< Browse more articles

Pensez au scénario suivant : vous recevez un appel de votre chef des technologies de l’information vous disant que le réseau de votre organisation a été la cible de pirates informatiques et que les renseignements relatifs à vos membres, employés, partenaires et autres parties prenantes ont probablement été volés. Ce scénario n’est pas aussi irréaliste qu’il peut sembler. En fait, les cyberattaques ont connu une augmentation régulière en matière de sophistication, de fréquence et d’amplitude – les médias signalent d’ailleurs ce qui semble être des cyberattaques majeures presque chaque semaine. Dans un tel contexte, comment les organisations devraient-elles se préparer à l’inattendu? Bien que le défi soit de taille, il n’est pas insurmontable – en autant que la direction se montre active et ait un plan clair sur la manière de réagir à une cyberattaque.

Le terme « cybersécurité » fait généralement référence aux mesures de protection technique, physique, administrative et organisationnelle qu’une organisation met en oeuvre pour protéger notamment les « renseignements personnels », les secrets commerciaux et autres propriétés intellectuelles, le réseau et les biens associés. En matière de cybersécurité, le conseil d’administration et (ou) les dirigeants de l’organisation ont une responsabilité de surveillance du risque – ce qui signifie qu’ils doivent superviser les systèmes corporatifs qui assurent que les risques de cybersécurité sont gérés adéquatement.

Dans bien des cas, les conséquences d’une cyberattaque (p. ex. les dommages à la réputation, les coûts des mesures correctives, etc.) peuvent être atténuées de manière significative si la direction a pris des mesures pour préparer effectivement l’organisation à réagir rapidement et efficacement à une cyberattaque.

Préparer votre organisation

Il existe plusieurs mesures à prendre par la direction pour préparer votre organisation à résister à une cyberattaque. Ces mesures n’élimineront pas complètement la possibilité d’une cyberattaque, mais elles atténueront certes les conséquences négatives d’une telle attaque et serviront également à démontrer que la direction a agi de manière diligente.

  • Sachez où vous vous situez. Afin de vous préparer adéquatement à de possibles cybermenaces, recensez les réseaux et les systèmes de TI de votre organisation, y compris une vision claire des fonctions d’affaires clés, de même que l’endroit où se trouvent les données critiques de l’organisation et comment elles sont protégées. Envisagez de crypter toutes les données critiques et de limiter les privilèges de réseau de vos employés seulement aux données qui leur sont nécessaires pour exécuter leurs tâches.
  • Formez une équipe de cybersurveillance. La communication et la coordination entre les différents services sont essentielles pour contrer efficacement les cybermenaces. Songez à former une équipe constituée de dirigeants et de professionnels bien informés (à l’interne et à l’externe) qui se réuniront régulièrement pour évaluer les niveaux de menace, discuter des façons de traiter les lacunes et de faire des recommandations à la direction sur la manière de protéger les biens numériques de l’organisation. L’équipe ne devrait pas se limiter, ni être la seule responsabilité de votre service de TI – l’équipe devrait aussi inclure des cadres juridiques et administratifs. Au moment de constituer l’équipe, il faudrait veiller à faire en sorte que les bonnes personnes siègent autour de la table, et que le mandat et les éléments livrables soient clairs.
  • Vérifiez et testez les mesures de sécurité. Chaque mesure de sécurité que l’organisation met en place devrait être vérifiée et testée régulièrement. Il convient également de faire rapport régulièrement des résultats de ces vérifications à la direction afin d’assurer que l’équipe dirigeante soit au courant de toutes cybermenaces potentielles, comprenne le profil de risque de l’organisation à cet égard, évalue l’efficacité des défenses en place et soit en mesure d’appliquer les correctifs requis. Si nécessaire et approprié, songez à engager des experts en sécurité provenant d’une tierce partie pour mener des vérifications ou suggérer des mesures correctrices.
  • Informez et formez le personnel, puis répétez. La formation du personnel se veut un élément essentiel de la cybersécurité (sinon l’un des plus importants). Ils doivent comprendre l’importance de protéger les renseignements que détient l’organisation. À cette fin, le personnel nécessitera des notions de base sur les risques potentiels et comment avoir de bons jugements en ligne face à des cybermenaces telles que le hameçonnage.

