Conseils Pensez cybersécurité pour les petites et moyennes entreprises

Version Adobe Acrobat (PDF 991 Ko)

Si vous êtes comme la plupart des petites et moyennes entreprises au Canada, Internet est un outil indispensable pour réussir à l'ère numérique. Que vous ayez un site Web ou non, vous utilisez probablement Internet pour accomplir vos tâches quotidiennes, comme la messagerie électronique, les services bancaires et la commande de fournitures. Toutefois, plus vous utilisez Internet pour votre entreprise, plus grands sont les risques que vous soyez confronté à des problèmes. C'est pourquoi nous avons recueilli quelques conseils qui vous aideront à améliorer le plan de cybersécurité de votre entreprise, afin que vous puissiez demeurer à l'abri du piratage et du vol de données, entre autres. Si vous souhaitez examiner la question plus en profondeur et de manière plus instructive, ou si vous voulez consulter l'outil d'autoévaluation de la cybersécurité, vous pouvez télécharger notre guide à l'intention des petites et moyennes entreprises à l'adresse Pensezcybersecurite.ca.

Questions touchant la direction

Un bon plan de cybersécurité commence en haut de l'échelle d'une entreprise – si vous lisez le présent document, c'est probablement que vous y êtes. Voici quelques étapes à suivre pour lancer votre plan adéquatement : 

  1. Élaborez et mettez en œuvre un plan de cybersécurité qui décrit clairement les pratiques exemplaires pour tous les employés.
  2. Attribuez la responsabilité de la cybersécurité de votre entreprise à au moins un employé, et assurez-vous de lui fournir des instructions claires quant au travail à accomplir.
  3. Déterminez quels risques constituent des menaces faibles, moyennes et élevées pour votre entreprise – cette étape vous aidera à établir l'ordre de priorités.
  4. Si vous avez des préoccupations d'ordre juridique concernant la cybersécurité, n'hésitez pas à consulter des experts (p. ex. conseiller juridique).
  5. Expliquez à vos employés les politiques et les normes afin qu'ils comprennent pourquoi vous voulez qu'elles soient mises en place, à qui elles s'appliquent, leur importance, et les risques pour eux et pour l'entreprise s'ils ne les respectent pas.
  6. Il est facile de sous-estimer combien un bon plan de cybersécurité peut coûter, alors assurez-vous d'établir un budget réaliste.

Sécurité sur le Web

C'est simple : votre entreprise a un accès à Internet parce que vos employés en ont besoin pour accomplir leur travail (et parfois pour prendre une pause). Dans tous les cas, ils l'utilisent. Voici certaines mesures que vous pouvez prendre dans le cadre de votre programme de cybersécurité pour vous assurer que leurs pratiques de navigation n'ont aucune conséquence sur eux ou sur votre entreprise :

  1. Restreignez le type de sites Web auxquels les employés ont accès – cela vous permettra d'exclure les sites qui pourraient compromettre votre réseau.
  2. Informez vos employés des logiciels qu'ils peuvent installer en toute sécurité et demandezleur d'obtenir la permission avant de télécharger de nouveaux programmes.
  3. Rédigez une politique sur l'utilisation d'Internet à l'intention du personnel et affichezla à un endroit accessible où tous pourront la consulter. La politique devrait définir les règles relatives aux types de renseignements que vos employés peuvent partager en ligne au sujet de l'entreprise.
  4. Mettez à jour tous vos logiciels opérationnels lorsque vous recevez des avis à cet égard afin que tous les correctifs de sécurité soient à jour.
  5. Exigez de vos employés qu'ils aient des mots de passe complexes contenant des lettres, des nombres et des symboles afin qu'ils soient plus difficiles à voler pour les cybercriminels.
  6. Méfiez-vous toujours des appels téléphoniques, des courriels et des autres communications provenant d'une source inconnue.

Sécurité des points de vente (PDV)

Le système de points de vente (PDV) de votre entreprise exige une connexion Internet pour le traitement des transactions – il s'agit pratiquement d'une exigence, si vous voulez satisfaire votre clientèle. Toutefois, tout ce qui exige une connexion Internet comporte des risques à la sécurité. Voici quelques façons de vous assurer que les cybercriminels n'utilisent pas votre système des PDV à des fins malveillantes :

  1. N'utilisez pas le nom d'utilisateur et le mot de passe par défaut fournis par le fabricant.
  2. Assurez-vous que votre système des PDV est protégé par un pare-feu.
  3. Mettez en œuvre un système de chiffrement efficace pour l'ensemble des données transmises (remarque : le fournisseur de services devrait l'avoir activé par défaut).
  4. Accordez un accès aux données des clients uniquement aux employés qui en ont absolument besoin.
  5. Assurez-vous que tous les logiciels antimaliciels sont à jour, étant donné que de nouvelles mises à jour de la sécurité sont ajoutées fréquemment pour contrer les nouveaux types de maliciels.
  6. Si vous avez des préoccupations concernant la sécurité de votre système des PDV, vous pouvez communiquer avec votre fournisseur de services.

