On the Money de Fonds Dynamique

PARTICIPANTS

David Portal
Vice-président, Solutions systématisées

Devin Kropp
Éditrice à Horsesmouth

David Portal : Bonjour, je suis David Portal, de Dynamic Funds, et je vous souhaite la bienvenue à notre balado où nous nous penchons sur les dernières menaces et les stratégies défensives pour vous protéger, vous et votre entreprise.

Mark Brisley : Vous écoutez On the Money de Fonds Dynamique, une série de balados qui donne accès à des gestionnaires actifs et à des leaders d'opinion parmi les plus respectés de l'industrie, et qui présente leurs points de vue et leurs idées.

David : Devin Kropp, rédacteur en chef de Horsesmouth, co-créateur du programme de formation Savvy Cybersecurity et co-auteur de Hack-Proof Your Life Now ! The New Cybersecurity Rules. C'est un plaisir de vous recevoir aujourd'hui, Devin.

Devin Kropp : Merci beaucoup de m'avoir invité.

David : Vous vous êtes engagé à aider les conseillers financiers et leurs clients à rester en sécurité en ligne et à leur apprendre tout ce qu'il faut savoir sur la cybersécurité. Pouvez-vous nous expliquer brièvement ce qu'est la cybersécurité et pourquoi elle est devenue si cruciale pour les petites entreprises ?

Devin : Absolument. Lorsque nous parlons de cybersécurité, nous parlons en fait de la protection de nos systèmes, de nos réseaux et de nos programmes contre les attaques numériques, et cela concerne tout particulièrement les petites entreprises. Bien souvent, nous parlons de la protection des particuliers, mais en réalité, les petites entreprises sont l'une des principales cibles des cybercriminels. Cela s'explique par plusieurs raisons.

Certains de ces criminels supposent que les petites entreprises disposent d'un budget moins important pour la cybersécurité et qu'elles n'ont peut-être pas mis en place les mesures de sécurité adéquates pour se protéger contre ces attaques. Ils peuvent aussi penser que leur équipe informatique est moins nombreuse et qu'elle ne suit pas tout ce qui se passe, ou qu'elle confie une grande partie de sa sécurité à des fournisseurs tiers qui peuvent être vulnérables ou non.

En fait, les petites entreprises sont souvent la cible de ce type d'attaques. Une statistique indique, je crois, qu'une petite entreprise sur cinq sera victime d'un incident de cybersécurité cette année. Nous observons également diverses réactions à ce sujet, en ce qui concerne les conséquences pour ces entreprises. C'est une menace réelle pour les entreprises de toutes tailles, mais les petites entreprises en particulier sont très vulnérables à ce type d'attaques.

David : C'est à la fois instructif et terrifiant. Pouvez-vous nous parler des menaces de cybersécurité les plus courantes auxquelles sont confrontées les petites entreprises aujourd'hui, et nous donner quelques exemples du fonctionnement de ces attaques ?

Devin : Je dirais que la menace numéro un que nous voyons dans notre travail avec les particuliers et les petites entreprises sur la cybersécurité est ce qu'on appelle l'hameçonnage. L'hameçonnage, ce sont ces courriels frauduleux qui semblent provenir de sources légitimes, d'entreprises, de personnes avec lesquelles vous travaillez peut-être dans le cadre de votre activité, et qui contiennent un lien. Lorsque vous cliquez dessus, au lieu d'être dirigé vers ce qui est indiqué, il s'agit parfois d'un lien vers une facture ou un lien vers Dropbox qui est déguisé en lien.

Lorsque vous cliquez dessus, un logiciel malveillant est téléchargé sur votre appareil et peut alors faire des ravages sur votre réseau au sein de votre entreprise. Parfois, il vous demandera un nom d'utilisateur et un mot de passe et vous penserez qu'il s'agit d'une entreprise légitime et vous l'entrerez alors qu'ils ont votre nom d'utilisateur et votre mot de passe pour accéder à n'importe quel endroit. En règle générale, lorsque nous examinons les incidents de cybersécurité dans les petites entreprises, quelle que soit la nature de l'attaque, la majorité d'entre eux commencent par un courriel d'hameçonnage.

