homme d'affaires saisissant son nom d'utilisateur et son mot de passe sur un téléphone intelligent

Cybersécurité 101 : Protéger votre petite entreprise contre l’hameçonnage

Cybersécurité 101 : Protéger votre petite entreprise contre l’hameçonnage

Résumé
8 minutes de lecture

L’hameçonnage est un type fréquent de cybercrime menaçant les petites et moyennes entreprises. Les fraudeurs peuvent vous inciter à installer des logiciels malveillants ou de rançon, ou encore vous dérober des renseignements confidentiels. Le présent article vous informera sur :

  • ce qu’est l’hameçonnage;
  • ses formes les plus courantes;
  • la marche à suivre si vous en êtes victime;
  • les façons de vous en protéger;
  • l’utilité d’une assurance cyberrisques pour votre entreprise.

Lorsqu’il s’agit de cybersécurité, nous sommes tous vulnérables. Même votre entreprise.

Et quel est le principal moyen utilisé par les cybercriminels pour infiltrer votre réseau? L’hameçonnage.

Selon le Centre canadien pour la cybersécurité, en 2023 seulement, plus de 70 000 cas d’arnaque et de fraude en ligne, y compris les attaques par hameçonnage, ont été signalés au Canada. Ces menaces sont plus présentes que jamais. Seriez-vous en mesure de les déceler?

Et sauriez-vous comment bien en protéger votre entreprise?

Comprendre l’hameçonnage et les tactiques les plus courantes

L’hameçonnage, c’est un peu comme aller à la pêche. Mais, plutôt que de vouloir attraper du poisson, les cybercriminels cherchent à soutirer vos renseignements.

Ils tentent donc de vous appâter au moyen de courriels trompeurs, de faux sites Web, ou encore d’appels ou textos frauduleux. Leur but : vous amener à leur fournir vos renseignements confidentiels, comme votre numéro de carte de crédit, vos mots de passe, ou d’autres types de données.

Vous avez sûrement déjà reçu des appels de fraudeurs vous annonçant que vous avez gagné un forfait vacances et vous demandant de donner votre numéro de carte de crédit pour obtenir votre prix. C’est de l’hameçonnage.

Dans le monde numérique d’aujourd’hui, les attaques par hameçonnage sont de plus en plus perfectionnées. Elles sont tellement insidieuses qu’un geste anodin, comme cliquer sur un lien ou télécharger une pièce jointe, peut vous déjouer. Les fraudeurs misent sur l’erreur humaine pour vous faire tomber dans le panneau en envoyant ces messages à partir d’adresses très similaires à celles de personnes ou d’organisations de confiance.

En cliquant sur le lien contenu dans le message, vous leur donnez accès à votre système pour y installer un logiciel malveillant ou de rançon, ou encore pour dérober vos données.

Les attaques par hameçonnage les plus courantes et les moyens de les déjouer

Les cybercriminels peuvent être très créatifs pour parvenir à leurs fins. Les méthodes d’hameçonnage sont de plus en plus complexes et les fraudeurs trouvent constamment de nouveaux moyens pour mettre la main sur vos renseignements.

Voici les deux types d’attaques par hameçonnage les plus courantes dans le monde des affaires, et la meilleure façon de réagir à chacune.

Imposteurs de courriels professionnels

Les imposteurs de courriels professionnels imitent le format des messages de votre organisation. Ils communiquent avec d’autres personnes en prétendant faire partie de votre organisation, dans un but malveillant.

Sous les traits d’un membre de votre entreprise, ils peuvent tenter d’accéder aux réseaux internes d’autres personnes et organisations, comme vos clients ou vos fournisseurs. Ce type d’arnaque donne une mauvaise image de votre entreprise et peut entraîner de graves répercussions sur votre réputation et vos ventes.

Il importe d’être proactif pour protéger les actifs de vos clients, et votre réputation. Si des fraudeurs s’attaquent à votre entreprise, vous devez agir sans tarder.

Signalez l’incident.

Avisez les autorités et, le cas échéant, contactez la personne dont l’identité a été usurpée.

Avisez vos clients.

Prévenez vos clients que vous avez été victime de fraudeurs et rappelez-leur de ne pas transmettre leurs renseignements personnels. Incitez-les à contacter les autorités en cas d’atteinte à la protection de leurs propres données.

