Les dirigeants de la firme internationale Cyence, spécialisée en analytique des cyberrisques, ont surnommé l’année 2017 « the year of the hurricane » (l’année de l’ouragan) pour ce qui est des cyberrisques

La montée de l’Internet des objets, l’automatisation accrue des contrôles industriels et de la gestion de la chaîne logistique, la dépendance envers les infrastructures infonuagiques, la sophistication des logiciels de rançon et le fort degré d’interconnectivité démontrent que la protection des données n’est plus l’unique préoccupation du cyberespace. Les cyberrisques frappent désormais le noyau des opérations commerciales de toute entreprise connectée, peu importe la taille et l’étendue de ses activités commerciales.

Si les douze derniers mois ont permis de démontrer une seule chose dans l’univers des cyberrisques, c’est bien que personne n’est à l’abri. Si vous êtes une petite entreprise canadienne offrant ses services professionnels au Canada ou à l’international, vous êtes à risque. Si vous vendez des produits en ligne, vous êtes à risque. Si vous dépendez de processus de fabrication, de sources d’énergie, d’une chaîne logistique, de plateformes de vente en ligne ou que vous utilisez des services infonuagiques pour stocker vos données, vous êtes à risque. Si vous avez des employés, les cyberrisques devraient faire partie de vos priorités. Les cyberrisques sont désormais une préoccupation majeure pour les entreprises branchées et devraient être traités dans leur stratégie générale de gestion des risques et des flux de trésorerie.

1. L’Internet des objets

Le nombre d’appareils connectés à Internet, que l’on a défini par l’Internet des objets (IdO), augmente à un rythme ahurissant. Ce nombre, qui s’élevait à deux milliards en 2006, pourrait atteindre 200 milliards d’ici 2020, selon la société de recherche internationale International Data Corporation.

Tout appareil peut constituer un point d’entrée pour un pirate informatique. Cela signifie également que chacune des utilisations du Web par vos employés pourrait mener à une brèche de sécurité. En fait, la plupart des cyberrisques découlent du comportement des employés.

Selon le sondage Global State of Information Security Survey publié par PricewaterhouseCoopers (PwC) Canada en 2018, 63 % des dirigeants d’entreprise au Canada affirment que leurs employés (anciens et actuels) auraient été à l’origine de brèches de sécurité.

Les actions en cause sont diverses. Dans certains cas, il a suffi de partager un mot de passe ou d’ouvrir par mégarde des courriels frauduleux d’apparence légitime. Il a aussi pu s’agir d’un manque de connaissances sur les processus de sécurité élémentaires, comme les mises à jour de logiciels. Il existe également des cas où d’anciens employés ou des employés mécontents ont délibérément divulgué des informations commerciales contre de l’argent ou dans le but de se venger.

En dépit du facteur humain, la plupart des entreprises s’étant dotées d’un processus de sécurité informatique se fient entièrement aux technologies pour évaluer, surveiller et contrôler les cyberrisques.

Selon le rapport de PwC, les processus suivants sont les plus utilisés par les entreprises canadiennes pour repérer les cyberrisques dans leurs systèmes internes :

• Tests d’intrusion (40 %)
  
• Évaluations des menaces (37 %)
• Évaluations des vulnérabilités (41 %)
• Surveillance active de la sécurité de l’information (38 %)

« En général, on mise sur les pare-feu ou les systèmes de surveillance de données électroniques pour repérer les fichiers consultés ou téléchargés », indique la Dre Helen Ofosu, consultante en ressources humaines et psychologue chez I/O Advisory Services, qui a fait des recherches sur la convergence du monde virtuel et des ressources humaines. « Il n’y a pas que la technologie et les logiciels qui sont en cause : le comportement humain l’est aussi. »

« Dans le cadre d’une politique de gestion des cyberrisques, les entreprises devraient impliquer des employés des ressources humaines ayant été formés par quelqu’un qui comprend les aspects humains de ces brèches de sécurité », mentionne Ofosu. « Le problème va comme suit : bien que les experts en cybersécurité reconnaissent que les humains constituent le maillon le plus faible, seule une poignée de personnes sait comment résoudre le problème. En conséquence, ils ferment les yeux sur des pans entiers du comportement humain qui sont difficiles à évaluer au moyen des systèmes et des solutions technologiques. »

2. Automatisation des activités et des processus commerciaux

Quels types d’appareils branchés utilisez-vous et quelle est leur incidence sur les activités essentielles de votre entreprise? Peu importe le nombre d’appareils connectés, l’automatisation des processus commerciaux signifie que les éléments cruciaux au bon roulement de votre entreprise sont vulnérables aux interruptions informatiques. Les progrès énormes et l’adoption rapide des technologies sont source d’efficacité. Il n’y a qu’à considérer l’intelligence artificielle, les systèmes de surveillance de sécurité, les voitures autonomes, l’apprentissage automatique, la monnaie numérique, l’infonuagique et l’analytique. Si ces technologies sont essentielles au fonctionnement de votre entreprise, elles doivent avoir une place dans votre plan global de gestion des risques.

Selon le sondage de PwC Canada, 49 % des chefs d’entreprise du Canada sont conscients que les technologies émergentes ont le potentiel d’interrompre les activités ou le processus de fabrication.

