Les cyber-arnaques et la technologie : ce que les petites et moyennes entreprises doivent savoir
Publié le octobre 28, 2024 • 5 min de lecture
Le récent numéro de la publication in Focus de l’organisme Chartered Professional Accountants of British Columbia (CPABC) présente une entrevue avec Michael Argast, co-fondateur de Kobalt.io. Il y révèle les cybermenaces qui pèsent sur les PME, le rôle de la technologie dans la sophistication accrue de ces menaces, et les moyens de s’en protéger.
Alimentées par l’IA et par l’automatisation, le raffinement et la fréquence des cyber-attaques ciblant les PME étaient en hausse au cours de la dernière année. Les stratégies elles-mêmes ne sont pas nouvelles, mais les progrès technologiques ont facilité le repérage et l’exploitation des vulnérabilités des entreprises.
Voici quelques-unes des principales menaces et tendances auxquelles font face les PME.
Piratage psychologique
Le piratage psychologique consiste à manipuler une personne pour lui faire divulguer des renseignements confidentiels. Bien qu’il s’agisse de l’exploitation de la nature humaine en jouant sur des émotions comme la confiance et le sentiment d’urgence, les progrès technologiques ont permis aux cybercriminels de ratisser plus large afin d’augmenter leurs gains.
« L’IA est utilisée de diverses façons aujourd’hui, explique M. Argast. Elle peut être employée pour rédiger un contenu apte à accrocher une cible particulière. Si vous voulez que votre texte semble provenir d’un chef de la direction, par exemple, vous pouvez fournir plusieurs de ses anciens textes à l’IA et demander à celle-ci de rédiger un courriel avec le même ton et le même langage. »
M. Argast indique aussi que les outils vidéo et vocaux sont de plus en plus répandus, permettant même de tromper des employés qui pensent, de bonne foi, avoir affaire à une personne légitime. « Vous pouvez utiliser un échantillon de quatre secondes de la voix de quelqu’un pour l’imiter de façon suffisamment réaliste pour permettre de tenir des conversations en temps réel », ajoute-t-il.
Risque lié à l’utilisation de tiers prestataires
M. Argast explique que la plupart des entreprises ne stockent pas leurs propres données, ce qui leur complique la tâche d’établir et de maintenir un niveau de protection optimal. « La plupart des organisations, non outillées pour héberger leurs propres données, confient cette tâche à des tiers prestataires de logiciels-services et de services infonuagiques. Et ces tiers prestataires font constamment l’objet de cyber-attaques réussies. »
En ciblant ces fournisseurs, les cybercriminels peuvent accéder aux données de milliers d’organisations en une seule intrusion.
Courriels d’affaires compromis
Ce genre d’escroquerie consiste à envoyer un courriel qui semble provenir d’une source connue faisant une demande légitime. Là encore, l’IA a rendu ces escroqueries plus sophistiquées et faciles à exécuter.
« La fraude par courriel d’affaires et par transfert est beaucoup plus perfectionnée qu’on ne le pense. Il ne s’agit plus d’un courriel d’aspect douteux demandant un transfert de fonds vers un compte à l’étranger, précise M. Argast. Dissimulés dans vos systèmes de courriel pendant des semaines, voire des mois, les courriels d’aujourd’hui peuvent s’insérer dans une chaîne de communication en cours, ce qui leur confère une grande crédibilité. Et les fraudeurs sont à même de cibler votre plus important transfert de fonds en six mois ».
Comment protéger votre entreprise
Voici quelques suggestions de M. Argast :
Entrepreneurs solo
-
Utilisez un autre mode de communication pour vérifier la légitimité d’une demande. Les cybercriminels n’attaquent généralement qu’un canal à la fois. Ainsi, si vous recevez un courriel demandant un transfert de fonds ou des renseignements, utilisez un autre mode de communication (téléphone, vidéo, Slack) pour contacter l’autre partie qui soi-disant fait la demande de fonds ou de renseignements.
-
Utilisez le chiffrement, la protection par mot de passe et les logiciels anti-programme malveillant pour vos communications et vos systèmes.
-
Utilisez l’authentification multifacteur lorsque c’est possible.
-
Faites appel à un prestataire de services en nuage de bonne réputation.
PME avec 5 à 10 employés
-
Tous les conseils qui précèdent, plus :
-
Faites appel à une société spécialisée dans le cybercrime pour réaliser une évaluation des risques, afin de vous permettre de prioriser vos investissements en cybersécurité.
Entreprises avec plus de 20 employés
-
Tous les conseils qui précèdent, plus :
-
Mettez en œuvre une norme sectorielle comme l’ISO 270011.
L’un des meilleurs moyens de protéger votre entreprise, toutefois, est d’utiliser les services d’experts en cybersécurité. « Nombre de propriétaires de petite entreprise pensent qu’ils doivent établir une équipe interne responsable de la cybersécurité, mais de bons prestataires de tels services peuvent vous protéger pour une fraction du coût que vous encourriez pour le faire vous-même, explique M. Argast. Ils connaissent les meilleures pratiques et peuvent adapter leurs services à la taille de l’entreprise. »
Lisez l’entrevue complète avec Michael Argast ici pour découvrir les principaux enjeux de cybersécurité pour les PME et comment rester à l’avant-garde de l’évolution de la cybercriminalité alimentée par l’IA et l’automatisation.
Téléchargez le Guide de prévention de la fraude et de cybersécurité RBC pour avoir des listes de vérification, des stratégies et des conseils exhaustifs afin de mieux protéger votre entreprise.
Le présent article vise à offrir des renseignements généraux seulement et n’a pas pour objet de fournir des conseils juridiques ou financiers, ni d’autres conseils professionnels. Veuillez consulter un conseiller professionnel en ce qui concerne votre situation particulière. Les renseignements présentés sont réputés être factuels et à jour, mais nous ne garantissons pas leur exactitude et ils ne doivent pas être considérés comme une analyse exhaustive des sujets abordés. Les opinions exprimées reflètent le jugement des auteurs à la date de publication et peuvent changer. La Banque Royale du Canada et ses entités ne font pas la promotion, ni explicitement ni implicitement, des conseils, des avis, des renseignements, des produits ou des services de tiers.
Partager cet article