    Le personnel doit connaître et comprendre les politiques et les meilleures pratiques que vous vous attendez à ce qu’il suive au travail (p. ex. comment éviter des cybermenaces telles que le hameçonnage ou comment sécuriser les données se dirigeant vers des conférences ou réunions à l’extérieur). Ces politiques devraient être rédigées en termes simples et pratiques.

    Compte tenu que les cybermenaces évoluent constamment, assurez une formation régulière du personnel, y compris des ateliers de mise à jour.

  • Soyez conscients des risques de la chaîne d’approvisionnement. Traitez le risque potentiel provenant des fournisseurs et de la chaîne d’approvisionnement en restreignant l’accès à votre réseau seulement à ce qui est nécessaire. Les organisations devraient songer à exiger des fournisseurs de fournir un avis de failles de sécurité soupçonnées, à exiger des vérifications de sécurité des tierces parties et à obtenir une indemnisation adéquate. Les organisations auraient également intérêt à ce que les fournisseurs s’assurent qu’eux (et leurs employés) observent une bonne cyberhygiène.
  • Assurance contre le cyber-risque. Les assurances constituent une partie clé de la gestion du risque et peuvent offrir aux organisations une importante protection en cas d’événements non planifiés. Les organisations devraient revoir leur couverture d’assurance actuelle en cas de cyberattaque. Si elle est déficiente, envisagez d’investir dans une assurance contre le cyber-risque couvrant les failles de sécurité de réseau, la perte de données et les coûts de litiges potentiels.
  • Ayez un plan. Les organisations doivent se préparer à l’éventualité d’être victimes d’une cyberattaque réussie et compromettant leur réseau et leurs données. La préparation est la clé pour se préparer efficacement à traiter une attaque. Les organisations devraient recenser les enjeux juridiques et autres enjeux clés qui devront être abordés en cas de cyberattaque (p. ex. avis aux organismes de réglementation ou de sécurité, utilisation de privilège avocat-client, escalade des communications avec la haute direction, plan de continuité des activités, stratégie de relations publiques, etc.).
Réagir à une cyberattaque

Selon beaucoup d’analystes, la question n’est pas de savoir, « si », mais plutôt « quand » une organisation sera la cible d’une cyberattaque réussie. Si une organisation croit avoir été victime d’un cyberincident, les mesures qu’elle prendra dans les moments suivant cette découverte seront cruciales pour atténuer les répercussions juridiques, sur les affaires et sur la réputation.

  • Activez l’équipe d’intervention. Après la découverte d’un cyberincident, l’organisation devrait immédiatement activer l’équipe d’intervention, laquelle devrait inclure des portions pertinentes de l’organisation (p. ex. juridique, TI, ressources humaines, etc.). L’équipe d’intervention devrait consigner de manière diligente toutes les mesures prises depuis la découverte de l’incident (p. ex., une description de tous les événements liés à l’incident, les détails de toutes les communications liées à l’incident, une description des tâches de chaque employé en réaction à l’attaque, une liste indiquant comment chaque système de réseau individuel a été affecté par la cyberattaque, etc.).
  • À ce moment-ci, l’organisation devrait sérieusement songer à retenir les services d’un cabinet externe de services-conseils (ayant une expérience en réaction de cybersécurité) qui embauchera une équipe de police scientifique pour déterminer l’étendue de la faille et préparer tous rapports écrits. Des directives provenant d’un conseil externe aidera à protéger les renseignements et les preuves recueillies en vertu du privilège solliciteur-client, un facteur clé au cas où une cyberattaque se solderait par des litiges.
  • Endiguement et évaluation. L’équipe d’intervention devrait réagir rapidement et prendre des mesures pour endiguer la faille, y compris (i) bloquer tout accès non autorisé au réseau, (ii) mettre en oeuvre des mesures pour recouvrer et (ou) restaurer toute information ou donnée perdue, (iii) envisager fermer le réseau (ou une partie de celui-ci) qui a été compromis, (iv) révoquer ou modifier les codes d’accès au réseau, et (v) mettre en oeuvre des mesures pour traiter toute faiblesse dans le réseau. Si la faille semble impliquer un vol ou une autre activité criminelle, l’organisation devrait en aviser les services policiers.