3. Les logiciels de rançon évoluent au même rythme que les technologies qui tentent de les contrer

Il est difficile de concevoir que les systèmes informatiques des services de santé de la Grande-Bretagne, de la plus grande agence de crédit de l’Amérique du Nord et d’Amazon aient tous été interrompus par des pirates informatiques au cours de la même année. En réalité, les logiciels de rançon sont de plus en plus sophistiqués, les pirates sont mieux financés et les motivations sont complexes. Il ne s’agit plus seulement de voler des données, mais bien de causer des interruptions. La recrudescence des paiements versés aux logiciels de rançon depuis 2016 indique que l’extorsion constitue également un facteur de motivation. La vulnérabilité des acteurs de la chaîne logistique et des principaux détaillants a des répercussions réelles sur les petites entreprises.

« Voici la triste réalité des entreprises », affirme Tim Truman, architecte en cybersécurité chez SC Canada Services Inc. « Si quelqu’un a assez de volonté pour vous avoir et qu’il a le temps, l’argent, les ressources, les partenaires et l’expertise pour le faire, vous êtes cuit. Ce n’est que la réalité. »

Peu de brèches de sécurité importantes sont survenues au Canada, mais les recherches de l’Autorité canadienne pour les enregistrements Internet (ACEI) suggèrent que les entreprises canadiennes sont fortement à risque.

« Le Canada reçoit 7 % des attaques massives par déni de service distribué (DDoS) de plus de 10 Gb/s, ce qui nous classe de façon hasardeuse en cinquième position à l’échelle mondiale (source : Arbor Networks 12th Annual Worldwide Infrastructure Security Report) », indique l’ACEI dans son rapport de l’automne 2017 sur les menaces informatiques.

4. L’interconnectivité signifie que chacun n’est qu’aussi fort que le maillon le plus faible de la chaîne logistique

Un sondage, mené en 2017 par la firme de courtage d’assurance internationale Willis Towers Watson auprès de plus de deux mille entreprises des États-Unis, a révélé que la gestion des cyberrisques n’occupait pas la place de choix qui lui revenait dans la liste des priorités des entreprises. Plus de 85 % des chefs d’entreprise sondés ont affirmé que la cybersécurité était l’une de leurs plus grandes priorités, mais seuls 11 % ont mentionné « qu’ils avaient adopté et élaboré une stratégie sur les cyberrisques ».

Parmi ceux qui avaient mis en place une stratégie, moins d’un tiers (28 %) ont dit qu’ils avaient efficacement communiqué à leurs employés la stratégie accompagnée d’objectifs précis. Et seuls 8 % ont indiqué qu’ils avaient intégré la gestion des cyberrisques à leur culture d’entreprise.

Indépendamment de l’importance accordée aux cyberrisques par les entreprises canadiennes (et il reste beaucoup de chemin à parcourir), chacun n’est qu’aussi fort que le maillon le plus faible de la chaîne pour tout ce qui touche le monde virtuel.

En tête d’une série d’incidents, on se rappelle l’importante attaque par déni de service distribué (DDoS) sur les serveurs de Dyn au New Hampshire en octobre 2016. Le logiciel malveillant Mirai a infecté des appareils mobiles du monde entier, des enregistreurs vidéo numériques aux téléphones intelligents. Il a transformé des appareils en une armée de réseaux de zombies qui a submergé de requêtes les serveurs de Dyn. L’interruption de plusieurs heures qui en a découlé, survenue en Amérique du Nord et dans certains pays européens sur des plateformes commerciales telles que Netflix, Amazon et PayPal, a coûté près de 110 millions de dollars américains en pertes d’exploitation aux entreprises utilisatrices.

En février 2017, Amazon Web Services (AWS), qui est un important fournisseur de services infonuagiques pour des dizaines de milliers d’entreprises et une plateforme regroupant des millions d’utilisateurs du monde entier, a été la cible de pirates. La panne d’une durée de quatre heures a coûté, seulement aux entreprises du S&P 500, environ 150 millions de dollars américains.

Au fil de l’année, la nature et l’ampleur des attaques ont augmenté et ont pris un autre tournant. En mai, une vulnérabilité du correctif de l’agence de crédit Equifax a exposé les données de 143 millions d’Américains et de 100 000 Canadiens.

En juin, après une attaque du virus déguisé en logiciel malveillant NotPetya, « la centrale nucléaire de Tchernobyl en Ukraine a été mise hors ligne, le plus grand port de l’Inde a été paralysé, et de nombreuses entreprises internationales ont subi des répercussions », rapportent George Ng, directeur de la technologie et cofondateur de Cyence, et son collègue Philip Rosace dans le Manuel sur les cyberrisques 2018 des Sociétés Marsh & McLennan.

NotPetya a causé une interruption de plusieurs jours qui a occasionné des pertes d’exploitation de l’ordre de 300 millions de dollars à A.P. Moller-Maersk, la plus grande société de transport par conteneurs au monde. En conséquence, de nombreuses chaînes logistiques ont connu des interruptions majeures un peu partout sur le globe. L’entreprise FedEx des États-Unis a été la cible de NotPetya en septembre. L’attaque lui a causé des pertes d’exploitation de 300 millions de dollars et a paralysé les livraisons des entreprises qui dépendent de ses services.

« Au même titre que les catastrophes naturelles, ces événements ont nui à d’importants secteurs de ces entreprises à cause de failles aux principaux points de dépendance », écrivent Ng et Rosace dans le rapport de Marsh.