La menace grandissante des atteintes à la sécurité des données

La pandémie de COVID-19 a peut-être ralenti le rythme de vie de beaucoup de gens au cours de la dernière année, mais les cybercriminels, eux, ont continué leurs activités comme si de rien n’était. En 2020, l’entreprise de sécurité Risk Based Security (RBS) révélait (en anglais seulement) que les atteintes à la sécurité des données dévoilées publiquement avaient chuté de 48 %, mais que le nombre de dossiers compromis avait bondi de 141 %. Ce pourcentage représentait au total 37 milliards de dossiers volés, une hausse par rapport à environ 15 milliards en 2019, qui est attribuable au plus large éventail de données que les criminels ciblent aujourd’hui. Les mesures mises en place pour endiguer la pandémie facilitent le travail des pirates qui souhaitent voler de l’information. En particulier, l’obligation de télétravail dans de nombreuses organisations a laissé la porte grande ouverte aux cybercriminels avisés : les employés utilisent leurs ordinateurs personnels à des fins professionnelles, ils sont connectés à des réseaux domestiques peu sécurisés, et ils utilisent davantage d’appareils connectés à internet, ce qui accroît les risques pour les données des entreprises.

Entre 2015 et 2020, le nombre de dossiers volés a augmenté de 4 379 %, selon RBS, et avec le travail à distance qui deviendra sans doute une pratique plus courante après la pandémie, il continuera assurément de s’accroître. Malheureusement, les systèmes décentralisés – dont le télétravail – ralentissent la réaction des organisations en cas de violation des données.

Le risque d’atteinte à la sécurité des données est l’une de trois grandes menaces émergentes que les entreprises doivent examiner attentivement au moment de planifier leur environnement d’exploitation de l’après-pandémie. Les deux autres, qui sont couverts dans les deuxième et troisième articles de notre série, examinent comment les criminels volent les données physiques des gens et le paysage de la menace qui est en constante évolution. Les criminels deviennent plus sophistiqués, ils volent davantage d’informations, et la plupart des entreprises ne disposent d’aucun moyen efficace pour se protéger quand elles sont victimes d’une attaque.

Les criminels ciblent des sources plus nombreuses

Dans le passé, les pirates ciblaient les numéros de cartes de crédit et d’assurance sociale. Aussi, au fil des ans, les entreprises ont mis au point des stratégies efficaces pour protéger ce genre de renseignements. Les criminels deviennent par conséquent plus créatifs, et la tâche leur est facilitée par le fait que l’innovation permet de faire fonctionner plus d’appareils par internet.

Prenons l’exemple des thermostats dans les maisons : les données enregistrées dans les thermostats « intelligents » peuvent aider les criminels à repérer des habitudes de comportement, comme les périodes où les occupants sont probablement chez eux ou absents, selon le réglage de la température ambiante. Les informations ainsi recueillies peuvent leur servir à planifier d’autres genres d’activités.

De plus, des recherches ont démontré que certains thermostats intelligents ont des vulnérabilités et que lorsqu’ils sont compromis, ils permettent aux pirates de surveiller à distance l’activité dans l’ensemble du réseau auquel le thermostat est branché. Ils peuvent aussi se faire envoyer l’information. Étant donné les nombreux appareils de l’Internet des objets (IdO) que l’on retrouve aujourd’hui dans les maisons et les entreprises – sécheuses avec fonction de collecte de données, applications mobiles riches en information, et bien d’autres – la diversité des données auxquelles les auteurs de menaces ont accès a augmenté de façon exponentielle.

Au vu de cette panoplie d’appareils et d’applications connectés à internet, il ne suffit pas de protéger un seul point d’accès. Les pirates sont devenus plus habiles à rassembler des segments d’information afin d’obtenir un tableau complet de la vie d’une personne. Ils peuvent tirer de l’information du GPS d’un téléphone cellulaire, se procurer des photos sur les réseaux sociaux, et obtenir des données sur les achats par carte de crédit. En combinant tout cela, une personne mal intentionnée peut en découvrir beaucoup sur la personnalité de sa cible, sur sa famille et sur la façon dont elle occupe ses journées, puis utiliser cette information pour exploiter ses vulnérabilités.

Tenir les gens en otage

Les auteurs de menaces peuvent utiliser les portraits complets pour créer des fraudes plus personnalisées. C’est pourquoi un dossier médical, qui regorge d’informations sensibles et précises sur une personne, a pour eux beaucoup plus de valeur qu’un numéro de carte de crédit. Selon un fournisseur de services de cybersécurité spécialisé dans la détection des menaces et l’intervention en cas d’incident, un dossier de données sur les soins de santé peut rapporter jusqu’à 250 $ US sur le marché noir, alors qu’un numéro de carte de crédit ne vaut guère plus de 5,40 $ US. Si un criminel sait qu’une personne a une maladie donnée, il peut créer un courriel qui aura l’air d’avoir été expédié par son médecin. La personne ciblée sera beaucoup plus susceptible d’ouvrir quelque chose qui semble provenir d’une source de confiance qu’un courriel hameçon général.

C’est là un point important en raison de la façon dont les auteurs de menaces ciblent maintenant à la fois les particuliers et les entreprises. Beaucoup ont recours à des campagnes sophistiquées pour duper les gens et les amener à introduire un logiciel malveillant dans leur réseau. Les pirates utilisent ensuite un logiciel pour fermer les systèmes de leurs victimes, promettant de les redémarrer en échange d’une rançon. En 2020, Deloitte a observé une forte augmentation de ces attaques de logiciels de rançon dans l’ensemble des secteurs. Les sommes demandées ont également augmenté (en anglais seulement), allant dans certains cas jusqu’à plusieurs millions de dollars.

