Si vous avez l’impression d’à peine commencer à comprendre le contexte en évolution des cyberrisques, et que vous tentez tant bien que mal de vous mettre à jour, rassurez-vous, vous n’êtes pas seul. Près de 90 % des entreprises ayant répondu au sondage mondial sur la sécurité de l’information d’EY en 2017-2018 ont indiqué que la cybersécurité de leur entreprise n’était pas suffisante pour répondre à leurs besoins.

Toutefois, les entreprises ont des raisons juridiques et financières pour commencer à s’intéresser au paysage en mutation des cyberrisques. La cybersécurité doit être intégrée dans la planification des affaires et la stratégie numérique. L’ensemble de votre personnel doit comprendre son rôle afin de réduire la vulnérabilité de l’entreprise aux cyberattaques.

Le cyberespace connaît une évolution rapide. Les trois circonstances suivantes auront une incidence sur votre manière de concevoir ou d’ajuster votre plan de gestion des cyberrisques en 2018 :

  • Le Canada et l’Union européenne sont en voie de mettre en place de nouvelles lois concernant la protection des données personnelles.
  • Les employés constituent autant la première ligne de défense que le principal point de vulnérabilité pour ce qui est de la cybersécurité.
  • La dépendance croissante envers les technologies numériques dans les processus d’affaires signifie que les évaluations des cyberrisques doivent être intégrées dans toutes les sphères de votre planification.

Nouvelles lois sur la confidentialité des données au Canada et dans l’Union européenne

D’un point de vue juridique, vous avez la responsabilité de préserver la confidentialité des informations d’autrui. Le défaut de recueillir, de protéger, de détruire et de mapper les données de façon adéquate pourrait vous coûter cher.

De nombreuses organisations recueillent les données personnelles de Canadiens et d’individus provenant de l’étranger dans le cadre de leurs activités quotidiennes. Si vous détenez des renseignements personnels sur des individus (numéros de carte de crédit, adresses, informations sur la santé ou autres données confidentielles), vous avez la responsabilité de protéger ces données. De nos jours, cet engagement devient de plus en plus difficile à tenir.

En outre, les lois canadiennes concernant les données personnelles devraient changer cette année. En vertu des nouvelles lois, les entreprises devront déclarer les atteintes à la protection des données au Commissariat à la protection de la vie privée du Canada et aviser les individus touchés par les violations. Des exemptions sont prévues pour certaines transactions commerciales. Toutefois, aux termes des nouvelles lois, vous serez passible d’une amende de 100 000 $ si vous subissez une atteinte à la protection des données et que vous n’en avisez pas le Commissariat.

Au cours des huit dernières années, plus de 7,1 milliards d’identités ont été exposées en raison de violations de données.

Manuel sur les cyberrisques 2018  —  Sociétés Marsh & McLennan

Les provinces ont également leurs propres lois en ce qui concerne la protection des données personnelles, et plus particulièrement des données médicales. La législation de l’Alberta est la mieux définie sur le sujet.

Les nouvelles modifications de lois à venir au Canada préciseront également comment, quand et à qui signaler les atteintes à la protection des données. En fin de compte, la nouvelle version de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) vise à protéger les consommateurs. Une fois les modifications en vigueur, les entreprises seront responsables de faire tout en leur possible pour protéger les renseignements personnels et veiller à leur bonne utilisation

« Lorsque les nouvelles exigences entreront en vigueur, nous nous attendons à une augmentation des recours, surtout des actions collectives », indique Molly Reynolds, associée principale chez Torys LLP à Toronto.

Afin de se conformer à la nouvelle loi, les entreprises seront légalement tenues de préciser les mesures qu’elles prendront pour aviser les individus ayant été ciblés par une violation de données. La notification aux personnes concernées, pouvant être orale ou écrite, devra inclure les éléments suivants :

  • La date de l’incident
  • Une description des renseignements personnels en cause
  • Les mesures prises par l’organisation pour réduire le risque de préjudice envers les personnes concernées
  • Les mesures pouvant être prises par les personnes concernées pour protéger leurs informations dans l’avenir
  • Les coordonnées de l’organisation
  • Des instructions sur la marche à suivre pour formuler une plainte à l’organisation ou au Commissariat

Reynolds signale que les poursuites sont déjà pratique courante à la suite d’une atteinte à la protection des données, mais qu’avec les nouvelles lois, les actions collectives auront plus de chances de succès.

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) vise la collecte, l’utilisation ou la communication de renseignements personnels par toutes les organisations dans le cadre d’une activité commerciale.

 —  Gazette du Canada, 22 septembre 2017

« Les litiges invoquant une atteinte à la vie privée ou des dommages causés par une perte de données sont extrêmement communs après la divulgation publique d’atteintes sérieuses à la protection des données », informe Reynolds.

