«Les entreprises sous-estiment les activités criminelles sur les réseaux sociaux», explique le fondateur de JTH Informatique,Julien Teste-Harnois. (Photo: JTH Informatique)
De plus en plus d’entreprises misent sur les réseaux sociaux pour attirer des clients. Certaines ont même cet outil au cœur de leur stratégie d’affaires.
Dans ces circonstances, le piratage ou la suspension d’un compte Facebook, Instagram ou X peut s’avérer catastrophique pour les affaires. Afin de mieux protéger les comptes de réseaux sociaux des PME, la petite firme Resolock (autrefois JTH Informatique) se spécialise dans ce créneau.
«C’est nouveau en cybersécurité, car cela intéresse moins les grandes firmes, explique son fondateur Julien Teste-Harnois. Les spécialistes des TI ne perçoivent pas cela comme de l’informatique, puisqu’on laisse les gens des ressources humaines ou du marketing gérer les accès. Mais c’est tout croche.»
«Les entreprises sous-estiment les activités criminelles sur les réseaux sociaux, ajoute-t-il en entrevue. C’est une grosse faille pour celles qui ne voient pas la menace.»
En cas de piratage, les dégâts peuvent être substantiels. Les Affaires rapportait en juillet que l’entrepreneur François Lambert avait été victime d’une attaque informatique sur Facebook qui lui avait fait perdre l’accès à son compte. Il estimait alors que 75% de son chiffre d’affaires avait été amputé par cette mésaventure.
«Le site MesBobettes a perdu 100 000 dollars en vente après avoir été piraté, déclare Julien Teste-Harnois. Mais il y a plus que l’argent, il y a aussi la réputation de l’entreprise comme le Parc Safari, dont la page Facebook a été contrôlée par des malfaiteurs qui ont diffusé de la pornographie.»
Prévenir plutôt que guérir
Il ne faut pas se fier sur les géants des réseaux sociaux pour retrouver rapidement le contrôle de son compte, même si on leur achète de la publicité. François Lambert s’en était d’ailleurs plaint.
«Pour les entreprises qui dépensent de la pub, c’est des va-et-vient de trois ou quatre semaines avant de reprendre l’accès, note le fondateur de Resolock. Parfois, certains perdent carrément leur compte, donc rebâtir sa visibilité peut-être coûteuse.»
Contrairement à d’autres outils informatiques, les PME n’ont aucun contrôle sur des plateformes qui appartiennent à Meta (Instragram et Facbook) et d’autres géants du web. En cas de piratage, les firmes de cybersécurité ne peuvent donc pas faire grand-chose. Par conséquent, mieux vaut prévenir que guérir. Voici les conseils de Julien Teste-Harnois.
1 – Identification à double facteur
Pour pouvoir accéder à son compte d’un réseau social, il faut non seulement le mot de passe du compte, mais aussi entrer un code qui aura été envoyé à un courriel ou un cellulaire déjà inscrit dans son profil. «Mettre cela en place évite 90% des attaques», estime le spécialiste informatique.
2 - Limiter le nombre d’administrateurs
Afin de réduire les risques de piratage, il est essentiel de limiter le nombre d’administrateurs d’une page d’une entreprise. Deux ou trois personnes suffisent. «Dans environ 90 % des entreprises que j’ai auditées, 80% des utilisateurs étaient des administrateurs. Pour Meta ou LinkedIn, on peut donner des accès partiels pour faire 100% du travail, sans avoir tous les droits. Si un administrateur se fait pirater, les malfaiteurs vont prendre le contrôle du compte en supprimant les autres administrateurs.»
Par contre, pour les solopreneurs, il ne faut pas faire l’erreur d’être le seul administrateur d’une page d’entreprise. «Si leur compte personnel est perdu, c’est fini pour eux, note le patron de Resolock. Ils doivent avoir quelqu’un de confiance comme administrateur en cas de pépin.
3 – Utiliser les plateformes de gestion gratuites
Meta et LinkedIn offrent des plateformes gratuites pour que les entreprises puissent plus facilement gérer leur page et leurs publicités. L’utilisation de ces outils peut aider à mieux suivre et récupérer ses accès en cas d'intrusion.
4 - Inclure les réseaux sociaux dans la stratégie de cybersécurité
En tenant compte des réseaux sociaux dans ses bonnes pratiques en matière de sécurité informatique, les PME risquent d’éviter des problèmes. Ceci veut dire de vérifier les accès d’employés qui quittent l’entreprise et de revoir périodiquement qui détient les accès et si cela est toujours nécessaire.
5 – Se conformer aux règles
Des entreprises comme Meta interdisent le partage de compte par plusieurs personnes pour Facebook. Utiliser un deuxième compte lié à un courriel professionnel est aussi proscrit. En cas de violation des règles, il existe un risque de suspension du compte. L’accès à un page d’entreprise se fait à travers le compte personnel de l’usager.
Problème mondial
Puisque les cybercriminels s’intéressent à toutes les plateformes et qu’ils visent le plus de cibles possible, les PME demeurent toujours sujettes à des attaques. Il y a quelques semaines, Resolock a même été contacté par une agence de marketing parisienne qui s’était fait pirater et qui voulait sécuriser ses réseaux sociaux.
«J’ai réussi à avoir un client en France, dit Julien Teste-Harnois. Les gens pensent encore que cela n’arrive qu’aux autres, mais ce n’est qu’une question de temps avant d’être visé.»