Alertez votre équipe.

Après avoir informé les autorités et vos clients, alertez l’ensemble des membres de votre équipe. Dites‑leur d’être à l’affût de toute activité inhabituelle et de signaler toute nouvelle tentative de fraude.

Arnaques de soutien technique

Ces fraudes sont l’œuvre de cybercriminels qui prétendent faire partie d’une équipe de soutien technique d’une grande organisation bien connue et communiquent avec vous par téléphone, par fenêtre contextuelle ou par courriel.

Les arnaqueurs vous annoncent avoir constaté un problème technique ou une menace à la sécurité touchant votre ordinateur. Ils vous inciteront ensuite à y remédier. Voici quelques exemples de leurs tactiques :

  • Ils vous demandent d’accéder à distance à votre ordinateur.
  • Ils vous demandent d’installer un logiciel sur votre système.
  • Ils essaient de vous vendre un logiciel ou des services de TI.
  • Ils vous proposent un programme de garantie.
  • Ils vous dirigent vers un faux site Web.
  • Ils vous demandent les renseignements de votre carte de crédit afin de « payer » pour de faux services.

Des organisations de toutes les tailles ont été victimes de ce type d’hameçonnage. Il est important de sauvegarder vos données, de mettre à jour vos logiciels et votre matériel, et d’établir un plan pour minimiser les dommages causés par ces arnaques. Voici les mesures à prendre si vous croyez en avoir été victime.

Signalez l’incident.

Contactez les autorités pertinentes et signalez la fraude.

Changez vos mots de passe dès que possible.

Changez immédiatement vos mots de passe et établissez-en un différent pour chaque compte ou service.

Contactez l’émetteur de votre carte de crédit.

Demandez à l’émetteur de votre carte de crédit d’annuler les opérations frauduleuses et consultez attentivement vos prochains relevés pour y noter toute irrégularité.

Procédez à une vérification de la cybersécurité.

Mandatez un professionnel de la cybersécurité pour vérifier s’il y a eu des intrusions dans vos réseaux.

Tirez profit de votre logiciel de sécurité.

Exécutez régulièrement votre logiciel de sécurité pour repérer toute activité inhabituelle susceptible de causer des problèmes sur votre système. Il est important de le mettre à jour périodiquement.

Quelles mesures puis-je prendre pour protéger mon entreprise contre l’hameçonnage?

Il est peut-être plus simple que vous ne le croyez de protéger votre petite ou moyenne entreprise contre l’hameçonnage. Voici comment vous pouvez en déjouer les tentatives :

  1. Encouragez le scepticisme.
  2. Dans le cas de courriels ou de messages non sollicités, rappelez aux membres de votre équipe d’y penser à deux fois avant de télécharger une pièce jointe ou de cliquer sur un lien transmis par un inconnu. Incitez-les à faire des recherches et à vérifier l’authenticité de la personne ou de l’entreprise qui les a contactés. Il est impératif d’avoir l’œil aiguisé : certains fraudeurs excellent à prétendre être quelqu’un d’autre ou faire partie d’organisations fiables. Examinez attentivement les messages pour y relever des erreurs d’orthographe ou de grammaire.

  3. N’hésitez pas à demander de l’aide.
  4. Même après avoir fait des recherches, vous pourriez encore avoir des doutes sur l’expéditeur. Ne tenez pas pour acquis que votre entreprise est hors de danger. Parlez à un membre de votre équipe ou communiquez avec un expert des TI. Ils pourront vous aider à relever tout indice de menace ou vous confirmer qu’il s’agit d’une tactique courante d’hameçonnage.

  5. Protégez votre infrastructure.
  6. L’établissement de mots de passe sur tous vos appareils n’est que la première mesure à prendre pour préserver vos fichiers, vos appareils et votre réseau sans fil. Rehaussez le degré de protection de votre entreprise par d’autres actions concrètes : établir l’authentification multifacteur, créer une copie de sauvegarde de vos fichiers, configurer la mise à jour automatique de vos systèmes, modifier les paramètres par défaut de votre routeur, et crypter vos appareils, votre routeur et vos fichiers.