« Ces causes présentent généralement des réclamations très importantes (de l’ordre de dizaines de millions de dollars bien souvent), mais elles se résolvent par un arrangement à l’amiable dans la plupart des cas. Malgré la possibilité d’une entente à l’amiable, les poursuites pour atteinte à la protection de données peuvent occasionner des frais juridiques très élevés au stade des étapes préliminaires. »

De plus, l’obligation de tenir un registre de toutes les violations, même celles n’ayant pas été signalées, posera un risque supplémentaire pour les entreprises en vertu de la nouvelle loi proposée.

« Le Commissariat fédéral à la protection de la vie privée peut vérifier ces registres », déclare Reynolds. « Les conséquences juridiques et les atteintes à la réputation liées au fait de ne pas divulguer une violation de données pourraient être encore plus sérieuses que la violation en soi, dans le cas où celle-ci serait ensuite reconnue par le Commissariat à la protection de la vie privée comme une brèche assez grave pour mériter un signalement. »

« Les entreprises pourraient être passibles d’amendes et subir des pertes si elles ne se conformaient pas aux obligations imposées par les lois sur la confidentialité. »

De nouvelles lois seront mises en place dans l’Union européenne (UE) en mai, et leur portée sera mondiale.

Adoptée en 2016, la législation imposera aux entreprises, quel que soit l’emplacement de leur siège social, de se conformer aux lois de l’UE si elles utilisent les renseignements personnels de citoyens de l’UE dans le cadre de leurs transactions commerciales. Ces lois auront préséance sur la législation sur la protection des données personnelles déjà en vigueur dans les pays membres de l’UE.

On s’attend à ce que la législation européenne, dénommée règlement général sur la protection des données (RGPD) soit la plus stricte au monde sur le sujet. Il n’y a pas de doute qu’elle aura un effet sur vos pratiques commerciales. Le règlement exige :

  • La notification des violations des données dans les 72 heures;
  • L’utilisation d’un langage clair pour demander le consentement d’autrui concernant l’utilisation des données personnelles;
  • De faire en sorte que le consentement puisse être retiré de façon simple et directe;
  • L’application de la clause du droit à l’effacement, obligeant les entreprises à détruire des données personnelles à la demande des personnes concernées.

Les entreprises ne répondant pas à ces exigences seront passibles d’une amende représentant 4 % de leurs ventes internationales annuelles, jusqu’à concurrence de 20 millions d’euros.

« La traçabilité des données et la définition de leur localisation peuvent représenter un défi, mais il est nécessaire de s’informer afin de comprendre où se situent les brèches », indique Thomas Davies, partenaire associé pour la cybersécurité chez EY Canada. « Vous devez aussi penser à la façon dont vous répondrez à la demande d’un client formulée ainsi : ‘Je ne veux plus que vous déteniez mes données.’ Comment réussirez-vous à prouver que toutes les données liées à cette personne ont été éliminées? »

La montée des logiciels de rançon et de l’hameçonnage prouve que les employés sont au cœur de la gestion des cyberrisques

Selon le sondage mondial d’EY, 77 % des entreprises croient que les employés insouciants sont la première source des cyberattaques.

La gestion des cyberrisques ne peut plus être reléguée au second plan ou être considérée comme la responsabilité d’une poignée de spécialistes de la sécurité informatique. Les mesures de cybersécurité doivent d’abord être traitées par le conseil d’administration et être transférées aux échelons inférieurs, pour ensuite être communiquées à l’ensemble de l’organisation pour leur mise en application.

« Vous ne pouvez pas confier la cybersécurité à un nombre limité de spécialistes au sein de votre organisation », prévient Davies. « Vous devez outiller vos employés afin que chacun d’eux soit apte à grossir les rangs de l’équipe de la sécurité. »

L’une des tactiques favorites des pirates informatiques est l’hameçonnage, communément appelée « piratage psychologique » dans les sphères de la gestion du risque. Il s’agit pour les intrus de créer des courriels frauduleux paraissant provenir d’expéditeurs légitimes, ou encore de personnes au sein de votre entreprise. Lorsque bien conçus, ces courriels réussissent à amener les employés à révéler des données (des informations de cartes de crédit ou des mots de passe, par exemple) qui donneront aux pirates l’accès au système d’une entreprise.

À d’autres occasions, comme dans le cas très illustre de la firme allemande thyssenkrupp AG survenu l’an dernier, les compétiteurs obtiennent l’accès à de l’information confidentielle ou à des secrets commerciaux de nature technique.

« En fin de compte, ce que les malfaiteurs veulent toujours, c’est recueillir des données », indique Davies.

