Ces mythes qui peuvent tuer votre compagnie

Mythe 1 : Nous sommes trop petits pour être attaqués

Je l’entends régulièrement : « Non, nous n’avons pas besoin de cybersécurité, nous sommes trop petits. Pourquoi est-ce que les cybercriminels s'intéresseraient à nous?. »

Commençons par le début, quelle est la définition d’une cyberattaque?

À sa base, une cyberattaque est un abus de pouvoir, par un groupe ou une personne, qui utilise ces connaissances technologiques, pour empêcher votre société d’opérée, la prendre en otage, dans le but de vous soutirer de l’argent. C’est de l’intimidation. Dans certains cas, cela implique également une dose d’extorsion, après avoir pris également vos données en otage.        

Et quel est le but d’un cybercriminel?

Trouver la faille, dans le but de l’exploiter pour en tirer un profit. Par n’importe quel moyen.        

Est-ce que vous croyez que ces groupes de cybercriminels vont cibler directement votre société? La réponse évidente est non. Ils le feront pour des sociétés en vue, qui sont cotées en bourse, pour avoir un maximum de levier et d’impact.

Mais alors, qu’en est-il pour la PME?

Pour la PME, qui représente désormais 82% de toutes les cyberattaques (NinjaOne, 2024), les cybercriminels font ce que j’appelle, de la pêche à la dynamite. Ils envoient des quantités énormes (voir des centaines de milliers) de courriels qui ont soit des liens pour compromettre votre identité ou carrément un logiciel malveillant déguisé en pièce jointe inoffensive.

Donc qu’est-ce qui détermine si une société se fait attaquer ou est ciblée? Sa taille? Sa valeur? Ces actifs? Non.

Elle sera attaquée si quelqu’un à l’intérieur de cette entité clique sur cette pièce jointe.

Donc, cela n’a rien à voir avec la taille. Vous pouvez être deux employés ou 20,000. Vous ferez tout de même partie de la liste des victimes.

Ce qui va changer, c’est la taille de la rançon.

Car soyons clairs, une fois que le lien est cliqué, ce n’est que le début de l’aventure, et pendant quelques mois, les cybercriminels passeront beaucoup de temps à inspecter et enquêter sur votre société, et ce, à votre insu. Ainsi, lorsqu’ils décideront d’en finir, ils sauront exactement combien d’argent est dans vos comptes. Ils auront pris le temps d’effacer vos sauvegardes et d’extraire toutes les données qu’ils trouveront d’intérêt.

Que faire pour se protéger?

L’idée est de venir mettre un interrupteur à la base de l’attaque. Prévenir plutôt que guérir.

Donc si nous revenons au scénario plus tôt, que se passe-t-il si vous avez déployé des outils qui filtrent adéquatement les courriels pour mettre en quarantaine les courriels infectés et que vous avez mis une protection de vos appareils de type EDR (Endpoint Detection & Response) pour bloquer les logiciels et scriptes malveillants?

Vous venez de vous sauver d’incalculables heures de tentative de reconstruction, de restauration de données et de tentative de prouver à votre assureur ce qui s’est passé. Sans compter, l’impact réputationnel lié à une cyberattaque.

Quelle est la règle pour définir le budget de cybersécurité?

Ce fut une excellente question qui m’a été posée durant ma conférence à ITSec 2024.

La réponse, je ne connais pas de règle du pouce pour évaluer combien investir en cybersécurité. Mais je connais une règle du pouce pour évaluer combien les cybercriminels vont demander en rançon en cas de cyberattaque réussie : 80% de vos comptes bancaires.

Depuis combien d’années avez-vous investi pour la création de se fond, qui est peut être votre retraite, ou ce qui vous permet de passer à travers des périodes plus creuses de votre marché?

En un clic, ceci peut être pratiquement réduit à néant.

En conclusion

Se penser à l’abri parce que l’on est trop petit est un mythe. La seule chose qui intéresse les cybercriminels est l’argent. Si vous êtes encore en affaires, c’est parce que vous en avez. C’est l’essence même avec laquelle carbure votre entreprise. Plus d’argent, plus d’entreprise, vous devenez incapable de payer employé.e.s et fournisseurs. C’est la fin.

Donc, avant que la fin n’arrive prématurément, mettez en place des mesures préventives pour assurer que vous resterez en vie pour combattre un autre jour.

Vous ne savez pas par où commencer? N'hésitez pas à m'en parler. Ma mission, après tout, est de démocratiser la cybersécurité auprès des PME.