Au cours des dernières années, la complexité, la fréquence et l’ampleur des cyberattaques n’ont cessé d’augmenter. Les médias rapportent ce qui semble être une cyberattaque majeure presque chaque semaine. Les pirates informatiques visent des entreprises de tous les secteurs, y compris les organismes de bienfaisance et à but non lucratif, et ont recours à des techniques diverses comme les menaces persistantes avancées (« MPA ») ou les campagnes ciblées et complexes d’hameçonnage.
Dans un tel contexte, comment les entreprises peuvent-elles se préparer à affronter l’inattendu? Bien sûr, les défis sont de taille, mais ils ne sont pas insurmontables. Une cyberattaque peut avoir des répercussions importantes sur une entreprise (litiges, atteinte à la réputation, frais de reprise des activités, etc.). Dans de nombreux cas, les entreprises risquent de perdre la confiance des parties prenantes internes et externes s’il s’avère qu’elles n’ont pas investi suffisamment de temps, de ressources et d’énergie pour se préparer à cette éventualité. D’un autre côté, les entreprises qui investissent dans la préparation sont bien mieux outillées pour gérer efficacement les répercussions négatives d’une cyberattaque et les limiter.
Les membres de la direction peuvent adopter des mesures diverses pour préparer leur entreprise à se défendre contre une cyberattaque. Ces mesures n’élimineront pas tous les risques, mais elles permettront certainement d’en réduire les répercussions négatives et de démontrer que la direction a fait preuve de diligence.
Préparer le terrain.
Pour lutter contre les menaces cybernétiques, l’entreprise doit avoir en mains le plan de ses réseaux et de ses systèmes informatiques ainsi qu’une description claire des fonctions opérationnelles essentielles, du lieu de stockage des données critiques et du mode de protection de ces données. L’entreprise peut crypter ou segmenter l’ensemble des données critiques, et accorder un accès réseau limité aux employés de sorte qu’ils n’aient accès qu’aux seules données dont ils ont besoin pour effectuer leur travail.
Mettre sur pied une équipe de cybersurveillance.
La communication entre les différents services et la coordination sont des méthodes de travail cruciales pour lutter efficacement contre toute cyberattaque. L’entreprise peut mettre sur pied une équipe composée de gestionnaires et de professionnels compétents (internes et externes). Cette équipe doit tenir des rencontres régulières pour évaluer les niveaux de menace, discuter des mesures à prendre pour combler les lacunes et présenter des recommandations à la direction sur la façon de protéger les actifs numériques de la société. Cette équipe ne devrait pas se composer uniquement de membres des Services technologiques – ou d’un consultant en informatique dans les PME – et elle ne devrait pas assumer seule toutes les responsabilités. En effet, l’équipe devrait également compter dans ses rangs des représentants des services juridiques et de la direction. Lors de la constitution de l’équipe, il est important de veiller à ce que les bonnes personnes se retrouvent autour de la table et à ce que le mandat de l’équipe et la liste des objectifs soient clairs.
Tester les mesures de sécurité et les vérifier.
Chaque mesure de sécurité mise en place par une entreprise doit être testée et faire l’objet d’une vérification régulière. Les résultats de ces vérifications devraient être présentés régulièrement à l’équipe de direction pour que celle-ci soit consciente des cybermenaces potentielles, qu’elle comprenne le profil de risque de l’entreprise, qu’elle évalue l’efficacité des mesures de défense en vigueur et qu’elle puisse apporter les correctifs nécessaires. Si elle le juge nécessaire et approprié, l’entreprise peut charger des experts externes ou des tiers spécialisés en cybersécurité de vérifier les mesures de sécurité ou de suggérer des mesures correctives.
Sensibiliser et former le personnel, et répéter.
La formation du personnel constitue un élément essentiel, voire crucial dans la prévention des cyberattaques. Les membres du personnel doivent comprendre l’importance de protéger les renseignements détenus par l’entreprise, ce qui sous-entend avoir une certaine connaissance des risques cybernétiques et savoir faire preuve de jugement lorsqu’ils sont confrontés à des cybermenaces, comme les tentatives d’hameçonnage ciblé.
Les membres du personnel doivent connaître les politiques et les meilleures pratiques à respecter sur le lieu de travail et bien les comprendre (par exemple, savoir comment éviter les cybermenaces, comme l’hameçonnage ciblé, ou comment protéger les données lorsqu’ils se rendent à des conférences ou à des réunions hors de leur lieu habituel de travail). Ces politiques devraient être rédigées en termes simples et concrets.
Compte tenu de l’évolution constante des cybermenaces, le personnel devrait pouvoir assister régulièrement à des ateliers de formation, y compris à des ateliers de mise à niveau de leurs connaissances.
Faire attention aux risques liés à la chaîne d’approvisionnement.
L’entreprise peut réduire les risques liés aux fournisseurs et à la chaîne d’approvisionnement en ne donnant accès à son réseau que lorsque cela est nécessaire. L’entreprise devrait exiger de ses fournisseurs qu’ils l’avisent de toute possible atteinte à leur sécurité, qu’ils vérifient la sécurité de leurs tiers et qu’ils prévoient des mesures d’indemnisation adéquates. L’entreprise devrait également demander à ses fournisseurs et à leurs employés d’appliquer des mesures de sécurité cybernétique appropriées.
Souscrire une assurance contre les risques cybernétiques.
L’assurance constitue une mesure essentielle en matière de gestion des risques et est un moyen de protection important en cas d’imprévu. L’entreprise devrait passer en revue les assurances dont elle dispose en cas de cyberattaque. Si ces assurances sont insuffisantes, l’entreprise peut souscrire une assurance contre les risques cybernétiques pour se protéger contre toute atteinte à la sécurité de son réseau, la perte de données et les frais de litige. Toutefois, la souscription d’une assurance ne constitue qu’une solution incomplète, car la garantie ne peut couvrir qu’une fraction des coûts en cas de cyberattaque. Par ailleurs, les primes d’assurance sont souvent établies en tenant compte de la présence ou non de mesures d’atténuation des risques cybernétiques au sein de l’entreprise.
Avoir un plan.
L’entreprise doit se préparer à l’éventualité d’une cyberattaque et que cette attaque porte atteinte à ses données et à son réseau. La lutte contre toute attaque dépend essentiellement de la préparation. En effet, l’entreprise devrait réfléchir aux principaux points de droit et autres enjeux à régler en cas de cyberattaque (avis aux organismes de réglementation et aux agences de sécurité, secret professionnel, rapport à la haute direction, programme de reprise des activités, stratégie de relations publiques, etc.).
Un grand nombre de ces mesures doivent être adaptées aux activités de l’entreprise et à ses opérations quotidiennes. Toute entreprise qui adopte des mesures de cybersécurité (sur le plan de la gouvernance et de la conformité et en matière technique) doit absolument retenir les services d’experts externes (conseillers juridiques, consultants et autres conseillers ayant une expertise particulière à ce sujet) pour qu’ils l’aident à mettre en place de telles mesures. Il est vrai que toute entreprise qui consacre, en amont, du temps et des efforts pour atténuer les répercussions d’une cyberattaque se retrouvera dans une situation beaucoup plus favorable si le cas se présente.
