Dans la dernière année, les cybercriminels en ont profité pour redoubler d’ardeur dans leurs attaques, au moment où une grande partie de la main-d’œuvre passait au télétravail et à l’accès à distance. Les intrusions subies par des organisations d’envergure réputées et les pertes qui en découlent font de plus en plus les manchettes. Prenons l’exemple récent de l’attaque par rançongiciel dont a été victime Colonial Pipeline, en mai 2021, qui a causé une pénurie de carburant dans tous les États-Unis.
Les répercussions de ces incidents alimentent la peur et l’inconfort chez les dirigeants d’entreprise et le grand public. À juste titre, puisque le baromètre du risque d’Allianz classe les cyberincidents au troisième rang des risques à l’échelle mondiale pour 2021.
La spirale des dommages découlant de l’interruption des activités
Il est déjà difficile de remédier aux pertes engendrées par les cyberattaques, sans même tenir compte des interruptions des activités qu’elles entraînent. Les experts en informatique peuvent souvent rétablir les systèmes en quelques semaines, voire parfois quelques jours, après une attaque. Cependant, ce n’est que la pointe de l’iceberg : l’interruption des activités peut avoir de nombreuses conséquences sur la réputation et le revenu d’une entreprise, et ce, pendant des semaines, possiblement des années.
De nombreuses organisations sont maintenant conscientes des avantages de collaborer avec des experts en cybersécurité afin de former leurs équipes, d’évaluer les risques, de mettre en place des contrôles et de simuler des attaques pour apprécier la capacité de réponse aux incidents. Cela dit, même les meilleurs mécanismes de défense ne peuvent qu’atténuer les risques d’intrusion. Il est pour ainsi dire impossible de les prévenir, et peu d’entreprises prennent les mesures appropriées afin de se préparer aux contrecoups d’une intrusion.
Les interruptions des activités découlant de cyberattaques représentent maintenant près de 60 % de la valeur des demandes d’indemnisation. À mesure que progresseront les tactiques d’intrusion et les demandes du marché, le libellé des polices et les modalités de couverture changeront assurément elles aussi. Un soutien adéquat en juricomptabilité est donc essentiel, tant avant qu’après une attaque. D’abord, pour examiner la couverture et les modalités d’assurance, anticiper les pertes pouvant découler d’une attaque et planifier en conséquence. Ensuite, pour élaborer une stratégie permettant aux entreprises de recouvrer les pertes réelles et de relancer complètement leurs activités.
Soyez au fait des points faibles qui vous exposent aux cyberattaques les plus courantes :
Déni de service distribué (DDoS)
Ce genre d’attaque se produit lorsqu’un malfaiteur bloque l’accès à une ressource réseau en perturbant le fonctionnement d’un serveur connecté à Internet. Pour ce faire, il lui suffit habituellement d’inonder la machine ciblée d’une multitude de fausses demandes, ce qui l’empêche de répondre aux demandes légitimes.
La plupart des gens associent immédiatement ce type d’attaque aux services d’hébergement Web ou de traitement des paiements par carte de crédit. Cependant, d’autres services sont tout aussi vulnérables, notamment les machines d’extraction automatisée des ressources. Dans le même ordre d’idées que ce qui est arrivé à Colonial Pipeline, imaginez ce qui se produirait si des cybercriminels interrompaient les instructions envoyées à du matériel de forage et réussissaient à le mettre hors service. Il faut tenir compte des dommages majeurs pouvant être causés à la sécurité et l’environnement, ainsi que des pertes de productivité et de rentabilité, qui peuvent aussi être importantes.
Rançongiciel
Cette forme d’attaque fait partie d’un sous-ensemble d’applications malveillantes, appelées maliciels. Les cybercriminels s’en servent pour empêcher les utilisateurs d’accéder au réseau et crypter ou publier des données confidentielles. En général, les malfaiteurs qui utilisent des rançongiciels demandent un paiement ou posent une condition (c.-à-d. une rançon) pour rétablir l’accès.
Toutefois, comme plusieurs victimes l’ont appris à leurs dépens, répondre à ce genre de demande ne règle pas nécessairement le problème. Puisque les attaquants ont toutes les cartes en main, rien ne les empêche d’augmenter sans cesse le montant de la rançon ou, même, de disparaître après la réception du paiement sans pour autant rétablir l’accès aux systèmes essentiels.
Selon le Group IB Ransomware Uncovered, une victime d’attaque par rançongiciel connaît en moyenne 18 jours d’arrêt. Cela représente presque les deux tiers d’un mois, pendant lequel des revenus sont perdus, sans compter les coûts sans fin pour regagner la confiance des consommateurs et des clients, auditer et former à nouveau les employés, et mettre à jour les systèmes afin de prévenir de futures intrusions.
Environ 80 % des attaques par rançongiciel sont lancées au moyen d’un courriel d’hameçonnage ou exploitent la vulnérabilité d’un tiers ou d’un service à distance. Étant donné que bien des employés sont en télétravail en raison de la pandémie et qu’il est probable que cette situation perdure, du moins en partie, ces points faibles continueront d’être une cible de choix pour les malfaiteurs.
