Cet écran a été partagé à partir de La Presse+ Édition du 12 octobre 2017,
section AFFAIRES, écran 6

Protection des données

Il n’y a pas de secret… il faut répéter

Attirés par de juteux profits jumelés à un faible risque de se faire prendre, les escrocs du crime organisé se sont tranquillement emparés du monde du piratage informatique au fil des dernières années. Et ils veulent vos données. Comment les PME peuvent-elles s’assurer de protéger les données de leurs clients ?

Simon Lord Collaboration spéciale

Sensibiliser

L’investissement le plus rentable est l’investissement dans la sensibilisation des employés, estime Laurent Carlier, directeur chez Richter et spécialiste en sécurité informatique.

« Les antivirus, pare-feu et autres systèmes de défense sont plus sophistiqués que jamais, dit-il. Les pirates ciblent donc le prochain maillon faible : l’employé. »

Ils font notamment de l’hameçonnage : ils créent des courriels ou pages web qui sont des répliques de ceux de l’entreprise visée pour pousser l’utilisateur à fournir des mots de passe.

Il est donc primordial de former les employés à reconnaître ce type de fraude et ne pas ouvrir n’importe quel courriel ou fichier attaché.

Répéter

Une bonne campagne de sensibilisation à la sécurité informatique ressemble généralement à une bonne campagne de sensibilisation en santé et sécurité au travail : elle fait preuve de beaucoup de répétition.

« C’est comme du marketing, dit Laurent Carlier. Il ne faut pas avoir peur de se répéter. »

Expliquez donc le même concept de différentes façons : « ne partagez pas vos mots de passe parce que ce n’est pas sécuritaire », « ne donnez pas vos mots de passe », « choisissez un mot de passe complexe », « si vous recevez un courriel du président, dites-vous qu’il s’agit peut-être d’un virus ».

« La cybercriminalité est un fléau plus important que jamais. Avec la Loi sur la protection des renseignements personnels, les entreprises doivent s’assurer de protéger les données de leurs clients. »

— Laurent Carlier, directeur chez Richter

Dirigeants

Les cadres sont parfois plus réticents que les autres à suivre les règles et politiques de sécurité informatique.

« Ils demandent, par exemple, de ne pas devoir changer leur mot de passe tous les 30 jours comme tout le monde ou décident de donner leur mot de passe à leur adjointe », raconte Laurent Carlier. Non seulement ces dirigeants donnent ainsi un mauvais exemple, ce qui diminue leur capacité de convaincre les employés de suivre les règles, mais encore ils compromettent la protection des données des clients.

Les patrons et gestionnaires de PME doivent plutôt donner l’exemple et suivre les règles.

Maison

Les PME doivent également sensibiliser leurs employés à l’importance de faire preuve de vigilance à la maison, explique Laurent Carlier. Car il est plus facile pour un pirate d’attaquer une entreprise – et de lui dérober ses données – s’il détient des renseignements personnels sur les employés.

Un pirate qui vous envoie, par exemple, un courriel vous demandant de confirmer votre mot de passe pour « faire une mise à jour », mais avec en fait l’intention de vous le voler, aura plus de chances de réussir s’il personnalise son message en y saupoudrant des renseignements personnels : date de naissance, adresse, etc. Il sera plus crédible.

Sceller les issues

Une autre façon de s’assurer de protéger les données clients est simplement de faire en sorte qu’aucun document informatique ne puisse sortir de l’entreprise, explique Joris Faure, architecte, GIA et sécurité, chez SII Canada.

Une PME pourrait ainsi empêcher les utilisateurs de copier des fichiers sur un disque, de les partager sur les réseaux sociaux ou de les envoyer par courriel. Elle pourrait aussi stocker les données moins confidentielles dans le nuage et garder les données sensibles sur des disques sans accès au web.

Pour cela, une entreprise doit avant tout décider de ce qui est sensible ou pas.

Crypter ses données

Chiffrer tous ses fichiers est un travail de grande ampleur. Mieux vaut identifier d’abord les fichiers contenant les données clients les plus sensibles, comme les documents juridiques.

Il existe plusieurs solutions. Magasinez. Une PME peut aussi souvent demander une démonstration, ce qui est idéal parce qu’elle doit s’assurer que le système est assez simple et efficace pour être utilisé efficacement par un ensemble d’utilisateurs.

« Les PME n’ont pas toujours un grand service de soutien informatique, dit Joris Faure. Les solutions utilisées doivent donc être simples, abordables et faciles à utiliser et gérer au jour le jour. »

Ce texte provenant de La Presse+ est une copie en format web. Consultez-le gratuitement en version interactive dans l’application La Presse+.