Les petites entreprises détiennent souvent les mêmes types d’informations sensibles sur leurs clients que les grandes entreprises. Cette situation, associée à un manque de ressources en matière de cybersécurité, en fait une cible de choix pour les pirates informatiques.
Selon une récente enquête de la SBA, 88 % des dirigeants de petites entreprises estiment que leur entreprise est vulnérable à une cyberattaque. Pourtant, de nombreuses entreprises n’ont pas les moyens de s’offrir des solutions informatiques professionnelles, n’ont que peu de temps à consacrer à la cybersécurité ou ne savent pas par où commencer.
La meilleure façon pour les dirigeants de petites entreprises d’être correctement préparés est de s’informer sur les menaces courantes et d'apprendre à se défendre contre une cyberattaque.
Les cybermenaces les plus courantes pour les petites entreprises
Fraude par ingénierie sociale
La fraude par ingénierie sociale consiste à manipuler des personnes pour qu’elles divulguent des informations confidentielles telles que des mots de passe, des numéros de sécurité sociale ou des informations relatives à des cartes de crédit. La forme la plus courante de fraude par ingénierie sociale est l’envoi d’e-mails d’hameçonnage, conçus pour donner l’impression qu’ils proviennent d’une organisation légitime ou d’une personne connue et pour inciter les victimes à verser de l’argent ou à divulguer des données sensibles. Une petite entreprise qui cherche de nouveaux produits et fournisseurs - par exemple, pour l’aider à systématiser ses activités quotidiennes - peut être exposée à la fraude par ingénierie sociale. Vérifiez la crédibilité de l’organisation avant de répondre à des e-mails ou de cliquer sur des liens.
Possibilités de télétravail
De nombreuses petites entreprises offrent la possibilité de télétravailler et, si le télétravail présente certains avantages, il peut aussi exposer les entreprises à un éventail de risques en matière de cybersécurité. Avec un effectif dispersé géographiquement, il est important que le personnel soit encore plus attentif au respect des règles de cyber-hygiène.
Logiciels malveillants ou malwares
Les logiciels malveillants sont des logiciels conçus intentionnellement pour perturber et endommager un ordinateur ou un réseau, ou pour obtenir un accès non autorisé à des informations privées. Il s’agit par exemple des virus et des logiciels rançonneurs (ransomwares). Bien que les attaques par ransomware soient généralement associées aux grandes entreprises, 50 à 70 % des attaques par ransomware visent en réalité les petites et moyennes entreprises - et la plupart des petites entreprises font faillite dans les six mois suivant une attaque.1
Les bonnes pratiques pour améliorer la cybersécurité des petites entreprises
-
Formez vos employés
Les cybercriminels évoluant et devenant de plus en plus habiles, il est essentiel de tenir régulièrement informés vos employés des nouveaux protocoles. Plus vos employés en sauront sur les cyberattaques et sur la manière de protéger vos données, plus votre entreprise sera en sécurité. Rappelez-leur régulièrement de ne pas ouvrir les pièces jointes ou de ne pas cliquer sur les liens dans les e-mails provenant de personnes qu’ils ne connaissent pas ou auxquels ils ne s’attendent pas ; décrivez les procédures de chiffrement des informations personnelles ou sensibles ; et formez vos employés à effectuer une double vérification s’ils reçoivent des demandes urgentes pour effectuer des paiements imprévus, une escroquerie fréquente.
-
Instaurez des pratiques sûres en matière de mots de passe
De nombreuses violations de données sont dues à des mots de passe faibles, volés ou perdus. Dans le monde actuel où l’on travaille à partir de ses propres appareils, il est essentiel que tous les appareils des employés qui accèdent au réseau de l’entreprise soient protégés par un mot de passe. Demandez aux employés de modifier régulièrement leurs mots de passe en les invitant automatiquement à le faire tous les 60 à 90 jours.
-
Assurez-vous d’avoir les bons partenaires et les bonnes plateformes
La qualité de votre cybersécurité est fonction de la sécurité des plateformes et des partenaires dont dépend votre entreprise. Vérifiez les points suivants :
- Disposez-vous d’un pare-feu d’applications Web pour protéger votre site ?
- Votre plateforme de commerce en ligne est-elle conforme aux normes PCI-DSS (normes de sécurité des données de l’industrie des cartes de paiement) de niveau 1 ? Cela vous protégera contre les atteintes à la sécurité des données numériques dans l’ensemble de votre réseau de paiement, et pas seulement pour une seule carte.
- La société qui héberge votre site web dispose-t-elle d’un personnel qui corrige régulièrement les failles de sécurité afin de réduire la probabilité d’attaques ?
- Vérifiez que chaque ordinateur de l’entreprise est équipé d’un logiciel antivirus. Même après avoir formé les employés sur la façon d’identifier un e-mail d’hameçonnage, ils peuvent encore être vulnérables à ce type d’attaques.
-
Protégez votre matériel
Les violations de données peuvent également être causées par le vol de biens matériels. Si vos serveurs, ordinateurs portables, téléphones portables ou autres appareils électroniques ne sont pas protégés et sont faciles à voler, vous prenez un risque important. Les caméras de sécurité et les alarmes sont utiles, mais le verrouillage physique des ordinateurs et des serveurs l’est encore plus. Que vos employés travaillent à domicile, dans un espace de coworking ou dans un bureau traditionnel, assurez-vous qu’ils comprennent comment protéger le matériel de leur entreprise.
-
Sauvegardez régulièrement toutes les données
Quel que soit votre degré de vigilance en matière de stratégies de cybersécurité, des violations de données peuvent toujours se produire. Les informations les plus importantes à sauvegarder sont les suivantes :
- Les bases de données
- Les fichiers financiers
- Les fichiers de ressources humaines
- Les fichiers de comptes débiteurs et créditeurs
Veillez également à sauvegarder toutes les données stockées sur un lecteur en ligne et vérifiez régulièrement votre sauvegarde pour vous assurer qu’elle fonctionne correctement.
Votre compagnie d’assurance peut également proposer des services de conseil en cybersécurité et de gestion des risques : renseignez-vous auprès de votre agent ou de votre courtier lorsque vous choisissez votre couverture de cyber-assurance. Vous pouvez également faire appel à un expert externe pour évaluer les risques !
1 https://www.inc.com/amrita-khalid/ransomware-hackers-crime-cybersecurity-tips.html
2 https://www.sba.gov/business-guide/manage-your-business/stay-safe-cybersecurity-threats
3 https://www.ftc.gov/business-guidance/small-businesses/cybersecurity
4 https://www.cisa.gov/publication/stopthinkconnect-small-business-resources
Ce document est d’ordre informatif et constitue une ressource à utiliser conjointement avec les recommandations de vos conseillers en assurance entreprise dans le cadre de votre programme de prévention des sinistres. Il s’agit d’une simple présentation qui n’a pas vocation à se substituer à un rendez-vous avec votre courtier d’assurance ou à des recommandations d’ordre juridique, technique et professionnel. Chubb est le nom commercial utilisé pour désigner les filiales de Chubb Limited qui fournissent des services d’assurance et connexes. Pour obtenir une liste de ces filiales, veuillez consulter notre site Web sur www.chubb.com. Certains produits peuvent ne pas être disponibles dans tous les pays. Cette communication comporte uniquement des présentations de produit. La couverture est soumise à la langue des polices d’assurance réellement émises.
Vous souhaitez en savoir plus sur nos produits et nos services ?
Nos équipes vous répondent et peuvent vous accompagner avec l'aide de votre courtier pour trouver des solutions d'assurance.