Incidences sur votre entreprise
La couverture médiatique des cyberattaques se termine habituellement au moment de l’atténuation du code malveillant et du rétablissement des services. Cela dit, cette étape marque seulement le début de la relance d’une organisation. La détermination des pertes de revenus peut s’avérer bien plus ardue et l’incident continuera probablement à nuire aux affaires longtemps après le rétablissement des systèmes.
Parmi les questions importantes, on retrouve les suivantes :
- Les cybercriminels ont-ils utilisé leur accès pour télécharger de l’information sensible (p. ex., données personnelles de clients ou d’employés, droit de propriété intellectuelle, etc.)? Quels renseignements ont été compromis et quelles sont les obligations légales et éthiques de l’organisation à l’égard des parties concernées (p. ex., surveillance du crédit, dédommagement financier, etc.)?
- L’attaque a-t-elle compromis d’autres serveurs ou des données d’accès pouvant mener à une nouvelle intrusion? Quelles sont les étapes à suivre afin de protéger complètement l’organisation et de prévenir une attaque semblable dans l’avenir?
- L’attaque a-t-elle compromis le fonctionnement et l’intégrité d’un système physique (p. ex., tour de forage)? Quels sont les coûts nécessaires et les mesures à prendre pour ramener les systèmes aux paramètres de fonctionnement nominaux?
À la suite d’une attaque, la plupart des entreprises peuvent s’attendre à une perte de confiance généralisée, non seulement de la part des clients et des consommateurs, mais aussi au sein de leurs rangs. Cela peut prendre bien des formes, que ce soit une baisse des revenus ou de la productivité, ou même des poursuites dans les mois et les années à venir. Ces dommages peuvent être considérables, y compris les investissements en matière de relations publiques et d’action sociale, mais ils restent difficiles à quantifier.
Espérez que tout ira bien, mais préparez-vous au pire
Il y a eu une nette amélioration en fait de cyberpréparation au cours des dernières années. En effet, les dirigeants et les conseils d’administration prennent de plus en plus de mesures afin d’évaluer les risques informatiques auxquels ils sont exposés et d’investir dans des contrôles adéquats. Cela dit, même le meilleur périmètre de protection comporte des points faibles, et trop peu d’entreprises tiennent compte de ce qui se produira si des malfaiteurs réussissent à les déceler.
Chez MNP, nous vous aidons à voir au-delà du coup porté par l’attaque et à prendre en considération tous les aspects d’une interruption des activités. Nos équipes multidisciplinaires évaluent vos technologies, votre comptabilité, vos polices d’assurance et votre structure de gouvernance afin de cerner les risques auxquels vous êtes exposé, de quantifier les pertes potentielles à court et à long terme et de planifier les étapes nécessaires à une relance rapide et durable. Ensemble, nous pouvons élaborer un plan de résilience commerciale fiable et complet, qui fournira aux décideurs et aux parties prenantes l’assurance que vous êtes paré à toute éventualité.
Il est presque certain que la probabilité et la fréquence des cyberattaques augmenteront en cette période de changement continu et d’incertitude, malgré le fait que la pandémie se résorbe peu à peu. L’évaluation des risques et la planification de la résilience doivent faire partie intégrante des modifications aux arrangements de travail, tant à distance qu’en personne, de l’adoption de nouvelles technologies ainsi que du déploiement de nouveaux modèles d’affaires et de prestation de services. Sinon, les effets de la COVID-19 sur les entreprises perdureront pendant encore bien des années.
Vous voulez en savoir plus sur la façon dont vous pouvez mieux planifier la reprise de vos activités? N’hésitez pas à communiquer avec nous afin d’obtenir une évaluation gratuite. Nous serons ravis de vous aider à établir votre feuille de route.
Communiquez avec notre équipe pour débuter
Stephen Dodd est membre de l’équipe Juricomptabilité et soutien en litige du bureau de MNP à Toronto et leader des Services-conseils en assurance pour l’Ontario. S’appuyant sur plus d’une décennie d’expérience dans le secteur de l’assurance, Stephen travaille en étroite collaboration avec les clients en vue d’offrir une vaste gamme de conseils dans le domaine des assurances. Il accompagne les entreprises dans l’atténuation des pertes et les aide à reprendre leurs activités aussi rapidement et efficacement que possible. Les services offerts par Stephen comprennent les réclamations d’assurance et la quantification des dommages, le calcul de la mesure des pertes et des interruptions d’activités, ainsi que les évaluations des besoins d’assurance avant perte.
Danny Timmins, CISSP, est leader national, Cybersécurité chez MNP. Danny et son équipe misent sur une riche expérience pour conseiller les chefs d’entreprise et les conseils d’administration sur les risques, les tendances et les possibilités dans le domaine de la cybersécurité. Ils ont épaulé de nombreuses organisations canadiennes dans le but d’améliorer leur résilience aux attaques.