Un employé clique sur un lien qu'il n'aurait pas dû cliquer et télécharge un logiciel malveillant ou donne des informations qui aideront les criminels à pénétrer dans votre réseau. L'hameçonnage est la première menace que nous voyons régulièrement. Dans le même ordre d'idées, mais un peu différemment, il y a ce qu'on appelle le rançongiciel. Les rançongiciels se propagent généralement par le biais de courriels d'hameçonnage, mais il s'agit d'un type d'hameçonnage très spécifique.

Lorsque vous cliquez sur ce lien, un certain type de logiciel malveillant est téléchargé, ce qui a pour effet de verrouiller tous les fichiers de votre ordinateur et de se propager à l'ensemble de votre réseau.

En fait, ces pirates informatiques demanderont une rançon pour vos fichiers et exigeront un paiement pour que vous puissiez les récupérer. Je dirais que lorsque nous avons commencé chez Horsesmouth, nous avons lancé notre programme de cybersécurité il y a environ 10 ans. Alors que nous étions en train de mettre en place ce programme, nous étions dans le bureau à ce moment-là et nous en parlions beaucoup aux gens du bureau. L'un de mes collègues a été victime d'une attaque par rançongiciel alors que nous faisions toutes ces recherches sur la cybersécurité. Tous ses fichiers ont été bloqués et l'attaque a commencé à se propager au réseau.

Heureusement, notre équipe informatique a pu l'arrêter avant qu'il n'endommage notre serveur ou qu'il ne bloque les fichiers de tous les autres. Cela s'est passé il y a 10 ans. Aujourd'hui, le taux d'incidence de ces attaques est encore plus élevé qu'à l'époque. Cela montre bien que ce genre de choses arrive aux personnes qui sont vraiment au parfum de ces menaces. Cela peut arriver à n'importe qui. La dernière menace que je mentionnerais est celle de la compromission des courriels d'entreprise.

Il s'agit de pirates qui se font passer pour un PDG ou un membre de la direction de l'entreprise et qui demandent à un autre employé d'effectuer un virement bancaire, par exemple. En réalité, ce virement ne va pas sur le compte de l'entreprise, mais à l'étranger. Il est très difficile de récupérer cet argent. Je dirais l'hameçonnage, le rançongiciel et la compromission de la messagerie électronique de l'entreprise. Encore une fois, tous ces éléments sont des vecteurs d'hameçonnage. Ces courriels frauduleux sont à l'origine de la menace suivante. Ce sont les menaces les plus courantes qui affectent les petites entreprises aujourd'hui.

David : Comment la formation des employés peut-elle être efficace pour prévenir les cyberattaques et quels sont les domaines clés qu'elle devrait couvrir ?

Devin : Nous disons toujours, et ce n'est généralement pas la faute des employés, mais la plupart des incidents de cybersécurité sont dus à une erreur d'un employé. Je dis que ce n'est pas leur faute parce que la plupart des entreprises, en particulier les petites entreprises qui n'ont peut-être pas le budget nécessaire, ne forment pas correctement leurs employés. Il s'agit d'un cycle de sensibilisation, sachant que lorsque nous voyons un courriel-- Et ces pirates adorent utiliser l'urgence et des choses qu'ils savent qui vont vous inciter à cliquer pour passer à l'action.

Lorsque vous recevez régulièrement ces courriels, vous aiguisez le muscle de la cybersécurité dans votre cerveau pour qu'il soit sceptique lorsque des courriels vous parviennent. L'un des aspects les plus importants de la formation consiste à donner des exemples ou à faire passer des tests aux utilisateurs. Il est extrêmement important que cela fasse partie de l'intégration des nouveaux employés. Parlez de votre politique en matière de cybersécurité. Vous devez travailler avec un spécialiste des technologies de l'information ou un tiers qui vous aidera à définir vos règles. En effet, il existe de nombreuses vulnérabilités qui peuvent vous laisser ouvert.

