L’importance de mettre en place des contrôles face aux risques numériques est primordiale. En effet, les cyberattaques et les crimes économiques n’arrivent pas qu’aux autres… Ils sont de plus en plus présents et fréquents. En 2022, selon le rapport annuel du Centre antifraude du Canada, les pertes financières signalées s’élevaient à 530,4 M$ comparativement à 383 M$ en 2021[1], ce qui constitue des montants importants et une hausse considérable.
La question n’est plus de savoir si cela nous arrivera, mais plutôt quand un événement se produira. Ces attaques peuvent être faites en lot pour tenter d’hameçonner quelques personnes ou entreprises. Qui n’a pas déjà reçu un texto d’une banque, du gouvernement ou d’une autre entité pour obtenir un remboursement non demandé ? Il peut aussi s’agir d’une attaque ciblée et personnalisée.
Les moyens à la disposition des malfaiteurs sont de plus en plus nombreux et de plus en plus sophistiqués. Votre organisation doit donc s’assurer d’avoir une bonne sécurité en place et de bons contrôles et réflexes. Voici quelques exemples réels afin de mieux vous outiller.
Changement de coordonnées bancaires d’un fournisseur
Vous avez reçu un courriel de votre fournisseur vous demandant de modifier le numéro de son compte bancaire lors du prochain paiement de facture par Internet ?
Communiquez directement avec lui par téléphone, à partir des coordonnées dans votre système et non celles apparaissant dans le courriel, afin de valider si c’est bien le cas. Sinon, cela pourrait occasionner des situations où les fonds seront envoyés à des fraudeurs et non à vos fournisseurs légitimes.
Conciliation bancaire, un contrôle de choix
La conciliation bancaire demeure un contrôle important pour comparer les transactions entre les livres comptables et le relevé bancaire. Plusieurs de nos clients ont ainsi pu déceler des transactions que leur organisation n’avait pas effectuées. Il est important d’être à jour afin de déceler ces fraudes en temps opportun et ainsi communiquer le plus rapidement possible avec votre institution financière.
Copie de sauvegarde et plan de relève
Vous devriez vous assurer d’effectuer des sauvegardes de vos données périodiquement et de vous assurer de pouvoir les récupérer rapidement si besoin. Par exemple, si vous êtes victime d’un rançongiciel, c’est-à-dire qu’un pirate informatique bloque l’accès à vos données et exige une somme d’argent pour y avoir accès, cela pourrait vous éviter bien des ennuis[2]. D’autant plus qu’il n’est pas garanti que la personne vous redonne accès aux données même si vous décidez de payer la rançon exigée.
Un plan de relève, ou plan de continuité des affaires, est également un outil précieux pour les entreprises afin de pouvoir assurer rapidement une reprise des opérations.
Mots de passe pour plus de sécurité
Un mot de passe doit être complexe, c’est-à-dire qu’il devrait inclure au moins 12 caractères incluant des lettres majuscules et minuscules, des chiffres ainsi que des caractères spéciaux. Il ne devrait pas être lié à l’un de vos renseignements personnels. Plusieurs astuces sont disponibles en ligne telles que de remplacer un « S » par le signe de dollar. Plus le mot de passe est complexe, plus le temps requis pour le découvrir est long. Si vous utilisez uniquement un mot avec des lettres, votre mot de passe peut être détecté quasi instantanément.
Il existe des logiciels comme 1Password qui peuvent vous aider à créer des mots de passe complexes et qui les mémorisent pour vous.
Vous devriez aussi modifier votre mot de passe périodiquement, mais pas trop souvent pour éviter d’avoir à l’inscrire sur un papier qu’un individu pourrait vous voler.
Finalement, assurez-vous qu’il y ait un nombre maximum de tentatives de saisie du mot de passe.
Authentification multifactorielle
En sus du mot de passe, l’authentification multifactorielle devrait être mise en place. Cela exige une demande d’autorisation après la saisie du mot de passe. Ainsi, si quelqu’un découvre votre mot de passe, cela ne lui permet pas d’avoir accès aux données. Plusieurs solutions sont disponibles dont Microsoft Authentificator. Il demeure bien important que votre employé n’approuve pas la demande de connexion si ce n’est pas lui qui l’ait faite.
Tests par courriels et formation interne
Afin de tester la vigilance des utilisateurs, certaines entités envoient des courriels tests à leurs employés (simulation de test d’hameçonnage ou phishing). Si ces derniers cliquent sur le lien suspicieux, une formation leur est proposée afin de les sensibiliser.
Assurances – Cybersécurité
Dans le cadre de la cybersécurité, des compagnies d’assurances offrent des produits afin d’assurer les organisations contre les risques. Cela peut être davantage important lorsque la continuité des opérations et la quantité d’informations sensibles dépendent des technologies.
En conclusion
La sécurité informatique est l’affaire de tous au sein d’une organisation. Plusieurs moyens peuvent être mis en place, mais le contrôle le plus important demeure la vigilance des utilisateurs de votre système. En même temps, ce sont eux qui représentent la meilleure porte d’entrée pour les pirates informatiques qui profiteront alors d’une erreur de leur part. Donc, n’hésitez jamais à communiquer avec un de vos partenaires si vous avec un doute concernant une communication reçue.
Rappel : Le gouvernement du Québec a adopté en septembre 2021 la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé). Au Québec, toutes les entreprises privées qui collectent, traitent ou communiquent des informations personnelles sont visées par cette loi. La Loi 25 impose des responsabilités aux entreprises. En cas de piratage, vous seriez doublement impacté; des pénalités en cas de non-conformité s’appliquant.
Si vous n’êtes pas certain d’être adéquatement outillé au niveau de vos contrôles internes, n’hésitez pas à communiquer avec l’un des membres de notre équipe de certification.
Un article de Élyse Langevin, CPA auditrice
Directrice principale – Certification