Les cyberattaques représentent malheureusement un risque constant pour les organisations et leurs activités. Et si la cybersécurité est souvent perçue principalement comme une affaire de technologie, la force d’une entreprise résiliente réside essentiellement dans la préparation, la coordination et la rapidité d’action de ses équipes en cas d’intrusion.

Les avocats Jasmine de Guise et David Krebs de Miller Thomson et Debora Monteiro, directrice, Cyberdéfense et cyberrésilience chez Deloitte, ont présenté, lors de la conférence « Stratégies d’avenir », en octobre dernier, un plan d’action clair : comment se préparer et réagir à une cyberattaque et se relever efficacement après un tel événement?

Qu’est-ce que la résilience numérique?

Les pare-feu ne sont plus suffisants. La résilience numérique exige un écosystème de réponse intégré, combinant le juridique, la technologie, la communication et le leadership.

Une équipe bien préparée doit pouvoir :

  • identifier et contenir rapidement les menaces;
  • limiter les dommages; et
  • rétablir les activités en toute sécurité tout en préservant les preuves nécessaires pour enquêter sur l’incident et en comprendre la nature, y compris sa cause profonde, afin d’éviter que des incidents similaires se reproduisent.

Comment réagir immédiatement après une brèche de sécurité?

Lorsqu’une atteinte à la sécurité des données se produit, les premières heures sont cruciales. Dans les premiers instants suivant une intrusion, il faut avant tout agir calmement et méthodiquement. Les experts recommandent de prévoir les étapes suivantes dans tout plan d’intervention :

  1. Ne pas agir dans la précipitation : éteindre les systèmes (« tout débrancher ») peut sembler instinctif, mais cela peut détruire des preuves cruciales et aggraver la situation. Il est parfois préférable de laisser l’attaque se dérouler sous surveillance pour en identifier la source et les traces.
  2. Rassembler votre cellule de crise : cette équipe doit immédiatement rassembler des expertises en technologie, en droit et en communications ainsi que la haute direction. Si vous n’avez pas encore constitué de cellule de crise, votre assureur ou conseiller juridique pourra vous aider.
  3. Évaluer la situation : recueillir les faits et analyser les systèmes touchés. Déterminer quels sont les « joyaux de la couronne » (les données les plus importantes).
  4. Contenir la menace : l’objectif premier est d’empêcher la propagation de l’attaque et de sécuriser les sauvegardes.
  5. Informer votre assureur : informez votre assureur même si vous ne connaissez pas tous les faits.
  6. Rançongiciel : dans ce genre de situation, il faut prendre plusieurs décisions capitales, notamment déterminer s’il y a lieu de procéder au paiement exigé et, le cas échéant, dans quelles circonstances. Évaluer les conséquences possibles d’un paiement et d’un refus de paiement, ou d’une interaction avec l’auteur de la menace, puis prendre les mesures qui s’imposent en conséquence.

À retenir :

Préparez-vous à faire face à un incident. Mettez en place un plan d’intervention en cas de cyberincident appelé à être mis à l’épreuve régulièrement par des « exercices de simulation » avec l’aide de la direction ou du conseil d’administration.

Conservez une version papier de votre plan d’intervention et de la liste de vos contacts d’urgence (experts, avocats, assureur). Ces documents vous seront utiles s’il est impossible d’accéder à vos systèmes informatiques. La vitesse de réaction est importante, mais une action réfléchie et coordonnée l’est encore plus.

Comment se préparer efficacement pour limiter l’impact d’une attaque?

La plupart des brèches résultent d’une erreur humaine : clics sur des liens frauduleux, mauvaises pratiques de mot de passe ou usage non sécurisé d’appareils personnels. La solution? Former, sensibiliser et responsabiliser l’ensemble des employés, peu importe leur rôle dans l’entreprise et leur niveau de gestion.

  • Former et sensibiliser les employés : l’erreur humaine est une cause majeure de brèches. Une formation continue et des simulations d’hameçonnage (phishing) sont indispensables.
  • Effectuer des exercices de crise et de simulation : organisez régulièrement des simulations de cyberincident avec toutes les parties prenantes (technique, juridique, communications, direction) pour tester votre plan et affuter les réflexes.
  • Faire preuve de diligence raisonnable : en cas d’incident, vous devrez démontrer que vous avez mis en place des mesures de protection raisonnables. Consigner les mesures que vous avez prises peut vous protéger.

À retenir : les entreprises qui se préparent et qui testent leur réponse sont non seulement plus résilientes, mais voient aussi le coût et la complexité d’un incident réel considérablement réduits. 

Obligations légales à la suite d’une violation de données personnelles

Les cyberincidents n’entraînent pas tous une violation de données personnelles à signaler, mais c’est souvent le cas. Il incombe à toute organisation de déterminer s’il y a lieu d’informer les personnes concernées, l’organisme de réglementation ou d’autres autorités ou organisations. Au Québec, la Loi sur la protection des renseignements personnels dans le secteur privé impose des obligations strictes aux compagnies, y compris celle de protéger les renseignements personnels dont elles ont la garde et le contrôle, et d’aviser les personnes touchées si l’atteinte est susceptible de causer un risque réel de préjudice sérieux/risque réel de préjudice important. Ces obligations existent également en vertu de la loi fédérale et de la Personal Information Protection Act de l’Alberta. Soulignons que les clients de l’entreprise tout comme les consommateurs s’attendent à ce que cette dernière agisse en toute transparence.

Pour déterminer si un événement constitue une intrusion à signaler, il faut procéder à une analyse juridique fondée sur les preuves recueillies pendant l’enquête, d’où l’importance de solliciter l’avis d’un expert.

Les intrusions ne se produisent pas toujours en interne. Votre entreprise peut avoir des obligations légales en cas d’intrusion survenue chez un fournisseur de services faisant partie de votre chaîne d’approvisionnement si ce fournisseur traitait des renseignements personnels pour votre compte ou a introduit des vulnérabilités dans les systèmes de votre entreprise. Intégrer dans vos contrats les clauses nécessaires pour protéger votre entreprise et les parties prenantes est un moyen efficace d’assurer l’efficacité d’une intervention.

À retenir : une communication transparente et conforme à la loi est impérative. Le non-respect de ces obligations peut entraîner des amendes réglementaires, des poursuites et une perte de confiance de la part des clients et partenaires.

Après une attaque : reconstruire et apprendre

L’après-crise est aussi une occasion d’amélioration. Les entreprises qui sortent renforcées d’une attaque sont celles qui :

  • mènent des enquêtes minutieuses;
  • communiquent le bon message au moment opportun aux parties prenantes qu’il convient d’informer;
  • cernent la cause profonde et apportent les correctifs nécessaires; et
  • ajustent leurs politiques et processus dans une optique d’amélioration continue.

Conclusion

Une bonne stratégie de cybersécurité ne repose pas uniquement sur les systèmes, mais aussi sur un plan précis, une équipe préparée, un cadre juridique solide et une culture organisationnelle proactive. C’est en combinant ces leviers que les entreprises peuvent véritablement protéger ce qui compte le plus : leur réputation, leurs données et la confiance de leurs clients.

Pour obtenir des conseils détaillés sur l’élaboration d’un plan sur mesure visant à renforcer la résilience de votre entreprise face aux cybermenaces, communiquez avec le groupe Protection de la vie privée et cybersécurité de Miller Thomson.