« Les employés sont les principales cibles. Si vous avez 5 000 employés, ce sont 5 000 cibles susceptibles de se faire dérober les identifiants qu’ils utilisent au travail. Il ne suffit que d’une seule personne pour tomber dans le panneau; et les probabilités ne jouent pas en notre faveur. »

Davies fait remarquer que les logiciels de rançon et les logiciels malveillants sont désormais extrêmement sophistiqués.

« Que vous soyez un grand vétéran de la sécurité des technologies de l’information ou que vous n’ayez jamais touché aux technologies, ces attaques par courriel sont de plus en plus évoluées », indique Davies.

La montée des logiciels de rançon

À l’aide des logiciels de rançon, les pirates informatiques peuvent bloquer des accès ou dérober des données et les tenir en otage en échange d’une rançon, sous forme d’actions ou d’argent. Les logiciels de rançon sont maintenant très lucratifs.

Après une année 2015 étonnamment tranquille, les deux années suivantes ont connu une résurgence des actes commis par l’intermédiaire de logiciels de rançon. Le nombre d’incidents est passé de 340 665 en 2015 à 463 841 en 2016, selon des données publiées par des analystes de la sécurité de la firme Cyence dans le Manuel sur les cyberrisques 2018 des Sociétés Marsh & McLennan. Le plus alarmant est sûrement l’augmentation (presque au triple) de la moyenne des sommes versées en rançons entre 2014 et 2016 : elles sont passées de 373 $ à 1 077 $.

Comme on aurait pu s’y attendre, l’argent versé dans les cas récents était sous forme de monnaie virtuelle, c’est-à-dire de bitcoin. Les utilisateurs du bitcoin étant anonymes, il est plus facile pour les cybercriminels de commettre des vols sans se faire prendre. Toutefois, le bitcoin est basé sur la technologie des chaînes de blocs, un procédé permettant d’effectuer des transactions en ligne de façon sécuritaire.

Bon nombre d’analystes prédisent donc que l’amélioration de l’authentification des transactions en ligne par les chaînes de blocs pourrait être la prochaine grande avancée dans le domaine de la cybersécurité.

La gestion des employés devrait être traitée dans votre plan sur les cyberrisques

Il y a de fortes probabilités de subir des menaces internes à cause d’anciens employés ou d’employés mécontents, fait remarquer Dre Helen Ofosu, consultante en ressources humaines et psychologue chez I/O Advisory Services ayant fait des recherches sur la convergence du monde virtuel et des ressources humaines. Elle avance que la gestion des cyberrisques doit s’intégrer pleinement à la gestion des talents et à la culture de l’entreprise.

« Lorsque les employés se sentent frustrés, fâchés ou lésés, les occasions pour eux de poser des gestes allant à l’encontre de l’organisation sont favorables », signale Ofosu. « La question de la cybersécurité fait de l’intimidation et du harcèlement des comportements très fréquents et encore plus lourds de conséquences pour les organisations. Il est conseillé de promouvoir une meilleure utilisation des sondages auprès des employés, pour prendre connaissance de leur réalité et savoir s’ils sont mécontents, et dans l’affirmative, prendre des mesures concrètes pour résoudre les problèmes au lieu de les laisser s’aggraver. »

« En général, si l’entreprise connaît des fusions et acquisitions ou une restructuration majeure, et que ces processus sont mal gérés, il se peut que trois, six ou douze mois plus tard, des soubresauts ou d’autres événements malencontreux découlent de cybermenaces à l’interne », dit-elle.

Les technologies numériques évoluent rapidement, et votre plan sur les cyberrisques doit s’adapter en conséquence

L’adoption rapide des nouvelles technologies pour l’amélioration de la productivité et de l’efficacité des entreprises est une bonne chose. Pour les petites entreprises particulièrement, l’automatisation des processus permet de confier aux ordinateurs et aux robots le travail routinier et de laisser aux employés plus de temps pour les tâches complexes et stratégiques.

Bien souvent, cependant, autant dans votre entreprise que chez vos fournisseurs ou vos partenaires dans la chaîne logistique, les nouvelles technologies sont adoptées à un rythme si fulgurant qu’il est difficile pour les organisations de définir des niveaux d’activité « normaux ». En d’autres termes, la ligne directrice, à la base de toute stratégie de gestion de risque, semble changer de direction à tout moment.

Voici quelques éléments à prendre en considération au moment de déterminer une ligne directrice en matière de cybersécurité :

Savez-vous dans quelle mesure les technologies que vous adoptez correspondent à votre plan d’affaires général et quels seront les effets de leur utilisation sur votre contexte de cyberrisques?