    Recueillir des renseignements pertinents et employer des mesures de prévention aussi rapidement que possible pourraient limiter l’étendue de la cyberattaque, défendre le système contre des attaques additionnelles et fournir aux services policiers des renseignements pour amorcer leur enquête.

  • Préservation des preuves. La préservation des preuves est essentielle face à un cyberincident. Plus on recueille et préserve de preuves, meilleure sera la position de l’organisation pour déterminer comment son système a été piraté.

    Après avoir préservé les renseignements et les preuves nécessaires à l’effet qu’une attaque a eu lieu, l’organisation devrait commencer à transférer ses informations vers un système « aseptisé ». Au moment de transférer des informations/données, il importe de veiller à ce que les nouvelles données ne contiennent aucun document qui a été compromis. Pour maintenir l’authenticité des documents, l’accès à ces derniers devrait être restreint et une chaîne de responsabilité claire devrait être maintenue.

  • Avis. Si l’organisation présume que le cyberincident a compromis des données, elle devrait tenir compte de son obligation à aviser (i) les personnes dont les renseignements ont été compromis, (ii) les services policiers, (iii) l’assureur de l’organisation, (iv) les institutions financières, les compagnies de cartes de crédit ou les bureaux de crédit.

    Ces avis peuvent se révéler une importante stratégie d’atténuation pouvant profiter tant à l’organisation qu’aux personnes touchées par la faille – s’ils sont gérés adéquatement. Si un cyberincident crée un risque de préjudice aux personnes dont les renseignements ont été compromis, il convient d’aviser les personnes touchées. Un avis transmis promptement aux personnes se trouvant dans cette situation peut les aider à atténuer les dommages en prenant des mesures pour se protéger.

    Chaque incident doit être considéré au cas par cas afin de déterminer si, par exemple, un avis de faille pour la protection de la vie privée est requis pour les agences de protection de la vie privée (p. ex. bureau de l’agence fédérale et (ou) provinciale de protection de la vie privée).

  • Prévenir de futures attaques. Une fois que les mesures immédiates ont été prises pour traiter les conséquences immédiates du cyberincident, l’organisation devrait prendre le temps d’enquêter sur la cause de la faille et envisager de développer et (ou) raffiner ou non son plan de prévention actuel. Le degré d’effort devrait refléter l’importance de la faille, et déterminer s’il s’agit d’une faille systémique ou d’un incident isolé.
  • Se préparer aux répercussions. Selon la nature et l’étendue de la cyberattaque, l’organisation devrait se préparer à faire face aux répercussions possibles liées au cyberincident. Dans certains cas, l’organisation devra gérer une atteinte possible à la réputation, traiter des litiges ainsi que l’impact financier pendant plusieurs années. Dans tous les cas, la clé sera d’informer la direction et d’avoir en place une feuille de route claire indiquant comment l’organisation compte traiter les conséquences de la cyberattaque.

Les organisations qui ont été victimes d’une cyberattaque réussie admettront que ce genre d’événement peut être dévastateur, surtout si l’entreprise n’y était pas préparée. La clé pour atténuer les risques liés à une cyberattaque consiste à être conscient de la menace et être prêt à réagir efficacement à une cyberattaque.