Les cyberattaques sont devenues un sujet incontournable dans l’actualité, à juste titre d’ailleurs. Chaque année depuis 2016, les cyberincidents figurent parmi les trois principaux risques opérationnels du baromètre des risques d’Allianz. Le nombre d’intrusions continue d’augmenter d’année en année. Il en va de même pour le volume de données exposées et les coûts de récupération des réseaux, sans compter le règlement des litiges, les questions réglementaires et les conséquences sur la réputation des organisations touchées.
Ces dernières années, des intrusions majeures ont compromis des millions de dossiers financiers, divulgué des informations personnelles sensibles et même provoqué des pénuries de carburant dans certaines régions des États-Unis. Pourtant, malgré toute cette attention, plusieurs chefs d’entreprise ne reconnaissent toujours pas ces risques et ne prennent pas de mesures significatives pour protéger leur organisation.
On n’est jamais trop petit pour devenir une cible
Même si c’est moins évident quand on se limite aux grands titres, plus de deux attaques sur cinq visent les petites et moyennes entreprises (PME). À première vue, cela peut sembler inefficace pour les cybercriminels. Après tout, il y a certainement plus à gagner en ciblant un gouvernement, un service public ou une entreprise du Fortune 500.
Toutefois, pour les cybercriminels, s’introduire dans 15 ou 20 PME représente un gain potentiel équivalent et demande le même effort que d’infiltrer une grande entreprise. En plus, les risques de se faire prendre sont moins élevés. Ces grandes organisations savent qu’elles sont visées et disposent de millions de dollars à dépenser pour la gestion des cyberrisques, l’expertise et les contrôles techniques.
En revanche, les PME sont moins susceptibles de se sentir en danger et sont donc moins enclines à affecter leurs budgets limités et leur main-d’œuvre à la prévention et à la détection de cybermenaces qui pourraient ne jamais se produire ainsi qu’au rétablissement des systèmes. C’est une décision souvent prise aux risques et périls de l’entreprise, car les attaques contre les PME ne sont pas seulement plus fréquentes, mais elles sont aussi plus susceptibles de réussir et d’engendrer de sérieux problèmes.
Les concessionnaires sont particulièrement vulnérables
Votre concessionnaire possède probablement un éventail de qualités qui le rendent particulièrement attrayant pour les cybercriminels. La nature de vos activités vous oblige à recueillir des quantités importantes de données sensibles sur vos clients, sans compter l’accès indispensable aux données financières et aux renseignements sur les assurances. Vous seriez probablement prêt à payer cher pour empêcher que ces informations et ces accès ne se retrouvent sur le marché noir, où ils valent leur pesant d’or – une situation sans doute gagnante pour un cybercriminel.
De plus, comme plusieurs concessionnaires au Canada, il est possible que vous investissiez actuellement (ou du moins que vous envisagiez de le faire) dans le nuage informatique et les transformations numériques pour réduire les coûts, demeurer concurrentiel et améliorer l’expérience client. Les nouvelles plateformes et technologies introduisent presque invariablement de nouvelles vulnérabilités et des risques tiers. Sans contrôle adéquat, elles peuvent constituer un point d’entrée pratique vers d’autres systèmes et d’autres réseaux de votre entreprise.
Les fabricants, eux aussi, ne vous facilitent pas la vie. Chaque nouvelle génération de véhicules vient avec une offre accrue de technologies numériques de série. Combien de vos véhicules offrent désormais des connexions Wi-Fi ou Bluetooth? Combien de clients branchent leurs appareils à ces véhicules chaque jour? Il suffirait qu’un appareil infecté se connecte à un véhicule et que celui-ci se connecte à votre réseau d’entreprise pour qu’une intrusion potentielle se produise. Comme vous êtes probablement responsable de la sécurisation de votre propre environnement, il est compréhensible que vous vous sentiez tout à coup vulnérable.
