Mesures tactiques et stratégiques pour bien se préparer aux cyberincidents

30 septembre 2022 | David Krebs

Pour donner le coup d’envoi du mois de la sensibilisation à la cybersécurité de cette année, nous avons décidé de publier un article portant sur des incidents survenus durant la dernière année et sur les conseils que nous avons fournis aux organisations, grandes et petites de tous les secteurs, pour les aider à surmonter l’épreuve que représentent les cyberattaques, l’extorsion de données et les autres incidents de violation de la sécurité des données. Cet article vise à présenter certaines des principales mesures qui pourraient empêcher ces attaques d’avoir des conséquences désastreuses sur l’organisation qui en est victime.

L’importance accrue de bien se préparer aux incidents

Les attaques par rançongiciel, qui font désormais généralement appel à un modèle de double extorsion (cryptage des données et extorsion des données), et les autres cybercrimes, comme l’ingénierie sociale et les arnaques par courriel, connaissent une augmentation rapide au Canada. Selon le Centre canadien pour la cybersécurité, les attaques par rançongiciel ont augmenté de 151 % en un an au cours du premier semestre de 2021. D’après de nombreuses sources, cette tendance semble se maintenir en 2022. Et c’est exactement ce que nous avons observé.

Pour intervenir sur le plan de la réglementation, le ministre canadien de la Sécurité publique a présenté, en juin de cette année, le projet de loi C-26 (parallèlement au projet de loi C-27, qui vise à mettre à jour la législation fédérale canadienne sur la protection de la vie privée dans le secteur privé). Le projet de loi C-26 a modifié la Loi sur les télécommunications du Canada et mis en place la Loi sur la protection des cybersystèmes essentiels dans le but de renforcer la cybersécurité des infrastructures essentielles réglementées au fédéral (secteurs financier, énergétique, des télécommunications et du transport). Ces programmes de cybersécurité doivent prévoir la mise en œuvre de mesures raisonnables visant à détecter et à limiter les incidents de cybersécurité, en plus de gérer les risques organisationnels, comme les risques associés à la chaîne d’approvisionnement et à l’utilisation de produits et services tiers. Bien que ces programmes ne soient pas directement applicables à d’autres secteurs, leur mise en œuvre est importante pour la plupart des organisations.

La CISA, l’agence américaine pour la cybersécurité et la sécurité des infrastructures, propose actuellement quatre mesures simples que chacun peut prendre pour renforcer la cybersécurité.

Pour reprendre un cliché, la question n’est pas de savoir si un problème en matière de cybersécurité va survenir, mais quand il va survenir. Ce sont les contrôles et le degré de préparation de l’organisation visée qui lui permettront de gérer ces incidents en subissant le moins de dommages possible.

Ces mesures ne sont pas une panacée qui empêchera tous les cas de violation, mais elles constituent de puissants outils de prévention des conséquences graves. Elles semblent assez simples, mais leur mise en œuvre n’est absolument pas la même dans tous les secteurs et dans tout le pays. Sans la volonté, les ressources et les connaissances de l’organisation, ces mesures seront mises en œuvre de façon inadéquate ou inégale.

Les quatre mesures « simples » de la CISA

  • Activer l’authentification à facteurs multiples (AFM).
  • Utiliser des mots de passe robustes.
  • Reconnaître et signaler les tentatives d’hameçonnage.
  • Mettre à jour vos logiciels.

Le Centre canadien pour la cybersécurité présente les six meilleures mesures que les entreprises peuvent prendre pour protéger leurs systèmes et prévenir les attaques :

  • Élaborer un plan d’intervention en cas d’incident.
  • Appliquer des correctifs aux systèmes.
  • Utiliser une authentification robuste.
  • Sauvegarder les données hors ligne.
  • Activer les logiciels de sécurité.
  • Former les employés.

