devenir une routine quotidienne. Installez un pare-feu pour protéger votre réseau d’entreprise contre les dangers d’Internet. Et utilisez un bon programme antivirus. Assurez-vous que la protection soit bien activée, et le logiciel, à jour. Si, en plus, vous effectuez une analyse quotidienne, vous disposerez d’une bonne protection contre les attaques et pourrez réagir à temps. Whaling Le whaling est un autre type d’arnaque consistant à utiliser de fausses identités pour inciter des entreprises à virer de l’argent. Il s’agit généralement de faux e-mails, bien imités, qui semblent provenir d’un membre de la direction de l’entreprise. Sous des prétextes prétendument fondés, ils invitent le destinataire à verser de fortes sommes d’argent sur un compte à l’étranger. Les bonnes usurpations ne sont souvent pas identifiables, car les coupables se renseignent à l’avance sur l’entreprise. Les collaboratrices ou collaborateurs chargés de l’exécution sont souvent mis sous pression et tenus de ne pas divulguer le versement. Que pouvez-vous faire? Sensibilisez votre personnel: l’être humain est le facteur clé en matière de cybersécurité. Des formations régulières et des campagnes de communication internes peuvent être très utiles. Si votre entreprise ne dispose pas du savoir-faire correspondant en interne, faites appel à un expert externe pour proposer des formations. Si vous remarquez des anomalies dans des e-mails, telles que des formules de politesse inhabituelles, assurez-vous par une prise de contact personnelle que l’e-mail ou l’ordre sont bien réels. Utilisez pour cela un autre canal que celui utilisé pour vous contacter (si vous avez par exemple reçu un e-mail, appelez votre interlocuteur ou donnez-lui rendez-vous à la cafétéria). (Romance) scam Dans ce type de fraude, de faux profils sont créés sur les médias sociaux et sur des sites de Oneconsult SA fait partie du groupe d’entreprises Oneconsult, fondé en 2003, avec des bureaux à Zurich, à Berne et à Munich. Ses spécialistes en cybersécurité conseillent la clientèle sur les menaces internes et externes dans le domaine de la sécurité de l’information et accompagnent régulièrement des entreprises dans la résolution d’attaques au rançongiciel ou similaires. oneconsult.com «Si une protection absolue contre les cyberattaques est pratiquement impossible, vous pouvez réduire considérablement le risque pour votre entreprise grâce à des mesures de prévention appropriées.» Tobias Ellenberger, CEO de Oneconsult SA rencontre afin de simuler une relation amoureuse avec quelqu’un et d’obtenir un soutien financier de sa part. Il s’agit de la forme numérique de l’escroquerie au mariage. Les arnaques au placement financier et aux petites annonces sont également répandues. Que pouvez-vous faire? Les PME ne sont certes pas une cible directe de ces arnaqueurs aux sentiments, mais toute entreprise se compose d’êtres humains susceptibles de se retrouver impliqués dans une telle situation, ce qui peut aussi influencer leurs actes au travail. Là encore, la vigilance et une certaine dose de scepticisme sont de mise. Le romance scam est plus répandu qu’on ne le pense: rien qu’en Suisse, 4 millions de francs ont été dérobés de cette façon au premier semestre 2022. De ce fait, n’envoyez jamais d’argent ou de biens à des personnes que vous n’avez encore jamais rencontrées! Rançongiciel Le rançongiciel est une catégorie spécifique de logiciel qui bloque l’accès à des appareils ou crypte les données qui y sont contenues. Une rançon est ensuite réclamée à la victime pour le rétablissement de l’accès ou des données. Que pouvez-vous faire? Sauvegardez régulièrement vos données hors ligne: vous aurez au moins la certitude de ne pas les avoir complètement perdues après une attaque. Définissez une procédure de sauvegarde adaptée à vos besoins et appliquez-la de manière rigoureuse. Sensibilisez votre personnel à l’utilisation prudente de la messagerie électronique et simulez le scénario «catastrophe»: votre entreprise pourrait-elle encore fonctionner après une telle attaque? À titre préventif, faites appel à un expert qui pourra vous recommander des mesures complémentaires. ● Remarque Vous trouverez de nombreuses informations complémentaires sur tous ces sujets et ces risques sur le site Web du Centre national pour la cybersécurité (NCSC): ncsc.admin.ch 03/2022 23 Mon ENTREPRISE
Stay in touch