La pandémie a accéléré l’adoption et l’évolution des technologies dans divers secteurs, dévoilant une valeur incroyable et un avenir potentiellement brillant. Cependant, les nuages orageux succèdent souvent aux ciels ensoleillés – et les organisations prudentes savent qu’une augmentation des cyberattaques est probable à long terme.
La précipitation et le manque de vérifications diligentes ont presque inévitablement entraîné des vulnérabilités flagrantes dans les systèmes qui ont été mis en place pour préserver les parts de marché et s’adapter au travail à distance en 2020. Cette situation est particulièrement vraie pour des secteurs tels que les soins de santé, le gouvernement, l’énergie et les services publics, ainsi que les télécommunications, qui recueillent déjà d’importants volumes de données sur les consommateurs. Les recherches dans le domaine du renseignement indiquent que les cybercriminels améliorent rapidement leurs capacités à infiltrer les bases de données des clients, ce qui ne fait qu’accentuer le besoin urgent de se pencher sur la question.
La vérité, c’est que votre organisation est sûrement déjà exposée au risque. L’adoption hâtive d’outils de travail à distance a créé de nouveaux problèmes de sécurité et de nouvelles vulnérabilités que certaines organisations ont reléguées au second plan afin de garder la tête hors de l’eau pendant la pandémie.
Compte tenu des tendances et des enjeux, il peut être utile d’examiner de plus près cette augmentation attendue de la cybercriminalité et ce que vous pouvez faire pour protéger votre entreprise, votre technologie et vos clients.
Quatre défis importants
1. Une augmentation attendue du ciblage et de la compromission des technologies opérationnelles
Le rythme des cyberattaques devrait s’accélérer, car des puissances politiques et des groupes criminels organisés continuent de tout mettre en œuvre pour cibler les technologies opérationnelles. Tandis que les piratages et les intrusions ont historiquement été axés sur l’espionnage – dans le but d’obtenir le fruit de recherches à des fins concurrentielles – il est désormais courant que les attaques compromettent directement les opérations et provoquent la défaillance de systèmes entiers. L’attaque TRISIS de 2017 est un exemple saisissant de ce que des développeurs de logiciels malveillants sont prêts à faire. En ciblant expressément le système de sécurité actif Triconix de Schneider Electric, cette attaque aurait pu entraîner des dommages physiques importants.
Dans son Évaluation des cybermenaces nationales 2020 et son Bulletin sur les cybermenaces pour le secteur de l’électricité au Canada, l’organe de renseignement et de sécurité du gouvernement canadien, le Centre de la sécurité des télécommunications, a constaté un accroissement de la menace causé par une amélioration quasi certaine des capacités qu’ont les cybercriminels à s’attaquer aux systèmes de contrôle industriel.
Les menaces qui pèsent sur les technologies opérationnelles de soutien sont également de plus en plus complexes et importantes. Les pirates ciblent divers points de la chaîne d’approvisionnement pour compromettre les appareils physiques et les technologies logicielles. Autrement dit, les technologies arrivent souvent dans les organisations avec des vulnérabilités déjà présentes, ce qui permet aux cybercriminels de s’implanter dès l’installation du produit. Les organisations peuvent se parer contre cette capacité de ciblage accrue et la complexité des menaces en traitant les risques et les lacunes, tout en planifiant la suite des choses avant que le pirate ne passe à l’attaque.
2. Les rançongiciels sont de plus en plus en mesure de nuire aux technologies opérationnelles
Éléments essentiels de la boîte à outils des cybercriminels, les rançongiciels ont prouvé à plusieurs reprises leur efficacité pour miner les environnements commerciaux, où le numérique prend de plus en plus de place. Des attaques notables aux rançongiciels ont réussi à prendre le contrôle de processus financiers, de services Web de clients et de partenaires, et de systèmes de communication. Par ailleurs, l’intégration croissante des technologies fait craindre que de telles intrusions se propagent également aux systèmes opérationnels.
