Conseils de cybersécurité pour les PME

Entre le début de 2020 et décembre 2021, la fraude a augmenté de 600% à 800%.

Selon le Centre antifraude du Canada :

  • Rentabilité et facilité de déplacement du crime – la cybercriminalité est mondiale et peut survenir n’importe où, à n’importe quel moment
  • Les gens passent plus de temps à la maison – augmentation des risques de sécurité liés au travail à distance; plus de temps pour être en ligne
  • Les fraudeurs exploitent l’essor du commerce électronique
  • Pénurie de personnel – les entreprises fonctionnent avec un personnel réduit, surchargé ou distrait

En 2020, 71 100 rapports de fraude ont été déposés, et 42 184 Canadiens ont été victimes de fraude, perdant plus de 106 millions de dollars.

En 2022…

0
Signalements de fraude
(107 139 en 2021)
0
Victimes de fraude
(68 061 en 2021)
$0
Pertes liées à la fraude
(383,6 M$ en 2021)

* Selon le Centre antifraude du Canada au 31 décembre, 2022.

Exemple réel d'un e-mail d'hameçonnage (cliquez pour agrandir)

Exemple réel d’un e-mail d’hameçonnage (cliquez pour agrandir)

Un mot sur la compromission de messagerie électronique professionnelle (BEC)

La compromission de messagerie électronique professionnelle (BEC) est un type d’attaque d’ingénierie sociale qui prend place dans les courriers électroniques. Dans une attaque BEC, un attaquant falsifie un message électronique pour tromper la victime et la pousser à effectuer une action, le plus souvent un transfert d’argent vers un compte ou un emplacement contrôlé par l’attaquant.

Le BEC ne fait pas toujours partie d’une attaque de logiciel malveillant! C’est une technique de monétisation. Autrement dit, la victime n’est pas toujours la cible d’une cyberattaque.

Exemples de BECDescription
Fraude du PDGImiter le PDG peut inciter les employés à ne pas remettre en question une demande. Cela peut être une demande de transfert de fonds ou de fourniture d’informations sensibles.
Escroquerie de fausse factureLe criminel se fait passer pour un fournisseur et réclame un paiement pour des services rendus. Il utilise souvent des factures précédentes avec des informations bancaires modifiées.
Imitation d’un avocatSimilaire à l’imitation du PDG, de nombreux employés ont tendance à se conformer aux demandes du service juridique. Les demandes ont de fortes chances d’être marquées comme urgentes et confidentielles pour réduire les chances que quelqu’un pose des questions.
Compromis de compte pour escroquer les clientsDans cette situation, un compte de l’entreprise est compromis afin d’envoyer des demandes de paiement de factures aux clients avec des informations bancaires modifiées.
Vecteurs d’attaqueDescription
Comptes compromisL’utilisation d’un compte légitime augmente la légitimité d’un e-mail, ce qui augmente les chances que le destinataire croie que la demande est légitime.
Spoofing de domaineSMTP, qui est le protocole de messagerie électronique, ne vérifie pas les adresses e-mail par défaut. Un attaquant peut falsifier l’adresse et le nom d’affichage pour faire croire qu’il provient de l’entreprise. SMTP permet également à un expéditeur d’utiliser une adresse de « réponse à » différente, garantissant ainsi qu’il reçoit les réponses.
Domaines similairesL’objectif ici est de créer un domaine qui, lors d’un examen rapide, semble similaire à un domaine de confiance. Par exemple, bmo.com et brno.com, ou ca-bmo.com, pourraient sembler suffisamment similaires pour tromper quelqu’un qui ne fait pas attention.

Cliquez sur les liens ci-dessous pour en savoir plus sur la protection de votre organisation contre les menaces cybernétiques

Business Email Compromise (phishing attack) - CYDEF

Liste de contrôle pour commencer

Si vous ne deviez faire que deux choses de cette liste, activez l’authentification multifacteur et mettez à jour tout !

Authentification multifacteur
Mises à jour – gardez tout à jour
Antivirus (AV) – c’est évident!
Capacité de détection (c’est ce que CYDEF fait)
Application d’une politique de mot de passe: Plus il est long, plus c’est bon
Formation à la sensibilisation à la sécurité
Plan de réponse
Étiquetage des e-mails externes: cela facilite l’identification des e-mails provenant de l’extérieur de l’entreprise

Chiffrez les disques durs – assurez-vous que le chiffrement est activé
Inventaire des actifs: Protégez tous les systèmes
Sauvegardes externes – toujours une bonne idée
Droits d’administration locaux – les employés ne devraient pas les avoir
Accès des utilisateurs – révisez régulièrement
Réseau Wi-Fi public – évitez si possible ou utilisez un VPN
Compte d’administration de secours: ayez une sauvegarde au cas où votre compte d’administration global serait compromis
Séparation des tâches: Politiques et procédures en place exigeant que plus d’une personne effectue des actions à haut risque

(CYDEF peut aider avec tout cela!)