Tirez le meilleur parti de vos ressources limitées
Bien entendu, le défi est de trouver un équilibre entre les ressources limitées dont vous disposez pour répondre aux besoins professionnels prioritaires et la protection contre les innombrables menaces qui pèsent sur votre infrastructure numérique. Heureusement, il existe plusieurs mesures simples et efficaces que vous pouvez prendre immédiatement pour empêcher tout pirate informatique de pénétrer dans votre entreprise.
Protégez vos actifs essentiels
Vous dirigez une entreprise d’abord pour en tirer des revenus. Vous avez donc la responsabilité, vis-à-vis de vos employés, de l’avenir de votre organisation et de vous-même, d’investir vos ressources limitées dans des activités génératrices de profits. Il n’est donc pas pratique ni rentable, dans la plupart des cas, de protéger tous les systèmes de l’entreprise avec la meilleure technologie et une surveillance en permanence.
Cependant, vous pouvez tout de même réaliser de grandes avancées en vous concentrant plutôt sur les données essentielles et sensibles de votre concessionnaire et en ciblant les domaines où l’entreprise est le plus exposée. En optant pour une méthode progressive dans le cadre de laquelle les principaux domaines d’intervention sont classés selon leur priorité, vous pourrez optimiser vos dépenses de cybersécurité. Par exemple, qu’est-ce qui est le plus susceptible d’être la cible d’une intrusion, les capteurs électroniques de pression des pneus ou votre base de données client?
D’abord, évaluez vos mesures de protection des actifs essentiels : données d’authentification, dossiers de paiement, informations personnelles des clients et des employés, fichiers journaux, sauvegardes, etc. Est-ce que vous et les membres de votre équipe adhérez aux meilleures pratiques? Auriez-vous intérêt à modifier certaines politiques et procédures?
Ensuite, examinez les fichiers journaux et les sauvegardes de vos systèmes pour vous assurer qu’ils fonctionnent correctement, qu’ils saisissent les données essentielles et qu’ils peuvent être récupérés en cas de panne de vos systèmes. Testez-les pour vous assurer qu’ils sont exempts de logiciels malveillants et de virus. Des journaux et des sauvegardes propres peuvent constituer une véritable bouée de sauvetage en cas de panne de vos systèmes ou d’intrusion par un rançongiciel.
Enfin, prenez des mesures pour détecter les principales vulnérabilités de la couverture de cybersécurité existante et pallier les manques lorsque possible. Si vous ne savez pas comment vous y prendre ni par où commencer, un conseiller en cybersécurité compétent saura vous guider.
Sensibilisation à la cybersécurité
Selon l’étude de 2020 d’IBM sur les violations de données, plus de la moitié des atteintes à la protection des données de l’année précédente sont attribuables à des cyberattaques. Voici les principaux responsables, lesquels représentent près de 70 % des attaques :
- Authentifiants compromis (19 %) : Les cybercriminels ont exploité des mots de passe faibles ou ont réutilisé des mots de passe récupérés lors de précédentes intrusions.
- Mauvaise configuration du nuage informatique (19 %) : Les équipes informatiques internes ou les entrepreneurs technologiques n’ont pas réussi à régler les vulnérabilités de sécurité des installations infonuagiques comme Office365 ou Amazon Web Services.
- Vulnérabilités des logiciels tiers (16 %) : Des failles logicielles dites « de jour zéro » (par exemple, la vulnérabilité de Solardwinds Orion) ont permis à des cybercriminels de compromettre une entreprise.
- Hameçonnage par courriel (14 %) : Un pirate informatique envoie un courriel malveillant incitant le destinataire à cliquer sur un lien trafiqué, à télécharger une pièce jointe infectée ou à soumettre volontairement des données d’authentification ou des informations personnelles.
Le simple fait de comprendre où vous êtes le plus susceptible d’être confronté à une attaque et d’exercer le niveau de vigilance approprié peut réduire considérablement votre risque d’intrusion.