Des choses comme des personnes qui utilisent leurs propres appareils, des réseaux Wi-Fi non sécurisés, que nous aborderons plus tard. Ce n'est pas une chose dont on parle lorsqu'un incident se produit, c'est quelque chose qui fait partie de la conversation habituelle. Je dirais également qu'il faut en faire une partie intégrante de la formation annuelle de vos employés. Même les employés qui sont là depuis un certain temps, il faut les rafraîchir, faire venir un expert si vous n'êtes pas vous-même un expert, trouver quelqu'un qui peut venir et parler de cela.

Il existe de nombreuses tierces parties qui enverront de faux courriels afin de maintenir les muscles en éveil. L'une des étapes les plus importantes consiste probablement à établir une ligne de communication ouverte sur la cybersécurité au sein de l'entreprise. Nous disons dans notre programme, dans notre livre, que la cybersécurité ne doit pas être laissée à l'équipe informatique. Il s'agit d'une priorité pour l'ensemble de l'entreprise. Les cadres supérieurs doivent y adhérer. Ils doivent être sensibilisés et formés. Tous vos employés doivent être sensibilisés et formés parce qu'il suffit d'un mauvais clic et cela peut coûter des millions de dollars à votre entreprise.

David : Si une petite entreprise devait subir une cyberattaque, quelles seraient les premières mesures à prendre ?

Devin : S'il s'agit de quelque chose qui rend votre réseau vulnérable, n'est-ce pas ? Pour revenir à l'exemple du rançongiciel que j'ai donné tout à l'heure, il faut déconnecter l'appareil infecté du réseau. Bien sûr, s'il s'agit d'un problème financier, d'une fraude électronique ou de la saisie d'une carte de crédit d'entreprise sur un site frauduleux, vous devez contacter votre banque. Vous devez contacter immédiatement votre institution financière et geler votre compte, en lui faisant savoir que vous avez été victime d'une fraude et qu'elle doit geler ce compte.

De même, si vous avez plus d'une institution financière, je vous conseille de contacter les autres pour être attentif à toute activité suspecte, car une fois qu'ils sont dans votre réseau, il est très facile d'accéder à tout ce que ces pirates veulent. Ce sont des professionnels et ils savent comment entrer et contourner les choses. Si vous pensez que cela a un impact sur vos clients, il existe des normes que vous devez respecter, quel que soit le pays dans lequel vous vous trouvez, et vous devez le signaler aux autorités compétentes.

Il est bon d'avoir une sorte de rapport d'application de la loi dans le dossier. En général, ils ne peuvent rien faire, mais il est parfois utile d'avoir des traces écrites pour prendre d'autres mesures. Si vous avez une assurance cybersécurité, vous devez évidemment contacter cette institution et voir quelles sont les prochaines étapes.

David : Quel est votre principal conseil aux propriétaires qui veulent garantir l'intégrité de leur cybersécurité ?

Devin : Il est extrêmement important que votre personnel soit au courant des menaces de cybersécurité auxquelles il est confronté et qu'il connaisse le protocole à suivre en cas d'incident. Tout à l'heure, j'ai parlé de la compromission des courriels professionnels et du fait qu'il s'agit généralement d'une demande de virement bancaire. Il s'agit d'un courriel qui semble provenir du PDG et qui s'adresse à un employé de niveau inférieur en lui disant : « J'ai besoin que tu fasses cela tout de suite. Vous ne devez en parler à personne, mais j'ai besoin que vous transfériez cet argent sur ce compte. »

Ce qu'il faut retenir, c'est qu'il faut avoir ces conversations avec les employés pour qu'ils sachent ce qu'il faut faire lorsque cela se produit. Ce que nous disons, ce que nous conseillons et ce que nous proposons, c'est que chaque fois qu'une demande de virement est envoyée par courrier électronique, la personne concernée doit confirmer cette demande par une autre méthode. Si la demande arrive par courrier électronique, si vous êtes au bureau avec la personne concernée, vous devez vous lever, aller à son bureau et lui dire : « Est-ce que vous venez de m'envoyer ce courrier électronique » et le confirmer.

