Les propriétaires d'entreprises trouvent toutes sortes de raisons pour justifier le fait qu'ils n'investissent pas davantage dans la cybersécurité. Leur cabinet n'est pas assez gros. Les renseignements qu'ils détiennent n'ont pas de valeur. Ils ne peuvent pas se payer des mesures de cybersécurité rigoureuses, ou encore, ils ont déjà un bon pare-feu et un excellent antivirus.
Malheureusement, l'actualité nous prouve trop souvent qu'ils ont tort de penser ainsi. Les cyberattaques grimpent en flèche et ciblent de plus en plus les sociétés professionnelles, lesquelles ont peu d'effectifs, de connaissances, voire d'intérêt dans la protection des renseignements sensibles.
Prenons le cas du dentiste de Toronto qui est devenu victime du tristement célèbre rançongiciel Ryuk. Il était incapable de se connecter à la quasi-totalité de ses ordinateurs, et ses accès ne lui seraient rendus qu'en échange d'une rançon de 165 000 $. Un patient ou un membre du personnel aurait cliqué sur un lien d'hameçonnage, ce qui a téléchargé le logiciel malveillant, déclenchant la fâcheuse réaction en chaîne de l'infection, du cryptage de données et de la demande de rançon.
Par chance, des sauvegardes rigoureuses lui ont permis de remettre son cabinet sur les rails. Cependant, le combat est loin d'être terminé, car il lui reste à rebâtir sa réputation, à traiter avec les autorités de réglementation et à reprendre le contrôle de son réseau.
Il est possible de prévenir ce type d'incidents. Mais comment s'y prendre?
Adopter une approche descendante de la cybersécurité
Voici la première question à vous poser : « Qui, dans mon équipe, se charge de la cybersécurité? » Bien souvent, les propriétaires d'entreprises nous répondent que ce sont l'équipe des TI, le sous-traitant en informatique ou le fabricant du pare-feu. Voilà autant de réponses qui devraient sonner l'alarme.
À moins de croire que la cybersécurité « est l'affaire de tous dans votre organisation », vous êtes probablement plus à risque que vous ne le pensez. Même si la porte d'entrée des cyberinfractions est l'ordinateur, leurs conséquences tout comme les solutions pour les arrêter sont beaucoup plus vastes qu'il n'en paraît.
Votre cabinet doit adopter une culture de prévention, en commençant par les échelons supérieurs. Tout le monde, de la haute direction jusqu'au bas de l'échelle, doit connaître les risques et donner l'exemple en adoptant des pratiques exemplaires, en plus de démontrer un engagement indéfectible envers la protection des données sensibles.
Voici quelques principes à appliquer pour jeter les bases de la cyberculture descendante :
Le cyberrisque s'inscrit dans le risque d'entreprise
Le cyberrisque a au moins autant d'incidence sur votre entreprise que la conjoncture du marché, les règlements du gouvernement ou une fraude à l'interne. Vous devrez donc le traiter avec le même sentiment d'urgence que tous les autres éléments et l'inclure dans votre plan continu de gestion du risque d'entreprise.
Le cyberrisque demande de connaître la cyberréalité
Invitez un professionnel de la sécurité des technologies à se joindre à votre conseil d'administration, ou du moins à prendre part aux réunions. Formez un comité technologique qui se rencontrera fréquemment pour aborder les priorités organisationnelles, les tendances actuelles et les vulnérabilités. Donnez à cette équipe un pouvoir de recommandation, du point de vue tant stratégique que pratique, en matière de contrôles et de réduction des vulnérabilités.
La gestion du cyberrisque passe d'abord par une politique
Véhiculez une culture de prévention. Pour ce faire, il faut former les employés sur la façon de déceler et de signaler des comportements suspects, définir les attentes quant aux mots de passe et à l'utilisation des appareils et créer un environnement où le personnel pourra communiquer sans crainte ses inquiétudes à la direction.
Les cyberrisques ont des répercussions juridiques
Vous devez très bien saisir votre responsabilité juridique et même savoir défendre votre position devant les tribunaux dans le pire des scénarios. En 2018, le gouvernement fédéral a instauré un nouveau règlement sur la déclaration obligatoire, en vertu duquel les organisations sont tenues de signaler une atteinte à la vie privée qui présente un risque réel de préjudice grave. Tout manquement pourrait entraîner des amendes allant jusqu'à 100 000 $, sans parler du risque d'atteinte à la réputation et d'une action au civil.
Les cyberrisques et les cyberattaques évoluent toujours
Restez à l'affût des techniques et des menaces émergentes, ainsi que des récents incidents dans votre secteur d'activité, mais ne détournez pas votre attention de ce qui importe vraiment : votre programme de préparation en matière de cybersécurité. Déterminez les volets de votre entreprise qui sont les plus vulnérables et ceux qui ont le plus de valeur, puis protégez-les du mieux que vous pouvez, en vous assurant d'avoir l'adhésion de toute l'équipe.
