Cybersécurité : Comment épargner, planifier et se protéger

Mois de la cybersécurité, Octobre 2017

Les malentendus et les lacunes organisationnelles amplifient le risque que présentent les menaces à la cybersécurité. Mais ne vous méprenez pas, les menaces sont réelles et si vous n’avez pas prêté attention aux actualités récemment, sachez que ces menaces coûtent des dizaines de millions, si ce n’est pas des milliards, de dollars aux entreprises et aux pays partout dans le monde. En fait, on estime que les coûts liés à la cybercriminalité doubleront pour atteindre 6 billions de dollars américains en 2021[1]. En 2016, près de 1,4 milliard de dossiers ont été compromis, ce qui représente une hausse de 86 % sur 12 mois[2] et signifie que les rançongiciels constituent un marché d’un milliard de dollars pour les pirates informatiques[3].

Le processus de restauration n’est pas facile. Les dommages causés à la réputation de votre entreprise pourraient être irréparables. La société Yahoo a été vendue pour 350 millions de dollars de moins en raison d’une atteinte à la sécurité qui a touché un milliard de comptes d’utilisateurs[4]. Les dernières attaques mondiales par rançongiciel, en juin 2017, ont touché plusieurs multinationales importantes à un niveau tel qu’elles ont dû dévoiler publiquement les répercussions de celles-ci sur leurs activités, qui, dans certains cas, se sont élevées à des dizaines de millions de dollars. Outre la valeur monétaire, une atteinte à la réputation ou une perte de confiance de la part des clients ou des employés peuvent nuire nettement plus à la longévité d’une entreprise. Certains comprendront mieux par un exemple clair (tous les propriétaires d’entreprise ne dirigent pas des entreprises du secteur de la technologie) : des quelque 40 % de PME qui ont été victimes d’une attaque par rançongiciel et qui ont versé la rançon demandée aux pirates informatiques, moins de la moitié d’entre eux ont récupéré leurs données[5].

Le facteur humain
Dans la plupart des cas, le facteur humain constitue un élément critique dans les cas d’attaque par infiltration, et il ne s’agit pas uniquement de cliquer sur des liens malveillants. Les pirates informatiques ont recours à d’autres moyens pour relever :

  • la mauvaise gestion des correctifs;
  • le matériel perdu;
  • la dissémination de l’information sensible (courriels, réseaux sociaux, sites de stockage);
  • les travailleurs qui visitent des lieux non autorisés;
  • les employés qui insèrent des clés USB infectées dans les appareils;
  • les mots de passe trop simples ou partagés;
  • les cas de non-respect des politiques et des procédures.

Selon le Ponemon Institute, le coût moyen d’une atteinte à la sécurité au Canada en 2016 s’élevait à environ 278 $ par dossier compromis. Si une entreprise perd, disons 20 000 dossiers, cela représente plus de 5,5 millions de dollars. Les coûts grimpent vite! Toutefois, une entreprise peut épargner en moyenne plus de 80 $ par dossier atteint grâce à des initiatives relativement peu coûteuses.

Étape

Économies

Se doter d’un plan solide de réponse aux incidents

25$ par dossier

Se doter d’un programme solide de formation destiné aux employés

15,50$ par dossier

Faire participer les membres du conseil d’administration

12,30$ par dossier

Faire circuler l’information au sujet des menaces

9,80$ par dossier

Nommer un responsable de la sécurité de l’information (CISO)

8,90$ par dossier

Se munir d’une bonne couverture d’assurance

6,70$ par dossier

Élaborer un système de classement des données

5,60$ par dossier

Économies totales

1000000$ et plus dans l’éventualité d’une attaque

Gérer une cybercrise
Outre les étapes ci-dessus, veillez à ce que la gestion des cybercrises soit intégrée aux processus et à la culture de votre organisation. Comment?

  • Exercez-vous! Effectuez des simulations en vue d’insister sur l’importance de réagir adéquatement (et assurez-vous que les employés savent quelles sont les étapes à suivre!).
  • Restez à jour. À la suite des exercices d’analyse, veillez à mettre à jour votre plan de gestion de crise, vos plans de continuité des affaires et de relève ainsi que vos processus de gestion des incidents informatiques.
  • Communiquez. Choisissez les meilleurs intervenants pour siéger à la table (puis assurez-vous de mettre à jour les processus afin de refléter les changements et organisez des simulations avec les nouvelles personnes). Cet exercice est peut-être cyclique, mais nécessaire.

Comment nous pouvons vous aider
Les professionnels de Richter peuvent vous aider à organiser des exercices de simulation et à exécuter vos plans d’intervention en cas d’urgence afin de revérifier que chaque processus et procédure est couvert. De plus, nous recommandons d’exécuter un diagnostic de maturité, des évaluations de la vulnérabilité, des audits de la configuration, des campagnes de sensibilisation, et des ateliers d’attaques cybernétiques. Toutes ces suggestions vous aideront à accroître votre degré de maturité en matière de cybersécurité.

Les dix principaux points à vérifier
Avant tout, en tant que membre de la direction, assurez-vous de remplir la liste de contrôle suivante :

  1. Assumer la responsabilité de la sécurité de l’information.
  2. Déterminer votre tolérance au risque en matière de sécurité.
  3. Entamer le dialogue avec les ressources responsables de la sécurité.
  4. Prioriser la gouvernance de la sécurité (cadres de gestion, positionnement hiérarchique, responsabilisation).
  5. S’assurer que les risques liés à la sécurité sont évalués.
  6. Exiger que les discussions portent principalement sur les activités de l’entreprise et non sur les questions techniques.
  7. Considérer les enjeux légaux et les dommages à la réputation (divulgations, protection des données, etc.).
  8. Créer une feuille de route (contenant les composantes clés : classement, diagnostics, programmes de sensibilisation et mise en œuvre).
  9. Revoir les couvertures d’assurance.
  10. Demander des évaluations périodiques à un cabinet spécialisé.

Prime : ne vous fiez pas uniquement aux tests d’intrusion comme moyen de contrôle absolu.

Toutes les initiatives demandent un effort de planification minimal de votre part et de celle de votre équipe. Toutefois, elles peuvent maximiser votre capacité à répondre rapidement et efficacement aux attaques imminentes.

Pour commencer les préparatifs, communiquez dès aujourd’hui avec l’un de nos experts en matière de risques et de cybersécurité. 



[1] « Cybercrime – The Trillion Dollar Business. » Business Insights. 2016

[2] « Ransomware spiked 6,000% in 2016 and most victims paid the hackers, IBM finds. » CNBC. 2016

[3] « 2016 Mining for Database Gold: Findings from the 2016 Breach Level Index. » Gemalto. 2016 

[4] « Yahoo salvages Verizon deal with US$350 million discount. » CTV News Montreal

[5] « Ransomware Payout Doesn’t Pay Off. » DARKReading. 2017. 

Experts