« Quel est le niveau de risque de cette technologie pour votre entreprise? », demande Davies. « Si quelqu’un pose un geste malveillant ou néfaste et réussit à contrôler cet appareil ou ce pan de votre réseau, quelles seront les conséquences? »

Sélectionnez-vous vos fournisseurs avec soin? Selon le sondage mondial d’EY, la majorité des entreprises utilisent désormais des plateformes infonuagiques pour stocker leurs données. Les attaques de l’an dernier contre Amazon Web Services (AWS) et l’infiltration des serveurs de Dyn en 2016 sont la preuve que toutes les entreprises dépendant de l’infonuagique sont vulnérables.

« Vous devez évaluer les risques des tiers au même titre que les risques propres à votre organisation », met en garde Davies. « Les services offerts par des tiers sont essentiels, autant pour les petites que les grandes entreprises, mais vous devez être plus rigoureux lorsqu’il s’agit de leur donner accès à vos données. »

Selon Davies, les tiers sont une source permettant aux intrus de s’infiltrer facilement dans votre environnement, car bien souvent, ils se connectent à votre système par l’entremise de réseaux sécurisés.

Davies recommande d’abord de comprendre l’ampleur de l’accès que les tiers ont à vos systèmes d’importance et de grande valeur, et de savoir si le fait d’accéder à une partie de votre réseau leur permet également d’avoir accès à d’autres parties de celui-ci.

« Vous devriez demander aux tiers quelles sont leurs normes minimales, afin de vous assurer qu’elles satisfont aux vôtres », recommande Davies.

Avez-vous des redondances informatiques pour mitiger le risque lié aux pertes pour interruption d’exploitation?

En fonction du niveau d’importance des technologies connectées pour vos opérations, les attaques pourraient vous occasionner des pannes prolongées. Les interruptions d’exploitation peuvent être coûteuses. Utilisez-vous des systèmes automatisés pour verser le salaire des employés, commander des fournitures ou faire de la surveillance? Dépendez-vous de fournisseurs externes pour vendre vos biens et services, effectuer des transactions, expédier des biens ou réaliser des campagnes de marketing? Vous devez absolument avoir un plan de sauvegarde.

La bonne nouvelle est que la gestion de la cybersécurité n’est pas si compliquée. « Il y a quatre choses que vous pouvez faire dès maintenant pour mieux vous positionner quant à la gestion des cyberrisques, si vous décidez vraiment d’en faire une priorité », signale Davies.

4 façons d’améliorer votre stratégie sur la cybersécurité

Définissez une politique sur les cyberrisques au sein de votre politique d’entreprise

1. Définissez une politique sur les cyberrisques au sein de votre politique d’entreprise.

« Vous devez vraiment comprendre ce qui vous permettra d’avancer, mais si vous n’avez pas de lignes directrices, vous vous perdrez », énonce Thomas Davies, partenaire associé pour la cybersécurité chez EY Canada. La gestion des cyberrisques est-elle une priorité au sein de votre entreprise? Cette question doit être adressée aux plus hautes sphères de votre organisation.

Formez vos employés sur la cybersécurité

2. Formez vos employés sur la cybersécurité.

« Il est important de faire en sorte que votre équipe ait les outils et les connaissances nécessaires pour mettre en œuvre le plan que vous avez élaboré », dit Davies. « Les employés de première ligne sont les plus susceptibles de recueillir les données. Savent-ils comment recueillir ces données, en préserver la confidentialité et les détruire, le cas échéant? »

Alignez la cybersécurité avec la stratégie numérique de vos activités

3. Alignez la cybersécurité avec la stratégie numérique de vos activités.

Parallèlement à l’acquisition de nouveaux outils favorisant l’efficacité, vous devez déterminer les effets de ces mêmes outils sur vos activités centrales, dans tous les aspects liés au cyberespace. « L’outil permet-il à votre politique et à votre programme de progresser ou de combler un manque de temps ou de compétences? Au bout du compte, il doit y avoir une bonne raison pour justifier l’achat de l’outil », mentionne Davies. « Bien souvent, les entreprises achètent des produits sans avoir vraiment déterminé la valeur qu’ils peuvent apporter et les effets qu’ils auront sur les programmes en place, et ce, sans même tenir compte des cyberrisques. »

Comprenez l’importance de vos données

4. Comprenez l’importance de vos données.

Quel est le niveau d’importance des données que vous recueillez et que représentent-elles pour vos clients? Qui a accès à ces données? « Contrôlez-vous ces données? Êtes-vous en mesure de savoir qui y a accès, et pour quelles raisons? », demande Davies. « Il n’est pas rare que les employés aient accès à des données dont ils n’ont pas besoin pour accomplir leur travail. » Davies ajoute ceci : vous assurer que vos fournisseurs, ou d’autres tiers, ont établi des normes minimales qui respectent vos propres politiques de gestion des cyberrisques est primordial à ce stade-ci.