Photo by John Salvino on Unsplash

Guide de cybersécurité 101 pour PME: pas une question de si mais de quand…

Le Centre canadien pour la cybersécurité (le («CCC») du gouvernement fédéral publiait récemment des recommandations pour les PME afin d’améliorer leur cybersécurité. Ce document, intitulé Contrôles de cybersécurité de base pour les petites et moyennes organisations, présente les contrôles de cybersécurité de base, à l’aide de conseils et de lignes directrices dont les PME peuvent s’inspirer pour améliorer la sécurité de leur systèmes de TI.

Comme chacun le sait, bien qu’on entend souvent parler des problèmes de sécurité qu’éprouvent des entreprises de taille, les PME, elles-aussi, éprouvent leur lot de problème de cybersécurité, dont parce qu’elles négligent souvent cette question. eh oui, bien que leurs problèmes soient moins susceptibles de faire la une des journaux, les PME aussi subissent des contrecoups d’actes de cyberpiratage. Lorsqu’un incident survient, les organisations victimes peuvent alors subir des pertes liées à la productivité de leur personnel, des coûts liés à l’interruption des affaires, au vol de renseignements confidentiels, aux coûts liés à l’intervention d’experts en sécurité ou en informatique, etc. Le document publié par le CCC vise à aider nos PME face à ce type de risques.

Le guide propose notamment aux PME d’évaluer cinq (5) points quant à leur cybersécurité :

  • Évaluez la taille de l’organisation;
  • Déterminez les types de TI utilisés;
  • Déterminez la valeur des biens et des systèmes d’information;
  • Confirmez le niveau de la cybermenace;
  • Confirmez les niveaux d’investissement dans la cybersécurité.

Une fois cette analyse effectuée, on propose ensuite aux organisations une dizaine de démarches qu’on nomme les «contrôles de base» visant à réduire le risque d’incident éventuel et ce qu’on fera si (quand) un problème de cybersécurité survient effectivement. Cela comprend :

  • Élaborez un plan d’intervention en cas d’incident;
  • Appliquez automatiquement les correctifs aux systèmes d’exploitation et aux applications;
  • Activez des logiciels de sécurité (anti-virus, etc.);
  • Configurez les dispositifs pour assurer la sécurité;
  • Utilisez une authentification forte (par ex. 2FA);
  • Formez et sensibilisez votre personnel en cyberécurité 101;
  • Sauvegardez et chiffrez vos données;
  • Sécurisez les appareils mobiles utilisés par le personnel;
  • Établissez un périmètre de défense de base (par ex. coupe-feu, etc.);
  • Sécurisez l’infonuagique et ce que vous utilisez à l’externe;
  • Sécurisez votre sites Web et son contenu (par ex. en appliquant la norme OWASP);
  • Mettez en œuvre des contrôles d’accès et autorisation;
  • Sécurisez les supports amovibles utilisés par le personnel.

Le guide CCC rappelle finalement aussi à toutes les organisations (incluant les PME) qu’à l’heure actuelle, il s’avère statistiquement quasi-inévitable qu’elles subissent tôt ou tard un cyberincident ou une atteinte à la protection des données. L’idée pour toutes les organisations devrait être de s’y préparer, en évitant de simplement s’enfouir la tête dans le sable, comme le font malheureusement encore bon nombre de PME.