Peu de propriétaires de petites entreprises canadiennes croient que leurs défenses en matière de cybersécurité sont capables de stopper une cyberattaque, suggère un nouveau sondage.
Seulement un tiers des propriétaires de petites entreprises canadiennes récemment interrogés avaient confiance dans les outils de cybersécurité de leur entreprise, selon un sondage en ligne de Mastercard mené auprès de 300 propriétaires de petites entreprises à travers le pays.
« C’est un très petit nombre », a déclaré Aviva Klein, vice-présidente des paiements numériques et des solutions de cybersécurité de Mastercard Canada. « J’ai été choquée de voir à quel point c’était bas. »
Et ce n’est pas la seule statistique qui l’a surprise, sachant que 98 pour cent des entreprises canadiennes comptent moins de 100 employés :
- 57 pour cent des propriétaires ont déclaré qu’ils n’avaient aucune forme de formation en cybersécurité. Mme Klein a trouvé ce chiffre « choquant ».
- 53 pour cent ont déclaré qu’ils n’avaient pas les moyens d’adopter de nouveaux outils de cybersécurité innovants pour protéger les données des clients.
- Seulement 51 pour cent ont déclaré que leur entreprise utilisait une authentification à deux ou plusieurs facteurs pour protéger les connexions.
- Seuls 16 pour cent étaient très sûrs de connaître les meilleures mesures à prendre après une cyberattaque réussie.
- Seuls 18 pour cent des propriétaires étaient convaincus que leur entreprise se rétablirait complètement si une attaque survenait au cours des six prochains mois.
L’enquête a été publiée dans le cadre du Mois de sensibilisation à la cybersécurité.
Mastercard a réalisé l’enquête pour savoir si les petites entreprises comprennent leur posture en matière de cybersécurité. Les violations de données dans les entreprises constituent une menace pour Mastercard, a expliqué Mme Klein, car les données volées sont souvent des informations de carte de débit/crédit qui sont ensuite exploitées à des fins de fraude aux paiements.
C’est pourquoi Mastercard s’est associé à la Fédération canadienne de l’entreprise indépendante (FCEI) pour offrir aux membres de la FCEI l’accès à une Académie de cybersécurité proposant de courtes leçons et des outils gratuits pour les petites entreprises. Il s’associe également à la Global Cyber Alliance pour proposer une boîte à outils gratuite aux petites entreprises.
Il est important que les propriétaires de petites entreprises suivent une formation en cybersécurité, car la sensibilisation à la cybersécurité « va du haut vers le bas », a déclaré Mme Klein. « L’importance doit être démontrée par les hauts dirigeants, y compris le propriétaire de la petite entreprise. S’ils ne comprennent pas ce qui doit être fait et quels sont les enjeux, le phénomène de propagation [du savoir] ne se produira pas. »
La plupart des Canadiens travaillent pour de petites entreprises. Le fait que moins de la moitié ont une formation en cybersécurité est « une statistique assez alarmante ».
« De nombreux propriétaires de petites entreprises ne comprennent pas nécessairement l’offre complète [les capacités] que proposent leurs outils », a-t-elle ajouté, comme la possibilité d’activer l’authentification multifacteur pour Google Workspace (anciennement connu sous le nom de Gsuite).
« Les petites entreprises ont de nombreuses priorités concurrentes », a-t-elle reconnu. Mais, a-t-elle ajouté, Mastercard « essaie de mettre en lumière la situation actuelle des petites entreprises canadiennes ».
Cela inclut de les encourager à faire « de petites choses qui ont un impact élevé, comme [exiger que les employés aient] des mots de passe forts, changer souvent les mots de passe, permettre l’authentification à deux facteurs, sensibiliser à l’augmentation de l’hameçonnage et inciter le personnel à ne pas cliquer sur n’importe quoi ».
Cela signifie également que la direction réfléchit à l’endroit où les données dont elle dispose sont stockées, à la manière dont elles sont sécurisées et à ce qui se passerait si l’entreprise ne pouvait pas accéder à son logiciel de comptabilité ou à sa liste de clients.
« De nombreuses entreprises ne survivent pas ou ne pourraient pas se rétablir complètement si elles étaient attaquées », a déclaré Mme Klein, soulignant que seulement 18 % des entreprises pensent qu’elles pourraient se remettre complètement d’une attaque réussie.
Malheureusement, elle a fait écho à ce que de nombreux autres experts disaient depuis des années : la plupart des petites entreprises pensent qu’elles sont trop petites pour être attaquées par un cybercriminel.
Mais, selon Mme Klein, « le fait est qu’il s’agit de cybercriminels organisés qui travaillent dans un secteur très lucratif. Ils sont très motivés à perpétuer leurs crimes ».
Un bon programme de sensibilisation à la cybersécurité destiné aux employés, a-t-elle déclaré, comprend des rappels fréquents de ce qu’il faut faire (ou ne pas faire), ainsi qu’une analyse d’une partie de la complexité de la cybersécurité.
Il en va de même pour les propriétaires, a ajouté Mme Klein. La cybersécurité « leur fait peur. Et nous [les experts] utilisons ces grands mots qu’ils ne comprennent pas et ils se ferment en quelque sorte. »
Les experts doivent utiliser un « anglais simple » pour aider les propriétaires à comprendre les cyberrisques et se demander s’ils savent quoi faire en cas de cyberattaque.
Adaptation et traduction française par Renaud Larue-Langlois.