Les conséquences de ces attaques sont également de plus en plus importantes. Dans sa dernière Évaluation des cybermenaces nationales, le gouvernement canadien indique que la demande moyenne de rançon a augmenté de plus de 1 500 % entre 2018 et 2020 – passant d’environ 9 000 $ à 150 000 $. « EKANS » et « MegaCortex », de récentes variantes de rançongiciel, annoncent la prévalence potentielle des compromissions de technologies opérationnelles, car elles intègrent toutes les deux des modules d’interruption des systèmes de contrôle industriel.
Tandis que les organisations mettent en place de plus en plus de contrôles pour prévenir et atténuer l’apparition des rançongiciels, les capacités des cybercriminels évoluent généralement beaucoup plus rapidement. Les attaques vont probablement se poursuivre – et continuer à s’aggraver – jusqu’à ce que les entreprises reconnaissent la nécessité d’une approche plus progressive et proactive.
Les organisations doivent être prêtes à aller au-delà des méthodes traditionnelles si elles veulent réduire les répercussions des rançongiciels sur les environnements informatiques et opérationnels. L’amélioration de la détection des menaces et de la redondance de l’environnement sont des premiers pas dans la bonne direction, mais les méthodes conventionnelles ne suffiront peut-être pas à arrêter un adversaire sans foi ni loi.
3. Planifier efficacement son intervention en cas d’incident et s’y exercer
La résilience commerciale et la planification en cas d’urgence se sont avérées très efficaces pour faire face aux conséquences environnementales, organisationnelles et opérationnelles sur les infrastructures critiques. Ces risques sont bien connus et existent depuis très longtemps. Cependant, la cybersécurité est un domaine relativement nouveau pour la planification en cas d’urgence. Il est donc compréhensible que les organisations se soient mal préparées ou n’aient pas envisagé soigneusement l’éventail des scénarios possibles.
L’antidote? Une planification efficace de l’intervention qui serait mise en branle advenant un incident. Cette approche permet aux décideurs d’examiner en détail la manière dont les technologies, les risques, les menaces, la structure des effectifs, les ressources des fournisseurs, les emplacements physiques et la culture de l’organisation peuvent avoir une incidence sur une crise potentielle. Les politiques, les plans, les guides et les procédures sont autant d’éléments essentiels qui prévoient la manière de réagir devant un incident jugé probable et enseignent aux intervenants la marche à suivre pour s’exercer.
Les organisations qui adoptent un plan d’intervention efficace bénéficient d’emblée de cette structure et de la mise en pratique des scénarios connexes, ce qui leur donne aussi une base solide sur laquelle s’appuyer à mesure que les menaces mutent et évoluent.
4. Améliorer la gouvernance des données
Les données, c’est le pétrole de notre siècle, comme on dit. Leur valeur, déjà astronomique, ne fera que croître à mesure que le monde se numérise et que les entreprises se tournent vers l’analyse pour obtenir le moindre avantage concurrentiel. La collecte, l’utilisation et le partage de données personnelles font déjà partie intégrante des interactions qu’ont la plupart des organisations. Aujourd’hui, beaucoup s’intéressent aux utilisations secondaires des données transactionnelles, qu’il s’agisse d’améliorer l’expérience du client, de développer de nouveaux produits ou d’accroître l’efficacité des activités commerciales.
Les lacs de données consolidés (c.-à-d. des dépôts centralisés permettant de stocker toutes les données structurées et non structurées) et les nouvelles technologies comme l’analytique et l’IA sont des cibles lucratives pour les cybercriminels. Les organisations sont de plus en plus menacées par les intrusions et les fuites, ainsi que par les dommages potentiellement importants qui en découlent sur le plan des finances, de la réputation et de la concurrence. C’est sans compter le renforcement de la législation sur la protection des renseignements personnels un peu partout sur la planète, mené par l’Union européenne (RGPD), la Californie (CCPA) et, plus récemment, le Canada (LPRPDE).