Si ce n'est pas le cas, vous devez prendre le téléphone et l'appeler. Car il y a tellement d'histoires où il est impossible de récupérer l'argent une fois qu'il est parti. Vous pouvez l'éviter en décrochant votre téléphone ou en vous levant et en allant voir cette personne pour confirmer qu'elle vous a bien envoyé cette information. Le fait d'avoir une formation et un protocole en place en cas de menaces particulières, que vous savez et que vos employés savent ce qu'il faut faire, peut aider à éviter de graves dommages à votre entreprise.

David : En ce qui concerne l'avenir, quelles sont les nouvelles menaces en matière de cybersécurité, s'il y en a d'autres, dont les chefs d'entreprise doivent être conscients et comment peuvent-ils rester en tête de la courbe ?

Devin : Je pense que la plus grande menace que nous voyons actuellement est l'impact de l'intelligence artificielle sur les menaces qui existent déjà. Nous n'allons pas nécessairement voir de nouvelles menaces émerger de la technologie de l'IA, mais ce qu'elle va faire, c'est qu'elle va rendre les menaces que nous voyons déjà stéroïdiennes. Je disais à l'instant que nous parlions de la compromission des courriels professionnels. Réfléchissons un instant à la façon dont l'IA pourrait aggraver cette menace. Supposons que vous ayez mis en place un protocole selon lequel vous recevez un courriel et que vous décrochiez le téléphone pour appeler et confirmer.

Grâce à l'IA, les pirates peuvent usurper des voix, créer des contrefaçons profondes, pirater la ligne téléphonique et donner l'impression que votre PDG vous dit : « Oui, j'ai envoyé ce message. » Tout d'un coup, le protocole que vous avez mis en place disparaît. Nous pourrions voir la même chose avec l'utilisation d'IA deep fakes dans des choses comme les réunions Zoom où vous pouvez faire croire que quelqu'un dit quelque chose qu'il ne dit pas ou des vidéos. Vous recevez peut-être un message vidéo d'un membre de l'équipe qui vous demande de faire quelque chose et vous pensez que parce que c'est clairement lui, c'est forcément vrai.

Alors qu'en réalité, nous savons qu'il existe déjà une multitude de technologies capables de donner l'impression que les choses ne sont pas vraies. En outre, l'intelligence artificielle en général va également permettre aux pirates de mener plus d'attaques en moins de temps. Une grande partie de la cybersécurité et des cyberattaques se résume à un jeu de chiffres. Ils savent que s'ils envoient un nombre X de courriels d'hameçonnage, un nombre X de personnes vont cliquer. S'ils peuvent envoyer de manière exponentielle un plus grand nombre de ces courriels en utilisant l'IA à leur avantage, davantage de personnes vont cliquer.

Je pense qu'un plus grand nombre de personnes deviendront vulnérables. D'un autre côté, l'IA pourrait également aider les équipes de cybersécurité à protéger les entreprises contre ces menaces. Nous avons déjà vu des technologies d'IA qui aident à identifier les logiciels malveillants. Je pense que nous verrons si cela peut aussi aider. Il y a deux aspects à cela, mais je dirais que la première menace la plus émergente sur laquelle je garderais un œil est l'impact de l'IA.

Deuxièmement, je dirais aussi les appareils connectés à l'internet. L'internet des objets, c'est-à-dire les appareils autres que notre ordinateur et notre téléphone qui sont connectés à l'internet. Ces appareils sont également une cible pour les pirates informatiques, bien que cela soit moins pertinent pour les propriétaires de petites entreprises. Si vous avez d'autres appareils dans votre bureau qui sont connectés à l'internet, c'est aussi une menace émergente, je dirais.

David : Devin, existe-t-il des mesures de cybersécurité rentables que les petites entreprises peuvent mettre en œuvre immédiatement ?