Sécurité du courrier électronique

De nos jours, le courrier électronique est nécessaire pour toutes les entreprises. Le fait de recevoir un grand nombre de courriels est habituellement un gage de succès, mais l'hameçonnage et les pourriels peuvent constituer une menace. Voici quelques conseils pour réduire ces risques :

  1. Mettez en place un filtre antipourriel – cette étape vous permettra de vous débarrasser de la plupart des courriels, possiblement les plus nuisibles, envoyés par les cybercriminels. Ne transférez jamais de courriels possiblement malveillants à d'autres employés.
  2. Ne cliquez pas sur des liens non vérifiés ou douteux – le simple fait de cliquer sur un lien peut fournir des renseignements de nature délicate qu'un cybercriminel pourrait utiliser pour vous nuire ou nuire à votre entreprise.
  3. Gardez confidentiels les renseignements sur vos employés et vos clients, puisqu'ils pourraient être utilisés pour nuire à vos employés ou à votre entreprise.
  4. Activez la connexion HTTPS pour le service de messagerie Web, qui chiffre les données et fait essentiellement en sorte qu'il est impossible pour les cybercriminels d'avoir accès aux renseignements dans votre navigateur.
  5. Établissez des normes strictes relativement aux mots de passe pour tous les comptes de messagerie utilisés au travail (d'entreprise ou personnels).
  6. Au besoin, utilisez des courriels génériques – par exemple, info@nomdelentreprise.com – pour les adresses électroniques qui sont publiées dans des endroits publics (comme sur votre site Web ou sur les médias sociaux).

Sécurité des données

Les données sont la pierre angulaire de votre entreprise – sans elles, vous n'avez rien. Bref, il faut les protéger. Voici des conseils à cet égard :

  1. Effectuez fréquemment une sauvegarde de vos données vers un disque dur externe, un serveur ou un service en ligne – il est essentiel d'avoir plusieurs copies de sauvegarde en cas de défaillance de l'une d'elles.
  2. Téléchargez ou achetez des logiciels de sauvegarde automatique pour assurer régulièrement la sauvegarde de vos systèmes
  3. Conservez des copies de sauvegarde physiques (p. ex. disque dur externe) à l'extérieur de votre établissement, dans un endroit sûr.
  4. Préparez un système de démarrage d'urgence sur DVD ou clés USB en cas de panne du système.
  5. Étiquetez adéquatement tous les renseignements de nature délicate pour en assurer un traitement adéquat.
  6. Lorsque vous éliminez des données, assurez-vous de tout détruire – déchiquetez tous les documents papier et les CD – afin qu'aucun renseignement ne puisse être recueilli et utilisé contre vous.

Sécurité de l'accès à distance

L'accès à distance permet à vous et à vos employés de vous connecter à votre réseau d'entreprise de n'importe quel endroit dans le monde. Fantastique, non? Bien qu'utile, cette commodité apporte son lot de risques à la sécurité de votre entreprise. Voici quelques façons de limiter ces risques :

  1. Connectez-vous à distance au moyen d'un réseau virtuel privé (RVP).
  2. Limitez l'accès à votre réseau aux employés autorisés qui ont un réel besoin opérationnel.
  3. Lorsque vous travaillez de la maison, sécurisez adéquatement votre réseau sans fil avant d'utiliser votre RVP.
  4. N'utilisez pas une connexion sans fil inconnue lors de vos déplacements.

Sécurité des appareils mobiles

Les appareils mobiles et les dispositifs de conservation de données portatifs (comme les clés USB) permettent d'accroître la productivité de votre entreprise et facilitent la communication. Par contre, les données qu'ils contiennent pourraient être utilisées pour porter atteinte à votre entreprise. Voici quelques façons d'assurer la sécurité de vos appareils mobiles :

  1. Assurez-vous que tous vos appareils mobiles (téléphones, tablettes) sont munis de mots de passe d'accès au système et sont verrouillés lorsqu'ils ne sont pas utilisés.
  2. Sauvegardez adéquatement les données sur vos appareils mobiles en utilisant les fonctions intégrées de sécurité ou en installant un logiciel antimaliciel.
  3. Chiffrez toutes les données de nature délicate qui se trouvent sur vos dispositifs de conservation portatifs.
  4. Assurez-vous d'appliquer les conseils qui figurent aux sections Sécurité sur le Web et Sécurité du courrier électronique à vos habitudes relatives à l'utilisation des appareils mobiles.

Sécurité physique

La sécurité de votre entreprise dépend des personnes qui y ont accès. Vous avez peut-être déjà pensé à protéger les systèmes de votre entreprise contre les visiteurs et les anciens employés, mais il y a d'autres éléments à prendre en considération pour protéger votre entreprise :

  1. Accordez à vos employés uniquement l'accès dont ils ont besoin.
  2. Demandez à vos employés de verrouiller leur ordinateur et de ranger leurs documents de nature délicate avant de quitter leur poste.
  3. Créez et mettez en application une politique de sécurité pour les employés.
Date de modification :