  7. Établissez un plan.
  8. Évitez les interruptions prolongées en établissant un plan en cas de cyberincident. Celui-ci doit énoncer les lignes directrices pour la sauvegarde de données, préciser les communications avec vos clients et partenaires, et viser la poursuite des activités de votre entreprise.

  9. Communiquez avec le prétendu expéditeur.
  10. Il n’y a pas de mal à communiquer avec une autre personne de l’entreprise qui a soi-disant envoyé le courriel. Même si la personne n’est pas l’expéditeur réel, elle devrait être en mesure d’en confirmer l’authenticité. Si quelqu’un prétend vous appeler au nom de l’émetteur de votre carte de crédit, par exemple, raccrochez, puis rappelez. Cependant, n’utilisez pas les coordonnées fournies dans le message ou l’appel suspect.

  11. Instaurez une culture de la sécurité.
  12. En responsabilisant les membres de votre équipe et en leur offrant de la formation continue, vous les aiderez à repérer les tentatives d’hameçonnage ou les activités suspectes, et les inciterez à les signaler.

    En étant informé et vigilant, vous pouvez réduire le risque d’être victime d’hameçonnage et bien protéger les renseignements confidentiels de votre entreprise.

  13. Songez à souscrire une assurance cyberrisques.
  14. Une attaque par hameçonnage peut entraîner des conséquences très coûteuses.

    Il existe des polices d’assurance cyberrisques pour vous protéger en cas d’atteinte à la sécurité de vos données, de diverses cyberattaques, d’attaques contre des données hébergées chez des tiers et d’attaques terroristes.

Avant d’en souscrire une, posez-vous les questions suivantes :

  • Mon entreprise sera-t-elle protégée en cas de poursuite judiciaire?
  • La police prévoit-elle des protections supplémentaires?
  • L’assureur fournit-il un numéro à composer pour obtenir une assistance immédiate en cas d’atteinte à la sécurité de mes données?

La cybersécurité doit être une priorité pour votre organisation. Il est crucial de vous prémunir contre les attaques par hameçonnage. En veillant à la protection de vos appareils et de votre infrastructure de TI, vous pouvez établir une culture de la sécurité, prévenir les attaques coûteuses et préserver la réputation de votre entreprise.

Votre organisation a-t-elle été la cible d’une attaque par hameçonnage? Vous n’êtes pas seul.

Si votre organisation a été la cible d’une attaque par hameçonnage, il est important de savoir que vous n’avez pas à gérer tout cela vous-même. Nos services de gestion des cyberincidents sont en mesure de réagir rapidement, puis de coordonner l’action à la suite d’une attaque.

Nous pouvons vous aider à réduire au minimum l’incidence des cyberattaques ainsi que l’atteinte à la réputation de votre entreprise et les dommages financiers possibles. Communiquez avec notre équipe de spécialistes pour évaluer votre degré de préparation contre les cyberincidents ou pour vous renseigner sur la façon dont nous pouvons vous aider à protéger votre infrastructure de TI.

Qui est Drew Buhr?

Établi à Edmonton, Drew est le leader national de l’évaluation de la cybersécurité au sein de MNP Solutions numériques. Comptant près de 20 ans d’expérience, Drew travaille auprès d’organisations des secteurs public et privé pour les aider à mieux comprendre leurs risques en matière de cybersécurité et les mesures à prendre pour s’en prémunir. Il détient de nombreux titres, dont ceux de CISA et de CISSP, et propose un éventail de services, notamment l’évaluation des risques, l’exécution de tests d’intrusion et l’élaboration de stratégies.

Points de vue

  • Performance

    30 octobre 2024

    Faits saillants de l’énoncé économique d’automne de l’Ontario

    Voir le sommaire de MNP sur les faits saillants de l’énoncé économique d’automne 2024 de l’Ontario.

  • Performance

    24 octobre 2024

    La Nouvelle-Écosse annonce une baisse du taux de la TVH pour avril 2025

    La Nouvelle-Écosse a annoncé récemment une baisse d’un point de pourcentage de la TVH, avec prise d’effet le 1er avril 2025.

  • Performance

    18 octobre 2024

    Comment la cartographie des processus peut-elle vous aider à améliorer vos affaires?

    La cartographie des processus peut contribuer à améliorer les rendements et l’efficacité d’une entreprise.