Devin : Oui, je pense qu'il y a un bon nombre de mesures rentables que les gens peuvent prendre. Cela peut demander plus de temps, mais il y a beaucoup de choses que vous pouvez faire gratuitement et qui vont vraiment vous aider à améliorer la cybersécurité de votre entreprise. Prendre le temps de rédiger les protocoles que j'ai mentionnés plus tôt. Réfléchir aux principales menaces auxquelles votre entreprise est vulnérable. Il est très important d'élaborer un plan d'action et de le partager avec l'équipe.

Vous avez certainement intérêt à investir dans une technologie qui peut vous aider à protéger votre entreprise. Ce n'est pas très coûteux. Par exemple, le VPN est extrêmement important. VPN est l'abréviation de Virtual Private Network (réseau privé virtuel). En gros, ce qu'il fait, et c'est aussi très important si vous avez des employés à distance qui se connectent à votre réseau à partir de leur domicile ou d'un lieu autre que le bureau, c'est qu'il prend en charge tout ce qui se trouve sur le réseau Wi-Fi de l'entreprise. Il s'agit essentiellement de prendre le Wi-Fi auquel ils se connectent et de créer un tunnel sécurisé entre leur Wi-Fi et votre réseau.

C'est très important, car les pirates peuvent s'introduire dans ces réseaux très facilement et voir ce que les employés font sur leur ordinateur ou envoyer des liens malveillants, par exemple s'ils travaillent dans un café. Un VPN pour tous vos employés ne devrait pas être très coûteux, mais il vous épargnera bien des maux de tête et constitue, à mon avis, une priorité. C'est une nécessité pour toutes les petites entreprises. Vous pouvez également envisager d'équiper vos employés d'un logiciel antivirus et d'un logiciel anti-malware.

Encore une fois, cela vous permet d'avoir l'esprit un peu plus tranquille en surveillant tous les appareils utilisés par vos employés. Dans le même ordre d'idées, il convient également d'établir des normes concernant les appareils que les employés sont autorisés à utiliser. Sont-ils autorisés à utiliser leurs propres appareils pour se connecter à votre réseau ? Doit-il s'agir d'un ordinateur portable fourni par l'entreprise et c'est tout ? Il est également important d'y réfléchir. Je dirais que si vous devez investir de l'argent en tant que propriétaire d'une petite entreprise dans la technologie, je dirais qu'un VPN est la première chose à faire et que la deuxième est d'examiner les logiciels malveillants et les logiciels antivirus.

David : Vos conseils sont tellement pratiques et applicables, que vous soyez un employé ou un chef d'entreprise. Je pense que notre public a vraiment bénéficié de vos connaissances. Merci beaucoup.

Devin : Merci de m'avoir invité, et que chacun reste prudent.

Cet audio a été préparé par 1832 Asset Management LP et n'est fourni qu'à titre d'information. Les opinions exprimées concernant un investissement, une économie, une industrie ou un secteur de marché particulier ne doivent pas être considérées comme une indication des intentions de négociation de l'un des fonds communs de placement gérés par 1832 Asset Management LP. Ces opinions ne doivent pas être considérées comme un conseil d'investissement ni comme une recommandation d'achat ou de vente. Ces opinions sont susceptibles d'être modifiées à tout moment en fonction des marchés et d'autres conditions, et nous déclinons toute responsabilité quant à la mise à jour de ces opinions. Dans la mesure où cet audio contient des informations ou des données obtenues de sources tierces, celles-ci sont considérées comme exactes et fiables à la date de publication, mais 1832 Asset Management LP ne garantit pas leur exactitude ou leur fiabilité.

Les investissements dans les fonds communs de placement peuvent donner lieu à des commissions, des commissions de suivi, des frais de gestion et d'autres frais. Veuillez lire le prospectus avant d'investir. Les fonds communs de placement ne sont pas garantis. Les taux de rendement indiqués sont les rendements totaux composés annuels historiques, y compris les variations de la valeur des parts. Ces valeurs changent fréquemment et les performances passées peuvent ne pas être répétées.