Les clients sont plus conscients de leurs droits en matière de protection de la vie privée et exigent que les nouveaux produits et services intègrent cette protection ainsi que des mesures de sécurité. Les activités commerciales qui s’étendent sur plusieurs territoires compliquent encore plus la conformité aux obligations réglementaires et juridiques. Les organisations s’exposent à des amendes importantes si des données devaient être compromises.
Pour préserver la vie privée des clients et garantir une utilisation responsable et éthique des données, certaines organisations se verront peut-être obligées de repenser complètement leur approche de la gouvernance des données. dirigeants doivent avoir une connaissance approfondie des données recueillies par leurs systèmes, de leur propriétaire, de la manière dont elles sont suivies et gérées, ainsi que des innombrables obligations juridiques et réglementaires de l’organisation. Pour y arriver, il faut parfois mettre en place de nouveaux processus pour soutenir la prise de décisions lors du lancement de nouveaux produits ou penser à d’autres manières d’extraire de la valeur et des renseignements à partir des données existantes.
Un cadre efficace de protection des renseignements personnels est essentiel pour que les organisations comprennent et gèrent les risques y afférents, qui ne cessent de croître.
Commencez à construire votre système de cybersécurité
En moyenne, il se passe six mois avant qu’une intrusion ne soit détectée. Inutile de dire que cela engendre des conséquences importantes. Une sécurité défaillante peut compromettre des milliards de dollars d’informations personnelles, de données de paiement ou de propriété intellectuelle. Pire encore, l’inquiétude croissante suscitée par le cyberterrorisme et les attaques commanditées par des États révèle que les cybercriminels ne cherchent plus seulement à obtenir des informations, mais aussi à déstabiliser et à mettre hors service des entreprises essentielles.
L’investissement continu dans la cybermaturité est donc bien plus qu’un impératif stratégique, mais une question potentielle de sécurité nationale. Et son importance ne fera qu’augmenter, étant donné l’accélération du numérique au Canada depuis la pandémie. L’économie – et dans une certaine mesure, nos vies – dépend de solutions informatiques robustes, résilientes et fiables pour lutter contre la liste croissante de menaces.
Quelles mesures mon organisation doit-elle prendre?
MNP a travaillé avec plusieurs des plus grands fournisseurs de soins de santé, municipalités et organismes gouvernementaux du Canada pour sécuriser leurs données et évaluer les faiblesses de leur infrastructure technologique. Nos services couvrent l’ensemble du cycle opérationnel, de la mise en place d’un programme initial de cybersécurité à l’intervention et à la restauration des systèmes après une attaque.
Nous savons que de nombreuses organisations s’interrogent sur les ressources, l’expertise et l’optimisation des investissements faits en cybersécurité. Cependant, il est important de reconnaître que le plus grand risque n’est pas de s’y prendre mal, mais de ne rien faire du tout. L’étude de cas suivante présente nos recommandations minimales pour combler rapidement les lacunes d’une organisation.
Sachez où vous êtes vulnérable
Nous avons collaboré avec une grande entreprise cliente pour réaliser une première évaluation des menaces et de la maturité. Cet exercice, qui comprenait un examen complet de l’ensemble de ses activités, de la concurrence, de la gouvernance et de l’environnement technologique, a permis de déterminer :
- les actifs technologiques et informationnels les plus exposés à une attaque;
- les endroits de son infrastructure technologique où une intrusion était le plus susceptible de se produire;
- les principales lacunes de ses contrôles techniques, de ses politiques, de ses procédures et de ses formations;
- la meilleure répartition possible du financement et du suivi en cybersécurité.