Votre personnel et vos fournisseurs constituent la première ligne de défense, souvent la plus efficace. La formation de votre équipe aux pratiques de sécurité de base, comme la création et la protection de mots de passe sécurisés, ainsi que la détection et le signalement des courriels d’hameçonnage, permet de réduire les menaces du tiers. La création d’un programme de sensibilisation à la cybersécurité, la mise à jour des politiques et des procédures internes et l’assurance que le personnel met régulièrement à jour ses logiciels peuvent réduire encore davantage votre risque.
De même, à mesure que vous investissez dans la transformation et les technologies numériques, vous devez tenir vos fournisseurs de technologie tiers tout aussi responsables. Ils doivent être capables (et désireux) de démontrer et de prouver clairement les mesures qu’ils prennent pour protéger votre entreprise. Quelles mesures ont été prises pour configurer et sécuriser votre nouvelle plateforme infonuagique? Quels accès les applications et les appareils connectés à Internet ont-ils vers les autres systèmes, et quels risques peuvent-ils présenter pour l’entreprise? Qu’en est-il de votre nouvelle application mobile?
La cybersécurité n’est pas une initiative isolée que vous abordez une fois que tous les autres éléments de votre infrastructure technologique sont en place. Il s’agit d’une conversation en continu qui doit avoir lieu fréquemment, entre tout le monde et dans toutes les unités de votre entreprise.
Élaborer un plan d’intervention et le mettre en pratique
Le temps nécessaire pour détecter une menace et y réagir est en forte corrélation avec les conséquences financières et réputationnelles d’une intrusion. Les organisations qui ont mis en place des procédures complètes de détection et d’intervention en cas d’incident sont bien mieux placées pour détecter rapidement les attaques et assurer une reprise totale des activités. Tout comme les exercices d’incendie, votre plan d’intervention en cas d’incidents doit faire l’objet de fréquentes simulations pour qu’il soit efficace et que ses responsables le connaissent par cœur.
Le plan doit donner des directives claires à tous les membres de l’organisation, selon leur degré de participation :
- quand signaler une activité suspecte
- quand communiquer avec des conseillers tiers
- quelles sont les responsabilités en matière de rapports
- comment communiquer avec le personnel, la clientèle et les autorités de réglementation
- etc.
Figure 1 : La structure d’un plan d’intervention en cas d’intrusion
Rester calmeÉvaluez la situation et gardez la tête froide. Communiquez avec un conseiller qualifié en cybersécurité qui pourra vous aider à évaluer la situation, vous guider dans les prochaines étapes et commencer à prendre des mesures pour rétablir votre réseau.
Évaluer la police d’assurancePossible que vous ayez droit à une indemnisation pour vos pertes. Toutefois, l’assurance n’est pas une solution miracle. Relisez attentivement votre police d’assurance afin de comprendre les règles d’engagement, notamment les tiers à appeler pour obtenir de l’aide.
Communiquer avec un conseiller externeS’il est possible que des renseignements personnels aient été exposés lors de l’attaque, vous risquez de faire l’objet de litiges. Communiquez avec un conseiller juridique pour obtenir des conseils sur les prochaines étapes ainsi que sur la communication avec les clients et les organismes de réglementation.
Préciser les rôles et les responsabilitésChaque personne au sein de l’organisation a un rôle à jouer pendant l’intrusion et la récupération – pas seulement votre service informatique. Définissez des directives et des attentes claires pour chacun, notamment en ce qui concerne ce qu’il faut dire et ne pas dire.
N. B. N’essayez pas de réinventer la roue; vos plans de reprise après sinistre et de poursuite des activités peuvent constituer un bon point de départ.
Établir la cellule de criseCréez un lieu centralisé où les gens peuvent rapporter des actions, échanger des informations, discuter d’idées et fournir des mises à jour essentielles.
Il doit être privé, sécurisé et facilement accessible à toutes les parties prenantes prioritaires. Mais pour des raisons évidentes, il doit également être séparé de l’infrastructure technologique principale du concessionnaire.
