Les préoccupations liées à la cybersécurité continuent de croître

Les préoccupations liées à la cybersécurité continuent de croître

Apprendre la leçon ou en payer le prix

Chaque semaine, des entreprises très en vue font l’expérience d’une atteinte très médiatisée à leur cybersécurité. Au cours des deux dernières années seulement, certains des plus grands noms du commerce de détail, du secteur manufacturier, du secteur de la consommation et de celui des télécommunications ont fait les manchettes au chapitre des incidents liés à la cybersécurité. Les coûts de ces incidents s’élèvent habituellement à des centaines de millions de dollars. Ce qui s’ajoute aux torts incalculables causés à leur réputation.

Dans notre monde interconnecté, cela signifie que nous sommes pratiquement tous à quelques clics de ce genre d’incident. En 2013, le cybercrime a coûté 3,2 milliards de dollars aux entreprises canadiennesⁱ et 36 % d’entre elles ont signalé avoir été victimes d’une cyberattaqueⁱⁱ .

Connaissez votre adversaire

Le repérage des attaquants potentiels de votre organisation, et celui de leurs cibles et de leurs techniques constituent les étapes de base. L’analyse comportementale visant à comprendre les motivations des cybercriminels qui menacent votre organisation peut vous aider à cerner les aspects dont vous devez vous préoccuper davantage.

Dans les secteurs publics tels que l’éducation et la santé, la confidentialité des renseignements des clients est une priorité absolue. Les secteurs du commerce de détail et des finances doivent quant à eux conserver précieusement les données de paiement et les renseignements des comptes. De plus, la plupart des secteurs ont leurs secrets commerciaux et leur savoir-faire à protéger. Savoir ce que les cybercriminels recherchent ou ce qui les motive peut aussi vous aider à décider de quelle manière vous répartirez les ressources précieuses.

• Comme point de départ pour toute organisation, Deloitte propose cinq étapes qui permettront d’améliorer la cybersécurité:
• Concentrez-vous sur ce qui importe : vos actifs attrayants et vos relations. Repérez vos interactions et vos actifs essentiels.
• Évaluez le cyberrisque de manière proactive. Renseignez-vous sur ce que vous devez chercher et sur la manière de détecter les menaces, qu’elles soient conventionnelles ou émergentes.
• Mettez l’accent sur la sensibilisation pour établir une défense à plusieurs niveaux. Élaborez un cyberprogramme qui porte sur une combinaison de défenses, englobant les aspects les plus cruciaux de votre organisation, de vos employés, de vos clients et de vos partenaires.
• Fortifiez les protections de votre organisation. Établissez un plan pour corriger les failles, gérer les correctifs, concevoir des logiciels sécurisés et assurer la sécurité physique.
• Préparez-vous à l’inévitable. Concentrez-vous sur la gestion des incidents et la simulation pour « tester vos barrières » et votre réaction.

Le temps est venu

La préparation est particulièrement importante compte tenu de la vitesse et du raffinement des cyberattaques observées de nos jours. Actuellement, de nombreuses attaques ne sont pas détectées pendant de longues périodes. L’accent devrait être mis sur la détection proactive. Par le passé, les programmes de détection pouvaient éradiquer la fraude grâce à la reconnaissance de signature des maliciels. Les attaques asymétriques modernes sont quant à elles plus difficiles à repérer. Les attaques des médias sociaux et les vols de données d’identification sont en hausse. N’importe quel code de destruction peut rester passif à l’intérieur de réseaux pendant des jours, des semaines, des mois ou des années avant de commencer à faire des ravages. Dans le monde virtuel d’aujourd’hui, il est impossible d’assurer la sécurité à 100 %. Toutefois, la détection de modèles malicieux et de comportements suspects devrait constituer l’étape de base pour tous.

Ce qui se produit pendant qu’une attaque est cours est aussi des plus inquiétants. Une étude menée par Verizon en 2014, analysant 63 000 incidents de sécurité dans 50 organisations mondiales, a révélé des faits étonnants :

• 72 % des premières atteintes se produisent en quelques minutes;
• 46 % des fuites de données se produisent en quelques minutes;
• 72 % des attaques sont découvertes après plusieurs semaines ou plus;
• 59 % des attaques peuvent être contrées après plusieurs semaines ou plus ⁱⁱⁱ.

En termes très simples, les systèmes sont fréquemment compromis en quelques minutes, parfois en quelques secondes seulement. À l’opposé, la détection et l’atténuation des risques requièrent habituellement des semaines, voire des mois. Ce genre d’équation n’inspire pas confiance.

Problèmes de personnel

Neuf modèles de base sont à l’origine de 92 % ^iv de tous les incidents. Les attaques d’applications Web, le cyberespionnage et les intrusions au point de vente sont les trois variations qui en moyenne comptent pour 72 % ^v de tous les actes de piratage. Mais ce sont les gens qui restent le maillon faible de la chaîne en matière de sécurité. Par conséquent, ils sont de plus en plus visés par les attaquants.