Notre évaluation a aidé le client à comprendre les principales vulnérabilités de ses systèmes technologiques et à optimiser son investissement. Surtout, elle a permis à l’organisation de cibler précisément des améliorations qui lui seront rentables. Le client a maintenant l’esprit tranquille : l’équipe, les clients et les systèmes sont désormais tous protégés de manière optimale (mais pas nécessairement de manière universelle) contre les attaques auxquelles ils sont le plus susceptibles d’être confrontés.
Testez vos hypothèses
Environ un an après avoir mis en place nos recommandations, les dirigeants du client nous ont approchés pour savoir si leur attention accrue et leurs contrôles renforcés apportaient le niveau de résilience attendu. Plutôt que d’attendre qu’une intrusion se produise, le client a demandé à MNP de tester la pénétration de ses systèmes, ce que nous appelons un exercice de sécurité offensive ou, en substance, une cyberattaque simulée.
Ce qui suit est un aperçu étape par étape de notre approche, que nous essayons de garder aussi proche que possible de la réalité.
Étape 1 : Évaluer la sécurité physique et les habitudes de travail
Une simple visite sommaire sur place peut révéler une quantité étonnante d’informations sur la cybersécurité d’une organisation. Même sans s’asseoir devant un écran d’ordinateur, notre équipe a pu évaluer un vaste éventail de facteurs de sécurité et mesurer les vulnérabilités potentielles du client, notamment :
Facilité d’accès/qualité de la sécurité physique : Est-il facile d’accéder aux zones de travail et aux infrastructures communes? Les portes sont-elles verrouillées et fonctionnent‑elles correctement? Les employés accueillent-ils, enregistrent-ils et supervisent-ils systématiquement les invités ou les lorsqu’ils sont sur les lieux? Les membres de l’équipe partagent-ils fréquemment des laissez‑passer/le passage en double est-il une pratique courante?
Éducation, sensibilisation et formation en matière de sécurité : Les employés verrouillent-ils systématiquement leur poste de travail lorsqu’ils ne sont pas à leur bureau? Les employés discutent‑ils régulièrement de renseignements sensibles dans des zones communes? Les visiteurs peuvent-ils glaner des renseignements ou voir les systèmes sensibles dans les zones communes?
Sécurité et accès au réseau : L’accès sans fil des invités est-il correctement protégé par un pare-feu ou segmenté par rapport aux réseaux sensibles? Existe-t-il des restrictions adéquates et des exigences d’authentification multifactorielle pour accéder aux réseaux câblés ou sans fil sensibles? Dans quelle mesure les employés communiquent‑ils les mots de passe? Les employés consultent-ils ou diffusent-ils des renseignements sur des réseaux d’invités non sécurisés (p. ex., téléphone intelligent, tablette, etc.)?
Étape 2 : Tester les contrôles existants pour comprendre leur efficacité et leur résilience
En s’appuyant sur les informations recueillies lors de la première étape et sur les techniques d’attaque couramment utilisées par les cybercriminels, notre équipe a ensuite tenté d’effectuer un test d’intrusion dans les systèmes de technologies informatiques (TI) et opérationnelles (TO) de l’organisation. Voici quelques exemples de domaines que nous cherchons à cibler :
Vulnérabilités connues/correctifs : L’organisation et ses employés ont-ils fait preuve de vigilance en mettant à jour les logiciels et les micrologiciels pour bénéficier des dernières fonctions de sécurité? Ces « vulnérabilités de jour zéro » constituent un point d’accès couramment utilisé par les cybercriminels.
Normes de construction/durcissement : L’organisation a-t-elle pris des mesures adéquates pour configurer les pare-feu, les serveurs, les commutateurs et les routeurs conformément aux normes les plus récentes? A-t-elle modifié les mots de passe par défaut, chiffré adéquatement les mots de passe stockés et limité correctement les privilèges d’accès? Le matériel et les logiciels vétustes ou obsolètes sont-ils encore branchés au réseau?