Sachez ce qu’il faut communiquer, quand le faire et par quels moyens. Envisagez de faire appel à un conseiller tiers en communication pour vous guider dans l’élaboration des principaux messages et des stratégies lorsque vous vous entretenez avec les médias et les parties concernées.
Évitez de mettre par écrit toute conclusion qui pourrait donner lieu à un possible litige pour négligence (par exemple, la personne n’a pas effectué les sauvegardes requises). Partez du principe que tous les courriels ou toutes les communications enregistrées sont des documents publics lors d’une procédure judiciaire.
Prendre soin de l’équipeVeillez à ce que tous les membres du personnel et les intervenants présents lors de l’incident se sentent pleinement soutenus. Vérifiez fréquemment leur bien-être. Assurez-vous qu’ils puissent se reposer (suffisamment) et qu’ils aient un transport adéquat. Si nécessaire, faites appel à des conseillers en gestion de crise ou à des intervenants en santé mentale.
Figure 2 : Circonscrire et neutraliser pour se remettre d’une cyberattaque
MaîtriseObtenez la plus grande visibilité possible de chaque système et dispositif de l’entreprise pour déterminer l’étendue de l’intrusion. Il s’agit ensuite de circonscrire le problème par divers moyens tels que la désactivation des accès, la déconnexion d’Internet ou la mise hors ligne des systèmes.
Enquête sur les principales causesDéterminez comment l’auteur de l’incident a pu accéder au système de l’organisation. Cela peut nécessiter des enquêtes juricomptables et des examens des journaux pour retracer le chemin qu’a pris le cybercriminel dans vos systèmes.
AssainissementUn processus intensif et graduel de restauration des systèmes, de mise en œuvre de protocoles de sécurité supplémentaires, de tests des correctifs et de remise en ligne des systèmes de manière sécurisée et progressive.
Exfiltration de donnéesDéterminez si des renseignements personnels identifiables ont été compromis. Si c’est le cas, l’organisation devra prendre des mesures subséquentes pour faire rapport aux autorités de réglementation et aux parties concernées.
Archivez toutes les pièces justificatives ainsi que les mesures prises aux étapes précédentes et les résultats obtenus en vue de vous faire une banque de preuves pour de futures réclamations ou procédures judiciaires. Surveillez en permanence le Web clandestin (dark Web) et les médias sociaux pour déterminer si des données sensibles liées à l’intrusion sont offertes à la vente ou peuvent nuire à la réputation du concessionnaire.
Apprenez de votre propre expérience et de celle des autres
Les propriétaires d’entreprises doivent être prêts à partager des informations avec leurs homologues et à tirer des leçons des erreurs de leurs pairs. N’ayez pas peur de discuter de cybersécurité avec vos concurrents. Bien que vous vous disputiez la même part du marché, vous faites partie de la même équipe devant la menace qui pèse sur votre secteur d’activité. Les cybercriminels continueront à user des mêmes stratagèmes jusqu’à ce qu’ils cessent de fonctionner. Si une ruse porte ses fruits une fois, ils y recourront assurément de nouveau.
Soyez attentifs aux médias qui relatent de récentes cyberattaques et demandez-vous si les vulnérabilités qui ont rendu d’autres intrusions possibles sont présentes chez vous. Communiquez souvent avec les membres de votre équipe, vos fournisseurs et vos conseillers pour vous assurer que vous êtes tous à jour et informés des dernières tactiques et menaces. La complaisance est votre plus grand ennemi, et la vigilance, votre meilleur allié pour éviter de devenir vous-même une victime.
En poste à Vancouver, Chris Law est un associé de MNP et responsable des services de sécurité offensive et de gestion des incidents.
Pour en savoir plus sur les mesures à prendre pour protéger votre entreprise ou sur la façon dont MNP peut vous conseiller, communiquez avec Tom Beaupre au 514.228.7844 ou à l’adresse [email protected].