Les cyberrisques ne sont pas tous égaux
Vous ne pouvez pas vous prémunir contre la totalité des cybermenaces. Commencez plutôt par les classer : les risques que vous devez éviter, ceux que vous allez atténuer et ceux que vous pouvez transférer à votre assureur, de même que les risques avec lesquels vous êtes en mesure de vivre. Dans chaque cas, procédez à une analyse et élaborez une stratégie, que vous réviserez régulièrement afin qu'elle cadre avec vos objectifs d'affaires.
Agir pour protéger son entreprise
Voici une vérité qui a de quoi surprendre : si un cybercriminel expérimenté décide de pénétrer dans vos systèmes, il n'y a pratiquement rien qui puisse l'en empêcher. Toutefois, vous pourriez lui rendre la tâche extrêmement ardue, tellement qu'il irait chercher un butin plus facile à gagner ailleurs.
Voici quelques mesures à prendre pour hiérarchiser les risques et les vulnérabilités, adopter de meilleures habitudes et préparer votre équipe à réagir à la pire des éventualités.
Mettre en place des politiques et des procédures efficaces
En collaboration avec un consultant en cybersécurité, rédigez des règles de gestion des données, de même que des pratiques exemplaires alignées sur les lois applicables de votre territoire. Donnez de la formation et de l'information à tout le personnel, y compris lors de l'accueil d'un nouvel employé, et instaurez une culture axée sur une grande rigueur technologique.
Revoir votre infrastructure technologique
Apprenez à connaître la fonction, l'état et les limites de vos contrôles de cybersécurité. Mettez à jour votre logiciel fréquemment et remplacez le matériel désuet. De plus, penchez-vous sur le fonctionnement de vos pare-feu, antivirus et programmes anti-maliciels ainsi que sur leur efficacité en cas d'attaque.
Créer (et tester) un plan de réponse aux incidents
Dressez la liste des étapes, par ordre de priorité, qui permettent d'identifier rapidement une intrusion, de la communiquer, de la contenir et de l'empêcher de causer d'autres dommages. Elle servira de plan et exposera clairement les responsabilités individuelles ainsi que tous les professionnels à contacter et à quel moment le faire (p. ex., le consultant en cybersécurité, le conseiller juridique, l'équipe de relations publiques, etc.). Exercez-vous régulièrement afin de relever les lacunes et d'assurer une exécution fluide lorsque les besoins seront réels.
Soumettre vos systèmes à un test d'intrusion
Faites appel à un consultant en cybersécurité, qui simulera un piratage de vos systèmes afin de cibler les vulnérabilités. Ainsi, vous saurez à quel endroit une attaque est le plus susceptible de se produire, puis vous pourrez traiter en priorité les failles et les corriger au besoin.
Procéder à une analyse de la préparation et des menaces
Procédez à une révision périodique de vos contrôles (tant sur le plan des politiques que de la technologie), de votre profil de risque en matière de cybersécurité et des incidents marquants dans votre secteur d'activité. Vous pourrez alors évaluer l'efficacité de vos mesures de protection contre les attaques les plus probables ou constater la nécessité d'adapter votre approche.
Gérer vos fournisseurs externes
Recensez l'ensemble des organisations sans lien de dépendance avec lesquelles vous travaillez à l'heure actuelle. Passez en revue tous les contrats et les politiques afin de saisir pleinement les garanties qu'on vous offre en échange de vos données ainsi que les protections en cas de violation. Si ces dernières sont inadéquates, vous devriez penser à changer de fournisseur, car vous pourriez être tenu responsable de sa négligence.
Le tableau complet
La plupart des intrusions sont des crimes motivés par l'argent. C'est précisément pour cette raison que les petites entreprises comme les cabinets professionnels sont de plus en plus souvent la cible des pirates informatiques. Plusieurs propriétaires n'ont pas l'intérêt, le savoir-faire ni les capitaux pour investir dans des contrôles à l'échelle de l'entreprise, ce qui laisse la porte grande ouverte.
Vous pouvez améliorer considérablement la cybersécurité de votre cabinet en misant non pas sur des technologies dernier cri, mais sur votre leadership et le temps que vous consacrez à cet enjeu. Faites de la cybersécurité la responsabilité de tous. Misez sur l'implantation des bonnes politiques, soyez à l'affût de vos risques et vulnérabilités et demandez l'avis d'un professionnel de la cybersécurité qualifié. Tenez pour acquis qu'une attaque est toujours susceptible de se produire.
Grâce à votre niveau de préparation, le pirate informatique y réfléchira à deux fois avant de vous choisir comme cible. Et si vous deviez subir une attaque, vous serez en bien meilleure posture pour empêcher les criminels de mettre le grappin sur vos plus précieux actifs informationnels.
Pour en savoir plus sur la façon dont MNP peut vous aider à protéger votre cabinet, communiquez avec Danny Timmins, CISSP, Leader national, Cybersécurité, au 905.607.9777 ou à [email protected].
Pour en savoir plus, consultez COVID-19 : le portail d'information et de conseils de MNP.
Vous y trouverez des stratégies et des outils pour aider votre entreprise à affronter la crise du coronavirus, à demeurer résiliente et à bien planifier la reprise de ses activités.