Normes de chiffrement : Toutes les informations qui entrent, sortent et transitent par le réseau répondent-elles aux normes de chiffrement du secteur? Des lacunes ou des raccourcis dans le chiffrement permettent-ils à des personnes malveillantes de récolter des informations ou d’accéder au réseau?
Piratage psychologique : À quel point les membres de l’équipe sont-ils aptes à repérer et signaler les courriels malveillants? Combien de données d’ouverture de session (s’il y en a) ont été récoltées lors d’une simulation d’attaque par hameçonnage? Les mesures actuelles d’éducation et de mise en garde sont-elles suffisantes pour prévenir une intrusion par piratage psychologique?
Étape 3 : Cartographier la propagation potentielle et les vulnérabilités des infrastructures
La dernière étape du processus de sécurité offensive part toujours du principe que nous avons réussi à accéder aux systèmes de notre client. Que nous l’ayons fait ou non est moins important que ce qui se passe ensuite, car la ligne est mince entre un accident évité de justesse et une catastrophe potentielle.
Tout se résume à une question : Le client part-il du principe qu’il peut y avoir, et qu’il y aura tôt ou tard, une intrusion?
Une segmentation adéquate des systèmes de TI et de TO est essentielle pour ralentir et, idéalement, empêcher la propagation d’une intrusion à d’autres systèmes de grande valeur. Le fait de maintenir les systèmes critiques indépendants les uns des autres permet de réduire au minimum les dommages potentiels d’un cyberincident. Cela permet également de gagner un temps névralgique pour détecter l’intrusion et mettre en œuvre un plan d’intervention afin de contenir l’attaque et, finalement, de récupérer les systèmes.
Par exemple, si un membre de l’équipe a installé par inadvertance un rançongiciel sur un réseau d’entreprise local, ce même logiciel ne doit pas pouvoir se reproduire dans une salle de contrôle voisine. Si un cybercriminel parvient à accéder à un seul poste de transformation, il ne devrait pas pouvoir accéder aussi à tous les autres postes de transformation du réseau. Si une base de données est compromise, elle ne doit pas permettre d’accéder à toutes les bases de données sensibles de l’organisation.
Mieux vaut savoir
Comme pour presque toutes les organisations avec lesquelles nous travaillons, nos spécialistes ont pu repérer et exploiter plusieurs lacunes qui nous ont finalement permis de réussir notre intrusion. Cependant, en raison notamment des importants investissements qu’a faits le client récemment, nous étions fortement limités dans notre accès et dans l’ampleur des dommages que nous pouvions théoriquement causer. Surtout, le client a été en mesure de tenir compte de nos commentaires pour corriger immédiatement les vulnérabilités que nous avons pu exploiter.
Pensez à la quantité de données que votre organisation recueille, traite, partage et stocke sur votre réseau chaque jour, chaque semaine, chaque année. Six mois, c’est beaucoup de temps avant qu’un cyberincident ne soit détecté. Sans parler des centaines de milliers de dollars d’amendes potentielles et des nombreuses années d’obstacles réglementaires à surmonter par la suite.
Heureusement pour notre client, nous avons pu mener à bien notre exercice de sécurité offensive, délivrer un rapport complet sur nos conclusions et proposer un vaste éventail de mesures à prendre dans un délai semblable. Et ce, sans aucun préjudice juridique ou réputationnel, ce qui montre qu’il est toujours moins cher et plus facile de tester vos vulnérabilités et de savoir où vous en êtes.
À propos de MNP
MNP est un cabinet de comptabilité, de fiscalité et de services-conseils de premier plan au Canada. Nous sommes fiers de répondre aux besoins de nos clients des secteurs public, privé et sans but lucratif. Par l’intermédiaire de mandats dirigés par les associés eux-mêmes, nous proposons une démarche axée sur la coopération et l’efficience ainsi que des stratégies adaptées aux besoins des entreprises afin de les aider à connaître du succès, au pays comme à l’étranger.