La sécurité ne se résume pas forcément à la « cybersécurité ». Il ne s'agit pas uniquement de hackers d'attaques réseau complexes.
Outre les cyberattaques traditionnelles qui déploient des logiciels malveillants ou exploitent des failles logicielles connues, il existe également des formes de vol moins techniques, mais tout aussi dévastatrices.
Cela ne signifie pas pour autant que les bonnes pratiques bien connues en matière de cybersécurité ne s'appliquent pas. Tout chef de petite entreprise doit continuer à utiliser des mots de passe uniques pour chaque compte, activer l'authentification multifactorielle, maintenir ses logiciels et ses systèmes d'exploitation à jour, et utiliser en permanence un logiciel de cybersécurité.
Mais si vous êtes un chef de petite entreprise qui jongle au quotidien avec des dizaines de comptes, de réseaux et d'appareils, ainsi qu'avec les montagnes de données créées, stockées et partagées via SMS, e-mails et portails en ligne, ces conseils s'adressent à vous.
À l'occasion de la Semaine nationale des petites entreprises aux États-Unis, voici trois moyens de protéger votre entreprise qui ne nécessitent que peu de compétences techniques.
N'utilisez pas votre numéro de sécurité sociale comme numéro d'identification fiscale
Aux États-Unis, l'Internal Revenue Service (IRS) autorise les propriétaires de petites entreprises à utiliser leur numéro de sécurité sociale (SSN) personnel comme numéro d'identification fiscale fédéral. Il s'agit d'une petite facilité destinée à simplifier la tenue des registres annuels pour les entrepreneurs individuels et les propriétaires-salariés, mais pour les cybercriminels, c'est une erreur élémentaire qu'ils aimeraient voir commettre par toutes les petites entreprises.
Utiliser votre numéro de sécurité sociale comme numéro d'identification fiscale fédéral revient à le divulguer à un nombre toujours croissant de personnes. En effet, la fiscalité des petites entreprises diffère de celle des salariés ordinaires.
Chaque fois qu'une petite entreprise accepte un nouveau client ou un prestataire qui paie des services d'un montant d'au moins 600 dollars, elle doit fournir et recevoir ce qu'on appelle un formulaire W-9. Ce formulaire n'est pas envoyé à l'IRS, mais il sert à consigner les paiements en vue de déclarations ultérieures.
Mais surtout, ce formulaire demande le nom, l'adresse et le numéro d'identification fiscale du propriétaire.
Cela signifie qu’à mesure qu’une petite entreprise se développe, sa vulnérabilité face à l’usurpation d’identité augmente parallèlement. Chaque formulaire W-9 rempli en utilisant le numéro de sécurité sociale (SSN) du propriétaire comme numéro d’identification fiscale représente une occasion supplémentaire pour ce SSN d’être volé. Après seulement un an d’activité, le SSN d’un propriétaire de petite entreprise pourrait se retrouver dans les boîtes de réception, les classeurs et les espaces de stockage en ligne d’une douzaine de personnes et d’entreprises différentes.
C'est exactement ce que veulent les cybercriminels.
En se procurant un formulaire W-9 concernant votre entreprise, un cybercriminel pourrait usurper votre identité ou celle de votre entreprise. Il pourrait ouvrir une ligne de crédit professionnelle, déposer des déclarations fiscales frauduleuses visant à s'approprier les revenus de votre petite entreprise, ou escroquer vos clients.
Comment rester en sécurité:
Demandez gratuitement un numéro d'identification d'employeur (EIN) sur IRS.gov. La procédure est rapide et permet de distinguer l'identité fiscale de votre entreprise de votre identité fiscale personnelle. Ensuite, indiquez votre EIN sur les formulaires W-9, 1099 et tous les autres documents professionnels à la place de votre numéro de sécurité sociale (SSN).
Gardez votre espace de stockage cloud privé
Pour la plupart des propriétaires de petites entreprises, le service de stockage en ligne le plus populaire est celui dont ils disposent déjà : leur compte Google Drive ou iCloud personnel.
Conçus pour faciliter au maximum l'archivage de vos souvenirs, ces outils permettent de sauvegarder et de sécuriser automatiquement presque tous les moments capturés sur votre appareil, qu'il s'agisse des photos de vacances prises l'été dernier, des premiers pas de votre enfant filmés en vidéo, des SMS que vous avez envoyés, des notes que vous avez prises ou encore des rendez-vous que vous avez gérés dans votre agenda.