Plan de réponse

Votre équipe sait-elle quoi faire si elle soupçonne un e-mail d’hameçonnage? Si une attaque se produisait aujourd’hui, sauriez-vous quoi faire en premier et qui contacter à l’intérieur et à l’extérieur de votre organisation?

Ayez un plan de réponse en cas d’attaque.

Votre plan d’une page devrait comprendre:

  • Rôles définis – qui fait quoi:
    • Identifier le commandant sur place en charge de la réponse
    • Identifier le personnel de soutien (équipe d’intervention en cas d’incident)
    • Définir des exercices d’actions immédiates (par exemple, qui récupère quels journaux, qui isole l’ordinateur, etc.)
    • Disposer d’une adresse e-mail dédiée: Si vous soupçonnez d’avoir été victime d’hameçonnage, comment votre équipe peut-elle entrer en contact avec l’équipe d’intervention en cas d’incident?
  • Enquête: Toutes les informations pertinentes seront examinées en fonction de la gravité
    • Liste de contacts d’urgence externe (services professionnels de cybersécurité, fournisseur d’assurance, votre banque, etc.)
  • Limitation: Prendre les mesures nécessaires pour limiter la propagation de l’incident
  • Éradication: Les dommages sont contenus, les preuves sont collectées et préservées, et la cause de l’incident a été éliminée
  • Post-mortem: Comprendre ce qui s’est passé et tirer des enseignements de l’expérience
  • Exercices de simulation: fortement encouragés pour tester les plans de réponse contre des scénarios d’attaque potentiels

Formation à la sensibilisation à la sécurité

L’ensemble de votre équipe doit rester vigilant contre les tromperies par hameçonnage à tout temps. Cela est particulièrement vrai pendant les périodes de vacances. Les cybercriminels profitent du fait que nous sommes plus occupés, plus stressés, pressés et sous-effectif. La formation à la sensibilisation à la sécurité peut aider à s’assurer que votre équipe reste vigilante tout au long de l’année.

La cybersécurité n’est pas seulement un problème informatique

La cybersécurité est le problème de tout le monde, du conseil d’administration jusqu’à l’assistance informatique

L’hameçonnage est la méthode la plus courante pour que les cybercriminels « entrent » par votre porte d’entrée

20% de votre équipe cliquera toujours sur un lien – comment vous défendez-vous contre cela?

Votre équipe peut bénéficier de micro-leçons pour rester vigilante et continuer à protéger votre organisation

Ressources supplémentaires

  • GetCyber Safe
    Une campagne nationale de sensibilisation créée pour informer les Canadiens sur la cybersécurité et les étapes simples qu’ils peuvent prendre pour se protéger en ligne. Vous pouvez en savoir plus sur leur site Web.

  • Simply Secure – Rogers catalyst
    Propose des pratiques de base fondamentales pour aider à protéger votre entreprise contre les menaces cybernétiques. Pour en savoir plus, vous pouvez visiter leur site Web à l’adresse https://simply-secure.ca/.

  • Have I Been Pwned?
    Un service qui vous permet de vérifier si vos informations personnelles sont en vente sur le dark web, notamment vos adresses e-mail, numéros de téléphone, mots de passe, etc. Vous pouvez utiliser ce service en visitant leur site Web.

Comme nous pouvons vous aider

La chasse aux menaces + détection et réponse gérées en un seul service

CYDEF utilise le meilleur des personnes, des processus et de la technologie pour vous offrir une solution de détection et de réponse gérées (MDR) qui est axée sur la chasse aux menaces.

CONFIANCE

Superposez notre solution à la vôtre jusqu’à ce que vous ayez confiance qu’elle fonctionne aussi bien que nous le disons. Nous pouvons être votre première ligne de défense ou la dernière couche de votre stratégie de défense en profondeur.

TRANSPARENCE

Nous avons créé un outil pour vous permettre de vérifier facilement notre travail. Vous pouvez voir exactement comment nous classifions vos données de télémétrie et que nous enquêtons sur 100% des anomalies (et pas seulement les alertes de menaces à haut risque).

SIMPLICITÉ

Notre modèle de tarification est simple et vous ne payez que pour ce que vous utilisez. Il n’y a pas de minimum, pas de coûts initiaux et pas de période d’apprentissage (la protection commence immédiatement).

RÉSULTATS

Notre solution zero trust est construite avec la chasse aux menaces continue. Cette approche unique signifie que nous détectons des menaces que nos concurrents ne peuvent pas détecter, et tout le monde bénéficie d’une couverture complète.

You don’t need to be a cybersecurity expert to work with us