Le grimoire du magicien
Chiffre tes données simplement avec CryptomatorTu te demandes peut-être pourquoi je fais un article sur ce sujet de la sécurité informatique dans les petites entreprises. Oui, il y a la loi 25 dans l’air du temps, mais pas juste ça. Je veux répondre aux principales questions qui se posent:
- Est-ce que c’est vraiment différent en petite entreprise ?
- Est-ce que je dois investir en cybersécurité ?
- Est-ce que les pirates s’intéressent vraiment à moi ?
La réponse à ces 3 questions est oui. Je t’explique rapidement !
🌘 Les différences en sécurité informatique pour les petites entreprises
En quoi la cybersécurité d’une petite entreprise est-elle différente de celle d’une grande ?
La cybersécurité d’une petite entreprise est différente : sans équipe TI, sans VPN d’entreprise et avec des appareils personnels, les vecteurs d’attaque passent par les réseaux sociaux, les SaaS et la proximité avec les clients. La loi 25 s’applique aussi aux PME, et les liens de confiance inter-personnels créent des risques spécifiques d’ingénierie sociale.
Je vais te partager ici les principales différences entre les petites et les grandes entreprises au niveau informatique. Commençons par ce que tu n’as pas en petite entreprise:
-
Une gestion de parc informatique
-
Une équipe de technologie dédiée (un département TI)
-
Des technologie de contrôle d’accès à Internet (ex: VPN, proxy, pare-feu matériel)
-
Un centre de données ou de l’infonuagique privée.
-
Un réseau intranet avec des sites privés
Maintenant, regardons tes particularités
-
Tu utilises une plateforme de collaboration en ligne avec tes clients et fournisseurs (ex: Slack, Discord, WhatsApp, Telegram)
-
Tu utilises tes réseaux sociaux comme moyen de communication avec tes clients
-
Tu utilises principalement des ordinateurs personnels (PC et Mac). Ces ordinateurs peuvent appartenir aux employés ou à l’entreprise
-
Tu utilises généralement une connexion internet pour particuliers ou mobile. Si tes employés sont en télétravail, c’est presque toujours le cas.
-
Tu utilises des logiciels de type Software-as-a-service (SaaS) et des serveurs infonuagiques que tu paies sur une base mensuelle.
🌘 La proximité et la confiance
De plus, j’aimerais ajouter un élément super important dans les petites entreprises: la proximité. La création d’un lien de confiance plus grand entre l’entreprise et la clientèle peut avoir plusieurs conséquences au niveau sécurité.
-
C’est plus facile de faire de l’ingénierie sociale (de se faire passer pour une des deux personnes de la relation de manière crédible)
-
Il y a beaucoup d’informations confidentielles disponibles dans les messages privés des réseaux sociaux
-
Une petite entreprise peut servir de tremplin pour faire des attaques vers ses plus gros clients.
🌘 Les fournisseurs en sécurité informatique ont oublié les petites entreprises
Malheureusement, peu de solutions de sécurité sur le marché s’adressent vraiment aux petites entreprises. On va arriver devant toi avec les gros sabots et on va essayer de te vendre des solutions dispendieuses. On va aussi te parler de cyber-assurance.
Mon expérience, c’est que c’est pas au point encore et qu’il y a trop d’exclusions (des excuses pour ne pas payer). Alors, mon conseil ici, si on essaie de te vendre des technologies ou des produits pour les grandes entreprises et que tu es une petite entreprise, tu peux passer ton chemin.
Tu n’as pas besoin de sécurité intranet (appelé Endpoint Detection and Response, EDR), tu n’as pas besoin de VPN et tu n’as pas besoin de pare-feu matériel (aussi appelé applicatif ou appliance).
C’est pas que c’est pas bon ou inutile. Mais ça ne devrait juste pas être une priorité pour toi, tant que tu n’as pas passé à travers ta liste de choses à sécuriser (la liste de tes particularités !).
🌘 On te propose des formations qui ne s’adressent même pas à toi
La plupart des formations qui se trouvent sur le marché vont adresser la première liste d’éléments que je t’ai mentionnés. Les choses que tu n’as pas. C’est parce que les grandes entreprises ont des gros budgets pour ça.
Elles visent davantage la conformité avec des programmes tels que la norme de cybersécurité ISO 27001. Ça répond essentiellement à une liste de choses à cocher. Mais ce n’est pas suffisant pour elles, ni pour toi !
🌘 J’ai créé Pleine Confiance pour toi
Pleine Confiance est désormais un répertoire gratuit de tutoriels en cybersécurité pour les petites entreprises. Plutôt qu’une formation théorique, Pleine Confiance est un atelier pratique conçu pour t’aider à sécuriser concrètement tes activités et à passer à autre chose.
Tu ne veux pas seulement savoir ce que tu devrais faire, tu veux le faire une bonne fois pour toute, et avoir des réponses à tes questions.
C’est exactement ce que propose Pleine Confiance : rendre la cybersécurité accessible et réaliste pour les petites entreprises.
Découvre les tutoriels gratuits sur Pleine Confiance.
Consultation stratégique IA et vie privée — 2 heures — 490 $