Ces attaques peuvent être désastreuses parce qu’en fait, elles tiennent une personne ou une entreprise en otage jusqu’à ce que la rançon soit payée. Si une entreprise ne paie pas la somme demandée dans un délai précis, les pirates pourraient commencer à publier des renseignements de nature délicate ou à informer ses clients, ses fournisseurs ou des tiers qu’elle a été compromise. Les entreprises paient (en anglais seulement) généralement les rançons parce qu’un système hors service pendant plus d’une journée pourrait leur coûter encore plus cher.

Davantage de protection dans l’avenir?

Au cours des dernières années, de nouvelles lois et de nouveaux règlements imposant aux entreprises de protéger l’information qui leur est confiée sont entrés en vigueur. Il s’agit notamment de lois et d’exigences de protection de la vie privée ayant trait à la façon dont les organisations doivent protéger les renseignements personnels en cas de violation, comme le Règlement général sur la protection des données (RGPD) de l’Union européenne, et des règles précises visant les institutions financières, comme celles qui sont prévues par le Bureau du surintendant des institutions financières (BSIF) du Canada. Les lois canadiennes sur la protection de la vie privée font actuellement l’objet de mises à jour afin d’imposer davantage d’obligations et de rehausser les amendes pour les organisations qui ne s’y conforment pas.

Les cyberattaques peuvent par ailleurs avoir des répercussions juridiques importantes sur les entreprises. Dans bien des cas, les victimes d’une atteinte à la sécurité des données intenteront un recours collectif, accusant l’entreprise de ne pas avoir fait tout en son pouvoir pour protéger leurs renseignements et de ne pas avoir pris les mesures appropriées pour réagir à l’incident. Au Canada, des amendes sont exigées de la part des entreprises qui ne respectent pas la vie privée et l’obligation de déclarer toute atteinte à la sécurité des renseignements. Afin d’atténuer les cyberrisques, il est important que les organisations respectent non seulement leurs obligations juridiques, mais également les meilleures pratiques de leur secteur.

Au Canada, des travaux sont en cours afin d’améliorer la protection des particuliers et des entreprises. En novembre 2020, le gouvernement fédéral a déposé le projet de loi C-11, appelé Loi sur la mise en œuvre de la Charte du numérique, qui pourrait modifier considérablement le cadre de protection de la vie privée du secteur privé au pays. Il comprend des éléments de la loi fédérale actuelle sur la protection de la vie privée, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), et du RGPD en Europe. De plus, il codifie une bonne partie des directives réglementaires du Commissariat à la protection de la vie privée du Canada (CPVP) concernant les principaux enjeux liés à la protection de la vie privée. L’objectif est de permettre aux particuliers d’exercer un meilleur contrôle sur leurs renseignements personnels et de rendre plus claires les obligations liées à la protection des données pour les entreprises.

Revoir les meilleures pratiques de protection des données

Les dirigeants peuvent prendre plusieurs mesures afin de protéger leur entreprise, leurs gens et leurs clients. La première chose à faire est de déterminer le genre d’information qui intéresserait les auteurs de menaces, de même que les données sensibles qui, en cas de vol, pourraient causer des dommages à la réputation, aux finances ou aux opérations pour les parties prenantes de l’entreprise. La deuxième étape consiste à déterminer les lois ou les exigences réglementaires, législatives ou commerciales à respecter pour protéger ces informations, puis à appliquer les bonnes pratiques sectorielles afin de tenir compte des nuances qui ne sont pas abordées dans les règlements généraux.

Ensuite, les dirigeants doivent se pencher sur ce que leur organisation fait actuellement et comparer les mesures qu’elle prend aux exigences qu’elle est tenue de respecter. La plupart découvriront des lacunes, qu’ils parviendront à combler en élaborant une feuille de route échelonnée sur plusieurs années et assortie d’étapes précises, afin de s’assurer qu’ils réalisent des progrès, et en intégrant les nouvelles exigences qui pourraient être imposées au fil des ans.

Il importe par ailleurs de sensibiliser les employés à l’importance de la cybersécurité, surtout maintenant qu’ils sont nombreux à faire du télétravail, et de veiller à ce qu’ils aient les outils dont ils ont besoin pour accomplir leur travail sans devoir utiliser de technologies personnelles dont les protections ne sont pas nécessairement appropriées.

Il est essentiel de collaborer avec une entreprise qui peut vous aider à élaborer un solide plan de sécurité et à intervenir en cas d’atteinte à la sécurité, d’autant plus que les pirates perfectionnent toujours leurs méthodes. Même si la protection s’améliore constamment, la menace d’une intrusion ne disparaîtra jamais.

Dans le prochain article Voler des données physiques dans un monde numérique, nous allons explorer comment le travail à domicile augmente le risque d’un incident de cybersécurité.

Remerciements

Adrian Cheek
Directeur, Renseignements et chasse aux cybermenaces, Centre de Cyber Intelligence

Hélène Deschamps Marquis
Associée et leader nationale, Confidentialité des données et cybersécurité de Deloitte Legal Canada

Beth Dewitt
Associée et leader nationale, Protection des données et de la vie privée et administratrice