De nos jours, les entreprises sont fréquemment confrontées à des incidents de sécurité et de fuite de données. Selon Statistique Canada, 18 % des entreprises canadiennes ont été touchées par des incidents de cybersécurité en 2021. Par ailleurs, elles ont investi 9,7 milliards de dollars pour détecter ou prévenir ces incidents. La cybermenace est en constante et rapide évolution, et menace continuellement les entrepreneurs de partout au pays.

Paradoxalement, une large part de nos activités commerciales se déroule désormais en ligne et notre travail ne peut s’envisager sans l’aide d’outils technologiques connectés. Est-il encore envisageable de se protéger de cyberattaques de plus en plus sophistiquées?

Récurrence des cyberattaques

En 2023, nous pouvons affirmer que la technologie est un des moteurs de notre société. En fait, de plus en plus d’entreprises numérisent leurs processus, tant sur le plan stratégique qu’opérationnel. Cette tendance s’est manifestée au cours des trois dernières années, durant lesquelles les entreprises se sont tournées vers le travail à distance. Devant ce constat, une question troublante se pose : une société hyperconnectée n’implique-t-elle pas aussi plus de dangers numériques? La multiplication des tentatives de fraudes et les cyberattaques au cours des dernières années nous fournissent une réponse éloquente.

Selon un sondage de la firme Léger, commandé par la firme technologique NOVIPRO, le quart des entreprises canadiennes affirment avoir déjà été victimes d’une attaque informatique en 2021.

En tant qu’employeur, vous devez gérer énormément de données sensibles, soit celles de votre entreprise, de vos clients et de vos employés, faisant donc de vous une cible potentielle pour des cybercriminels aux motivations multiples.

Cette problématique est prise très au sérieux par les différents paliers de gouvernement, qui déploient des mesures adaptées à notre nouvelle réalité et nos comportements actuels en ligne. Au Québec, la Loi 25 octroie depuis peu des droits aux individus quant à l’utilisation de leurs renseignements personnels. En imposant de nouvelles obligations aux entreprises et en prescrivant des mesures de gestion des risques en lien avec les solutions qui engagent le traitement de ces renseignements, la communication à des tiers et l’externalisation, elle vise à protéger et responsabiliser les deux parties en matière de protection des renseignements personnels.

Cette récente réglementation fait en sorte qu’à titre d’employeur ou d’employé, vous pouvez désormais appliquer certaines procédures qui limiteront les risques et les cybermenaces liés à votre utilisation de la technologie. Découvrez lesquelles.

Ce que vous pouvez faire en tant qu’entreprise

Bien qu’il puisse être perturbant et angoissant de faire évoluer votre entreprise sans avoir de contrôle sur les tentatives de cyberattaques, sachez que vous avez plus de pouvoir que vous ne le pensez. Vous et vos employés pouvez et devez adopter des comportements sécuritaires, et les appliquer en tout temps.

Votre point de départ devrait être de vous assurer que vos infrastructures sont à jour, car la technologie évolue très rapidement et les cyberpirates adaptent constamment leurs méthodes pour en trouver les failles. Restez au courant des derniers développements, notamment en matière de solutions de gestion des vulnérabilités, et n’hésitez pas à vous renseigner sur les pratiques les plus sécuritaires. Par exemple, vos systèmes et infrastructures devraient vous permettre de surveiller en permanence les activités enregistrées sur vos serveurs et vous prévenir en cas d’activité suspecte.

À cet égard, le Centre canadien pour la cybersécurité, autorité fédérale en matière de sécurité informatique, publie régulièrement des conseils et lignes directrices visant à protéger vos systèmes.

De plus, il est fortement recommandé de réviser régulièrement vos propres politiques de sécurité afin qu’elles répondent aux enjeux actuels. Elles sont d’une importance capitale, car en plus d’encadrer l’utilisation d’outils technologiques et connectés dans un but de protection des données, elles servent de marche à suivre à votre entreprise en cas de problème. Ces politiques sont d’autant plus importantes depuis la démocratisation du télétravail, qui ouvre une brèche supplémentaire aux cyberattaques.

Beaucoup d’entreprises ont fait le choix d’offrir à leurs employés des formations continues sur une base annuelle, ce qui leur permet de maintenir un comportement vigilant tout au long de l’année..

Par ailleurs, il est possible que vous travailliez avec divers partenaires d’affaires et fassiez donc usage de la technologie pour la gestion de vos données sensibles dans le cadre de ces ententes. Cela pourrait être le cas pour le traitement de votre paie; la gestion numérique permet davantage de traçabilité et de confidentialité, mais n’empêche pas les tentatives de cyberattaques. Dans ce cas, comment un fournisseur doit-il assurer adéquatement la protection de vos données?

Choisissez des partenaires de confiance

Dématérialiser sa paie est un choix sécuritaire. En plus de la confier à des professionnels du domaine, vous éliminez aussi la production de documents en format papier qui peuvent potentiellement être perdus ou livrés au mauvais endroit, par exemple au moment de distribuer à vos employés leurs documents de paie en période d’impôt.

Des négligences en matière de protection des données pourraient avoir des conséquences fâcheuses, incluant notamment des sanctions gouvernementales et des incidences négatives sur votre image en tant qu’entreprise. Ainsi, il est important de vous assurer que votre fournisseur applique des règles de sécurité précises, se conforme aux lois imposées par le gouvernement et respecte les plus hautes normes de l’industrie pour la protection de vos données.

Il est bon de savoir que la localisation des serveurs pourrait avoir une incidence sur la manière dont pourraient être traitées vos données : dans certains pays, il est autorisé de récolter des informations sur les individus et d’en faire usage. En ce sens, il est généralement préférable de se tourner vers un fournisseur auprès duquel les données ne traversent pas les frontières.

Si votre entreprise se trouve au Canada, il pourrait être bénéfique de faire affaire avec un fournisseur dont les infrastructures y sont hébergées, car le pays applique des règles strictes en matière de protection des données, vous garantissant un niveau de sécurité accru.

Comme indiqué précédemment, la Loi 25 au Québec impose désormais à toutes les entreprises de respecter certaines directives pour la gestion des renseignements personnels et sensibles qu’elles détiennent, y compris en ce qui concerne leur transfert à l’extérieur du Québec. N’hésitez donc pas à vous renseigner auprès de vos partenaires d’affaires afin de savoir ce qu’ils mettent en place pour s’y conformer.