Passer au contenu principal
Deux personnes examinent ensemble des données via un téléphone intelligent, alors qu'elles sont devant leur ordinateur
Canada
Fraude

« La question n’est pas de savoir si vous allez être piraté, mais quand »

 Découvrez cinq stratégies d’expert pour protéger les données de votre entreprise des malfaiteurs.

Quand une entreprise ferme, comment être certain que ses données ne tomberont pas en mauvaises mains?

Rien n’est moins certain si l’on se fie à l’exemple du détaillant canadien de matériel informatique NCIX, qui a fait faillite à la fin de 2017 et dont les serveurs, qui contenaient notamment des informations sur ses clients et ses employés, se sont retrouvés à vendre sur Craigslist.

La question ne se pose seulement en cas de vente d’entreprise ou de faillite. 60 % des PME qui se font pirater font faillite dans les 6 mois qui suivent. La situation est d’autant plus critique depuis le 1er novembre, de nouvelles dispositions de la Loi sur la protection des renseignements personnels et les documents électroniques étant entrées en vigueur.

Dorénavant, toutes les entreprises qui possèdent, utilisent ou hébergent des données doivent informer les personnes concernées si la sécurité de leurs données personnelles a pu être compromise. Pareilles obligations vont obliger les entreprises à mieux protéger les données en leur possession puisque les pénalités vont de 10 000 $ à 100 000 $ par infraction constatée.

Voici donc cinq façons de mieux protéger vos données.

1. Si vous vous débarrassez de matériel désuet, « le plus sûr consiste à détruire matériellement le disque dur » selon la BDC

Il est aussi possible de recycler le matériel, mais « les programmes de formatage ne se valent pas tous », met en garde Simon Fontaine, président fondateur d’ARS Solutions, une entreprise de Québec spécialisée en cybersécurité. « Certains programmes formatent à un niveau standard, ou bien à un niveau dit “gouvernemental”. Or, des outils permettent d’annuler ce formatage. Le niveau le plus sécuritaire est le formatage dit “militaire”, un processus irréversible. »

2. Privilégiez la gestion locale des données, avec serveurs dédiés. « Avec le cloud, on est toujours à la merci du contrat qu’on a signé, et rien ne garantit que les données ont été complètement effacées », insiste M. Fontaine. Pis encore : quand on n’a pas signé de contrat et qu’on profite d’une solution gratuite, de type Dropbox.

« Le prix de la gratuité, c’est la perte de contrôle sur les données. Avec un stockage local, vous gardez ce contrôle. Cependant, cryptez vos données importantes et faites des copies de sauvegarde, pour pouvoir réagir en cas de rançonnage. Et attention : La grande majorité (95 %) des copies que nous vérifions chez ARS ne sont d’aucune utilité. Soit personne n’a pris la peine de faire une mise à jour régulière, soit personne n’a pris la peine de s’assurer que le matériel fonctionnait toujours bien. »

3. Ne conservez pas inutilement trop d’information, comme des renseignements sur un employé parti il y a 2 ans ou le numéro de carte de crédit d’un ancien client. 

« La question n’est pas de savoir si vous allez être piraté, mais quand, alors autant essayer de limiter les dégâts, explique M. Fontaine. Par exemple, les accès des administrateurs des réseaux restent souvent actifs malgré le départ de ces derniers, or, avec ces infos, n’importe qui peut accéder à toutes vos données d’entreprise. »

4. Demandez à des experts en cybersécurité d’aller sur le Web invisible (dark Web) scanner votre nom de domaine et tous les noms d’utilisateurs connexes, idéalement pendant plusieurs semaines ou plusieurs mois, conseille M. Fontaine. « Vous n’avez pas idée de ce qu’on y trouve pour quelques dollars. » 

ARS a d’ailleurs offert de le faire il y a quelques mois à titre promotionnel : sur les 60 entreprises qui ont profité de l’offre, presque toutes y avaient des mots de passe volés. « Les gens ne se rendent pas compte qu’ils ont été piratés ou qu’ils sont en train de l’être. Et ceux qui se sont fait piéger n’osent pas le dire. Pourtant, l’utilisation, entre autres, de générateurs de mots de passe permet d’éliminer la menace en partie. »

5. Adoptez une solution SIEM (Security Information and Event Management, ou gestion des informations et des incidents de sécurité). Concrètement, celle-ci permet de savoir qui a accès aux données, quand et comment. « Est-ce normal qu’un employé qui travaille en production accède, par exemple, aux informations du service de la comptabilité à 11 heures du soir? Probablement pas. »

Et si vos employés ont le droit d’utiliser leur propre appareil, assurez-vous d’y installer un logiciel (comme Intune de Microsoft) qui vous permettra de déterminer à quelles informations ils ont le droit d’accéder, et de leur retirer ce droit au besoin.

Pour en savoir plus

Les questions de sécurité informatique touchent particulièrement les CPA, qui peuvent aider à réduire les cyberrisques. Pour vous familiariser avec le sujet, vous pouvez lire cette introduction à la cybersécurité pour les CPA et cet article consacré au rôle que peuvent jouer les comptables dans la lutte contre les cybermenaces.

Vous pouvez également consulter notre rapport expliquant comment faire du Canada un chef de fil dans une économie axée sur le numérique et les données, ou encore explorer notre section de ressources disponibles en matière de cybersécurité.