Il n’est pas nécessaire que les employés aient des intentions malveillantes pour exposer le réseau à des risques. Des erreurs et des omissions telles que l’oubli de mettre à jour un correctif de sécurité peuvent causer des torts considérables. Les tests menés par Deloitte sur la préparation des clients illustrent bien le problème. Nos équipes envoient aux employés des clients des courriels d’hameçonnage ciblé conçus de manière à imiter les cyberattaques les plus courantes. Environ 65 % des utilisateurs ont ouvert ces messages et à peu près un tiers d’entre eux y ont répondu en fournissant leurs données d’identification ^vi . Il est clair que la sensibilisation reste un aspect à améliorer.

Autre fait alarmant, on voit encore trop de gens qui graduellement finissent par accepter les signaux d’alerte concernant la sécurité comme quelque chose de normal. Dans deux des attaques les plus célèbres des dernières années, les gens ont repéré – et ignoré – des signaux d’alerte flagrants. Des réponses adéquates auraient pu éviter ou réduire les dommages dans chacun des cas. Mais au lieu de recueillir des renseignements sur ces deux indicateurs, on a traité ces événements comme des ennuis négligeables. Les organisations ont en quelque sorte continué de s’avancer au bord de la falaise. Chacune a donc connu une lourde chute. Les entreprises doivent accorder la priorité à la façon de répondre à ces alertes et retenir que la pensée de groupe peut avoir des conséquences catastrophiques.

Effort de groupe

Une autre mesure essentielle est de faire participer l’organisation entière à la planification de la cybersécurité. Il faut dépasser les services des risques et de l’audit interne, et inclure les services juridiques, par exemple. Souvent lorsque les cyberattaques visent les données d’une tierce partie, les premiers répondants doivent attendre d’obtenir un avis juridique avant d’intervenir. Ce serait comme voir les pompiers arriver sur les lieux d’un incendie et fermer leurs boyaux en attendant que les avocats arrivent. L’établissement de cadres juridiques avant qu’un incident se produise peut permettre d’assurer une gestion de crise plus efficace.

De toute évidence, la cybersécurité constitue un défi de taille. Le seul fait de se tenir à jour en ce qui concerne l’évolution de la réglementation est un travail à temps plein, ce qui détourne les rares ressources de la gestion des cybermenaces. Les frontières organisationnelles sont rendues floues par les politiques du type « apportez votre propre appareil » et les partenariats. Tout cela contribue à la complexité de l’équation en ce qui a trait à la sécurité.

Ce qui est primordial pour contrer les cybermenaces, c’est la capacité d’une organisation à trouver le modèle opérationnel qui permettra d’accroître la sécurité, la vigilance et la résilience. Les coûts et les impératifs d’affaires dicteront le modèle opérationnel pertinent, que vous choisissiez de confier la gestion de vos cyberdéfenses à l’interne ou à l’externe, ou de le faire en partenariat. Toutefois, tous les modèles de prévention doivent comprendre trois mesures clés :

• Sécurité : des contrôles de l’information efficaces sont fondamentaux.
• Vigilance : une surveillance proactive des menaces qui est à l’affût des répétitions et des comportements; une collecte de renseignements, y compris le cyberbavardage et la mise à jour de scénarios de menaces et de la technologie.
• Résilience : se préparer à contrer tout type d’attaque et continuellement mettre à jour les procédures d’intervention, tester à l’aide de simulations et mettre au point des plans de reprise dynamiques.

Malgré les risques très évidents, l’attitude à l’égard de la cybersécurité demeure celle-ci : « Ça n’arrivera pas ici. Ça ne nous arrivera pas à nous. Ça ne m’arrivera pas à moi. » De trop nombreuses entreprises, notamment plus d’un tiers des entreprises canadiennes, le savent mieux que quiconque. La réalité des cyberattaques ne consiste pas à se demander « si » cela se produira, mais bien « quand » cela se produira. Les organisations doivent donc se demander si elles préfèrent se préparer avant qu’une attaque se produise ou payer le prix fort pour réparer les dégâts après qu’elle se soit produite.

ⁱ Nelson, Jacqueline. « Cost of Canadian cybercrime reaches $3.2-billion in 2013 ». The Globe and Mail. Consulté le 10 mars 2015. http://www.globeinvestor.com/servlet/WireFeedRedirect?cf=GlobeInvestor/config&vg=BigAdVariableGenerator&date=20140609&archive=rtgam&slug=escenic_19071035
ⁱⁱ http://www2.deloitte.com/ca/fr/pages/communiques-de-presse/articles/deloitte-lance-son-centre-mondial-de-gestion-des-crises.html
ⁱⁱⁱ Verizon, 2014 Data Breach Investigations Report
^iv Ibid.
^v Ibid.
^vi Ibid.