Mais ce type d'archivage automatique représente un risque pour toutes les informations non personnelles que vous consultez, envoyez, annotez ou signez lorsque vous utilisez votre smartphone personnel. Du jour au lendemain, et souvent sans même y penser, votre espace de stockage dans le cloud contient des copies de contrats signés, de déclarations fiscales, de formulaires d'inscription de clients, de factures, d'états financiers d'entreprise et de photos de documents papier.
Nous avons déjà mis en garde contre l'utilisation de votre numéro de sécurité sociale comme numéro d'identification fiscale, car cela présente un risque si un membre de votre réseau professionnel venait à être victime d'une violation de données. Mais le fait de stocker les informations de vos clients dans votre espace de stockage cloud personnel pose un autre problème : cela vous expose directement à ce risque.
Cette menace est d'autant plus grave que de nombreux comptes de stockage dans le cloud personnel sont partagés avec des membres de la famille. Plus il y a de personnes qui accèdent au même compte, plus le risque d'exposition est élevé et plus les chances d'erreurs sont grandes, même si tout le monde a de bonnes intentions.
Comment rester en sécurité :
Vérifiez les paramètres de sauvegarde dans le cloud sur votre téléphone et votre ordinateur, et gérez les données qui sont synchronisées. Transférez les fichiers professionnels sensibles vers un compte de stockage dédié à votre entreprise, doté de contrôles d'accès, d'autorisations de partage et de journaux d'audit appropriés — c'est-à-dire un système qui vous permet de savoir qui a ouvert un fichier et à quel moment.
Si vous devez stocker des données professionnelles dans un compte de cloud personnel, attribuez à ce compte un mot de passe fort et unique, activez l'authentification multifactorielle et ne partagez l'accès avec personne d'autre que vous.
Protégez vos appareils et l'accès à vos comptes à la maison
Les appareils ont une drôle de façon de se déplacer. Votre smartphone finit entre les mains de votre conjoint, qui prend le contrôle de la musique dans la voiture. Votre tablette passe la plupart des soirées dans la chambre de vos enfants, où ils regardent la télévision. Et votre ordinateur portable est ballotté du canapé au comptoir, puis à la table de la cuisine — à chaque fois, il est grand ouvert et connecté, tel une porte d'accès au Web.
Vous comptez sur tous les membres de votre foyer pour adopter un comportement prudent en ligne, mais le chemin vers la sécurité sur Internet est semé d'embûches.
Il suffit aujourd'hui d'un simple clic malencontreux sur une fausse publicité, un résultat de recherche malveillant ou un fichier de téléchargement déguisé pour compromettre votre appareil, ainsi que toutes les données de votre petite entreprise.
Outre le risque lié aux logiciels malveillants, une personne utilisant votre appareil pourrait effectuer des achats, supprimer accidentellement des fichiers ou écraser des documents importants.
N'oubliez pas qu'une « menace interne » n'a pas besoin d'être malveillante pour causer des dommages : il suffit qu'elle se trouve au sein de votre réseau (qui, dans ce cas, correspond à votre domicile).
Comment rester en sécurité:
Considérez les appareils que vous utilisez pour le travail comme des appareils professionnels. Cela implique d'exiger un code d'accès ou un mot de passe pour y accéder, ainsi qu'une authentification à plusieurs facteurs pour les comptes professionnels importants.
De plus, pour éviter qu'un clic malencontreux n'entraîne le téléchargement d'un fichier PDF malveillant ou l'installation involontaire d'un logiciel malveillant, utilisez un logiciel de protection anti-malware fonctionnant en permanence, tel que Malwarebytes Teams.
Assurez votre réussite
On peut facilement se sentir dépassé face à la multitude de conseils en matière de cybersécurité. Chaque semaine, il faut corriger de nouvelles failles, éviter les escroqueries émergentes et faire face à de nouveaux virus et logiciels malveillants qui semblent capables de prendre le contrôle de votre appareil, de vos données et de votre entreprise.
Heureusement, il existe des mesures importantes que vous pouvez prendre dès aujourd’hui sans avoir à modifier des paramètres internes ni à suivre une formation en ingénierie réseau. Certaines des protections les plus efficaces sont simples : limitez la diffusion de vos informations sensibles, séparez vos données professionnelles de vos données personnelles et contrôlez qui a accès à vos appareils.
Pour tout le reste, essayez Malwarebytes Teams afin de bénéficier d'une protection anti-malware permanente, 24 heures sur 24 et 7 jours sur 7, qui vous permettra de bloquer les virus, de contrer les attaques de logiciels malveillants et d'empêcher hackers à votre entreprise.
