La cybersécurité en 2025 : Une préoccupation des TI, mais une priorité absolue pour les entreprises

À mesure que la portée, la sophistication et l’impact des cybermenaces s’intensifient, les organisations de toutes tailles doivent faire face à l’urgence d’agir. La cybercriminalité évolue et n’est plus un problème lointain qui ne concerne que les grandes entreprises ou les services de TI. Elle constitue un risque commercial qui exige une attention immédiate à tous les niveaux d’une organisation.

À l’occasion d’une discussion du Mois de la sensibilisation à la cybersécurité qui s’est tenue récemment, des chefs de file du secteur nous ont livré leurs réflexions sur les menaces qui planent actuellement, les mécanismes psychologiques utilisés par les arnaqueurs pour réussir leur coup et les mesures de protection que peuvent prendre les entreprises. Un message central ressort de la discussion : la cybersécurité, c’est l’affaire de tous, et la sensibilisation est la première ligne de défense.

La cybercriminalité n’est plus l’apanage des pirates informatiques qui sévissent depuis leur sous-sol. Elle s’est développée en une industrie organisée qui évolue à l’échelle mondiale. En 2024, le nombre d’attaques par hameçonnage ou par rançongiciel a monté en flèche; l’hameçonnage représentant à lui seul 75 % des cyberattaques¹. Ces attaques sont de plus en plus sophistiquées et exploitent les outils d’intelligence artificielle générative pour rédiger des courriels crédibles ne contenant aucun des signaux d’alerte habituels, comme les erreurs de grammaire et les mises en forme douteuses.

Les répercussions financières sont énormes. Le coût mondial de la cybercriminalité devrait atteindre 23 billions de dollars américains d’ici 2027². En 2023, au Canada seulement, les entreprises ont dû débourser plus de 1,2 milliard de dollars pour le rétablissement de leurs activités, les petites et moyennes entreprises y consacrant respectivement 300 millions de dollars. En 2024, le Centre antifraude du Canada a reçu près de 100 000 signalements de fraude, représentant des pertes de plus de 638 millions de dollars.

La cybercriminalité implique un large éventail d’acteurs, et le crime organisé est responsable de 50 % des attaques. Les différents groupes opèrent comme des entreprises, en mettant en place une structure de gestion, des centres d’appels et des stratagèmes à utiliser. On retrouve également des initiés mécontents (28 %), des auteurs parrainés par des États (12 %) et des cyberactivistes opportunistes (5 %). Comprendre leurs motifs est essentiel. 

Le piratage psychologique demeure l’une des tactiques les plus efficaces utilisées par les cybercriminels. Qu’ils aient recours à l’hameçonnage vocal, par courriel, par SMS ou par code QR, ces escrocs manipulent les émotions humaines à leur avantage, particulièrement la peur, la curiosité et la bienveillance, afin d’amener leurs victimes à divulguer des renseignements confidentiels ou à effectuer des opérations non autorisées.

Ces arnaques paraissent bien souvent légitimes, mais des indices subtils, comme une adresse d’expéditeur suspecte ou une URL inhabituelle, peuvent révéler leur véritable nature. La clé est de s’arrêter, de faire des vérifications et de ne jamais agir sous pression.

La compromission des courriels d’entreprise est l’une des arnaques les plus répandues et les plus pernicieuses avec lesquelles les organisations doivent composer actuellement. Ce type d’attaque commence généralement par l’envoi d’un courriel d’hameçonnage qui compromet les identifiants d’un employé. Les cybercriminels se font ensuite passer pour des dirigeants ou des fournisseurs pour effectuer des télévirements frauduleux.

L’efficacité de ces arnaques repose sur le caractère secret ou urgent des demandes et sur le manque de protocoles de vérification. L’absence d’une double autorisation ou d’une séparation des responsabilités rend les entreprises vulnérables aux opérations non autorisées qui peuvent être difficiles à annuler.

Plusieurs idées fausses continuent de faire obstacle à des pratiques de cybersécurité efficaces :

• La cybercriminalité n’est pas un problème qui n’affecte que les grandes entreprises. Les petites et moyennes entreprises sont des cibles fréquentes.
• Il n’y a pas de bouton «annuler» pour les télévirements. Agir rapidement est crucial pour recouvrer des fonds en cas de fraude.
• Une cyberassurance ne couvre pas tout. Les couvertures varient en fonction de la police et excluent souvent les pertes subies par des tiers.
• Être victime d’un cybercrime n’a rien de honteux. Seulement 10 % des incidents sont signalés, souvent en raison de l’embarras que ressentent les victimes. Un dialogue ouvert est essentiel pour favoriser la sensibilisation et la prévention.

Les organisations peuvent réduire considérablement leur risque d’exposition en mettant en œuvre quelques pratiques clés :

• Mettre à jour les logiciels et les navigateurs régulièrement. Plus de 70 % des entreprises utilisent encore des versions de navigateur obsolètes¹, ce qui les rend vulnérables.
• Utiliser une authentification à double facteur pour les transactions financières. La séparation des responsabilités a un puissant effet dissuasif.
• Mettre en signet les sites Web essentiels. Évitez de cliquer sur les publicités affichées dans les moteurs de recherche, car elles peuvent être frauduleuses.
• Offrir des formations au personnel régulièrement. La sensibilisation à la cybersécurité devrait faire partie du processus d’intégration et des formations continues.
• Encourager une culture de scepticisme. Le caractère confidentiel ou urgent d’une demande est un signal d’alerte. Faites toujours une vérification des demandes en ayant recours aux canaux en place.

Mettre sur pied une organisation résiliente exige plus que de simples outils et politiques; un changement de culture s’impose. La cybersécurité doit être ancrée dans la structure de l’entreprise, et la direction se doit de donner le ton. Une communication ouverte, des formations offertes sur une base régulière et la reconnaissance de la vigilance sont des aspects clés de cette culture.

Le personnel doit se sentir à l’aise de signaler les activités suspectes sans craindre des conséquences négatives. Les incidents doivent être traités comme des enseignements, et non comme des échecs. Et surtout, tout le monde, du personnel de première ligne à la haute direction, doit comprendre que la cybersécurité est une responsabilité commune.

La cybercriminalité est une menace croissante, mais elle n’est pas impossible à contrer. En adoptant la bonne approche, les bons outils et les bons processus, les entreprises peuvent assurer leur protection et celle de leur clientèle. Le moyen de défense le plus efficace, c’est un personnel vigilant et bien informé, soutenu par un leadership fort et des protocoles clairs.

À mesure que le contexte des cybermenaces évolue, notre approche se doit d’évoluer au même rythme, afin de nous en protéger. La sensibilisation, l’action et la responsabilité sont les piliers d’un avenir sûr.

Pour en savoir davantage sur la façon dont la Banque Scotia peut vous aider à protéger votre entreprise contre la cybercriminalité, n’hésitez pas à vous adresser à votre directrice ou directeur, Relation d’affaires, à communiquer avec nous ou à consulter notre Portail sur la cybersécurité et la fraude.