Woman with eye glasses with a computer reflection of data and cyber

La plus grande cyber-menace largement ignorée par les petites entreprises

A photo of Zair Kamal, Treaty Product Manager and Cyber Expert for HSB Canada

Une séance de questions-réponses avec Zair Kamal, Gestionnaire, Produits de traités et Cyber-expert chez HSB Canada

Quelle est la plus grande cyber-menace largement ignorée par les petites entreprises?

Connected network of email reach

Je crois que c’est l’élément humain. Une organisation peut avoir toute la technologie en place, mais si une personne ne sait pas ce qu’elle peut faire avec cette technologie, ou n’est pas informée sur les cyber-risques, la technologie peut devenir peu pratique.

Prenons par exemple l’ingénierie sociale, et en particulier les attaques d’hameçonnage par courriel. Avec 129 milliards de courriels professionnels échangés chaque jour1, une attaque simple et rapide pourrait entraîner des gains importants aux « mauvais acteurs ». Il suffit qu’une personne clé soit dupée pour transférer de l’argent à un criminel se faisant passer pour le cadre supérieur de l’entreprise, ou encore qu’un seul collègue clique sur le lien hypertexte d’un courriel d’hameçonnage, téléchargeant accidentellement des logiciels malveillants pour infecter un réseau tout entier.

Outre l’hameçonnage, quelles sont les autres vulnérabilités humaines?

Security padlock in network space

En plus des actes de commission, je crois qu’il y a des menaces découlant de l’omission. Par exemple, les fabricants de logiciels ne fourniront les correctifs de sécurité appropriés qu’après avoir été informés de ces vulnérabilités.

Il est facile pour les personnes de devenir complaisantes et de remettre à plus tard l’analyse des programmes logiciels et le signalement de vulnérabilités aux entreprises de conception de logiciels.

Un autre risque est l’omission d’appliquer des correctifs de sécurité. En fonction de la configuration d’une organisation, l’installation de correctifs système peut entraîner des temps d’arrêt de celle-ci. Des vulnérabilités commencent à émerger lorsque les entreprises ne prennent pas le temps d’installer des correctifs importants.

Quelle est la manière efficace de gérer l’aspect humain du cyber-risque?

A woman training employees

Quatre-vingt-quinze pour cent de tous les cyber-incidents sont d’origine humaine, y compris les cyber-attaques, les violations de données et les attaques de rançongiciels2.

Les humains semblent être le maillon le plus faible dans la sécurité et la gestion des risques. La gestion de l’aspect humain des cyber-menaces implique des approches centrées sur les personnes, comprenant des programmes de formation et de sensibilisation diligents et fréquents, fournis à tous les employés, des premières lignes à la haute direction.

Comment le télétravail a-t-il influencé le cyber-risque?

Man using a laptop in a park

Le travail à distance est devenu une nécessité en ces temps particuliers et bien qu’il comporte de nombreux avantages, il présente aussi un accroissement des risques.

Dans un environnement de bureau normal, il est facile de faire respecter la conformité aux protocoles de sécurité. Cependant, lorsque les personnes travaillent à distance, elles peuvent devenir moins diligentes. Des exemples de comportements laxistes peuvent comprendre l’introduction d’un ordinateur personnel dans un réseau de travail à distance; l’abandon d’un ordinateur portable de travail dans une voiture, ce qui en fait une cible de vol; ou l’utilisation d’une clé USB infectée.

Et si les gens disent « Je n’ai pas besoin d’une cyber-protection »?

IT specialists holding a laptop and discussing work

Le cyber-risque doit être considéré de la même manière que le risque immobilier. Un propriétaire d’immeuble commercial typique est susceptible d’installer des avertisseurs d’incendie, des détecteurs de fumée et des caméras de sécurité, ainsi que d’engager des agents de sécurité, en plus de souscrire une assurance des biens des entreprises.

Bien sûr, une organisation peut investir dans une infrastructure informatique dotée de réseaux et de protocoles de sécurité solides.

Ceux-ci rendront l’attaque provenant de « mauvais acteurs » plus difficile, mais l’entreprise ne sera pas invincible pour autant. Une organisation ne peut jamais être totalement sécurisée.

 

Finalement, il s’agit d’atténuer les risques plutôt que de les éliminer. Il est difficile d’éliminer les cyber-risques, toutefois, les mesures appropriées peuvent contribuer à atténuer les risques.

Zair Kamal et son équipe s’efforcent d’aider les assureurs partenaires à relever les défis émergeant de notre monde numérique et des cyber-risques grâce à des couvertures ainsi qu’à des services en matière de gestion des risques adaptés aux petites entreprises clientes.
1 Radicati, « Email Statistics Report 2015-2019 »
2 Nobles, Calvin, Fellow en politique de cyber-sécurité, Université du Maryland. « Botc hing Human Factors in Cybersecurity in Business Organizations », Holistica – Journal of Business and Public Administration, 2018

Cet article est à titre informatif seulement et n’est pas destiné à transmettre ou à constituer un avis juridique. HSB ne fait aucune représentation ni ne donne aucune garantie quant à l’exactitude ou à l’intégralité du contenu des présentes. En aucun cas HSB ni toute partie impliquée dans la création ou la livraison de cet article ne pourra être tenu responsable envers vous, de toute perte ou tout dommage résultant de l’utilisation des informations contenues dans le présent document. Sauf autorisation écrite expresse de HSB, aucune partie de cet article ne peut être reproduite, copiée ou distribuée de quelque manière que ce soit. Cet article ne modifie pas ni n’invalide aucune des dispositions, exclusions, termes ou conditions de la police et des avenants applicables. Pour connaître les termes et dispositions spécifiques, veuillez vous référer au formulaire d’assurance applicable.