Mesures fondamentales et programmatiques

Ces mesures de sécurité, qu’elles soient techniques ou organisationnelles, doivent être planifiées, mises en œuvre et soutenues en interne. L’organisation et ses dirigeants doivent les adopter.

Par exemple, l’organisation doit gérer et mettre en place une politique de création de mots de passe qui lui assure la meilleure protection possible. Outre l’obligation d’utiliser des mots de passe robustes, les employés doivent recevoir une formation sur l’importance de ne pas réutiliser leurs mots de passe dans leur vie privée et de ne pas les communiquer à quiconque, ainsi que sur la bonne façon de les conserver.

Pour reconnaître les tentatives d’hameçonnage, les employés doivent être formés et sensibilisés aux risques. Et pour signaler les tentatives d’hameçonnage, les organisations doivent se doter d’une infrastructure et de processus de signalement aux échelons supérieurs. Des routines d’application de correctifs doivent être élaborées, appliquées et surveillées. Pour mettre en place un processus d’AFM, les organisations doivent avoir la volonté, les ressources et le temps nécessaires pour le faire. Ces exemples montrent que même si ces mesures sont faciles à comprendre, elles ne sont pas forcément faciles à mettre en œuvre au sein d’une organisation.

Voilà pourquoi un bon programme de cybersécurité doit comporter les mesures supplémentaires ci-après pour être efficace :

  • Connaissances et leadership. La direction et le conseil d’administration doivent comprendre et connaître les risques et le cadre réglementaire. Un dirigeant doit être responsable de la sécurité des données et bénéficier du soutien et des ressources nécessaires pour gérer les risques qui pèsent sur l’organisation.
  • Préparation aux incidents. Les incidents sont inévitables; les organisations doivent se doter d’un plan qui définit la séquence possible des événements, la composition des équipes interne et externe, ainsi que la manière de déployer les ressources et le moment qu’il convient de le faire. Cela englobe notamment la nécessité de connaître et d’évaluer ses besoins en matière d’assurance afin d’obtenir la couverture appropriée et de procéder en même temps à une évaluation des risques. Il faut également prendre en compte toutes les particularités propres à votre organisation ou entreprise qui pourraient compliquer la mise en œuvre des mesures d’intervention en cas d’incident. Par exemple : Une relation a-t-elle été établie avec un client clé? Des systèmes sont-ils particulièrement vulnérables? Des systèmes contiennent-ils des renseignements particulièrement sensibles?
  • Sensibilisation à la protection de la vie privée. Des mesures de sécurité solides aident les organisations à se conformer aux lois sur la protection de la vie privée. Le fait de connaître et de respecter les lois sur la protection de la vie privée aide les organisations à gérer et à protéger leurs données en fonction de leur sensibilité, à bien réagir aux incidents et à établir l’ordre de priorité des ressources.
  • Fournisseurs et clients. Les dispositions des contrats conclus avec les fournisseurs et les clients doivent tenir compte des besoins des organisations, y compris les dispositions qui favorisent la conformité aux contrats et à la réglementation.
  • Les données. Connaître les données que l’on possède. Cet élément fait partie de la préparation aux incidents, mais joue aussi un autre rôle. Comprendre les données est une composante du processus d’atténuation des risques et de la gouvernance des données.
  • Affecter des ressources suffisantes. Une fois que l’organisation a compris les risques, elle peut affecter les ressources appropriées, ce qui comprend l’évaluation des besoins en matière de cyberassurance.

Avis de non-responsabilité

Les renseignements affichés sur ce blogue contiennent des points de droit variés fournis uniquement à des fins informatives et non commerciales. Ces renseignements ne constituent pas un avis juridique de la part de l’auteur. Nous mettons en garde les lecteurs de ne pas prendre de décision particulière sans avoir préalablement obtenu l’avis juridique d’un professionnel qualifié. Toute personne qui décide de prendre une décision en s’appuyant sur ces renseignements le fait à ses propres risques.