Gestion d’une crise de cybersécurité

S’il est vrai qu’une crise organisationnelle peut se présenter sous une multitude de formes dans le contexte des affaires d’aujourd’hui, un type d’incident en particulier semble à la fois universel et de plus en plus fréquent : la violation de la cybersécurité.

L’ère numérique s’est apparemment installée partout, ce qui signifie que les cyberrisques touchent maintenant tous les aspects de notre vie et de notre travail. Ce n’est plus une question de technologie, mais un risque d’affaires stratégique qui perturbe toutes les facettes des organisations. La cybersécurité est complexe et en constante évolution, et sa gestion efficace est essentielle pour procurer aux organisations la confiance dont elles ont besoin pour progresser en profitant pleinement des occasions liées aux technologies.

Quels que soient la taille, le secteur ou le sous-secteur de votre entreprise, si vous utilisez internet ou des outils numériques pour exercer vos activités, vous êtes à risque de vous trouver dans une situation de crise liée à la cybersécurité. Selon l’Autorité canadienne pour les enregistrements Internet (ACEI), même les organisations qui ont investi dans la cybersécurité ne sont pas à l’abri : en 2017, 19 % des entreprises canadiennes ont subi des attaques de logiciels de rançon, et 32 % ont été menacées par des tentatives d’hameçonnage1.

Heureusement, il est possible de réussir à atténuer et à minimiser les dommages causés par une violation de la cybersécurité. Une fois que vous avez accepté le fait que vous serez éventuellement attaqué, vous êtes mieux en mesure de vous préparer à l’inévitable, de réagir efficacement et d’établir un plan de reprise des activités. Par-dessus tout, un important changement de mentalité est possible quand les principaux décideurs de l’organisation comprennent que la question n’est pas de savoir si un cyberincident se produira, mais quand il se produira.

Nouvelles règles et attentes plus élevées
La fréquence des cybercrises a augmenté et les tactiques malveillantes ont énormément progressé au cours des dernières années. Ce contexte en évolution rapide s’accompagne de l’attente d’une transparence complète de la part des parties prenantes, des observateurs et des organismes de surveillance. La nouvelle réalité est une réglementation plus rigoureuse en matière de protection des données et de cybersécurité, et la façon dont une organisation transmet des avis et des communications aux parties prenantes et aux organismes de réglementation en cas de cybercrise y est pour beaucoup dans la réussite de la reprise de ses activités.

Il est par ailleurs primordial que toutes les personnes de l’organisation connaissent bien leur rôle relativement à la protection contre les cybercrises et à la gestion de celles-ci. Un plan qui définit le rôle du conseil d’administration, les responsabilités de prise de décisions de la haute direction, ainsi que l’approche et les processus d’intervention en cas d’incident de l’équipe de direction, de même qu’un plan visant les communications à toutes les parties prenantes, doivent être clairement documentés et utilisés.

Être bien préparé
Une fois que tout le monde comprend bien le degré de cybermenaces auquel l’entreprise est exposée et son niveau de maturité actuel en gestion des risques, il importe de mettre en place un programme de gestion des cyberrisques efficace, qui tient compte de piliers clés dans le but d’assurer la sécurité, la vigilance et la résilience de l’organisation. Pour mettre en œuvre un tel programme, il faut d’abord poser les bonnes questions et brosser un portrait exact des cybermenaces pour l’organisation.

Après avoir déterminé le qui, le quoi et le comment d’une attaque potentielle, vous pouvez commencer à établir l’ordre de priorité des cybercapacités et à les mettre en œuvre .Ces mesures pouvant aller de la surveillance des systèmes existants à la sensibilisation du personnel aux menaces pertinentes.

Si certaines initiatives de votre programme peuvent être dirigées par des équipes internes de cybersécurité, il devient de plus en plus difficile de créer de telles équipes depuis quelques années parce que la demande pour des cybertalents au Canada dépasse l’offre de 7 % annuellement . Heureusement, l’impartition des démarches en cybersécurité peut être tout aussi efficace, pourvu que vous fassiez équipe avec une organisation qui comprend vos risques d’affaires précis et qui est capable de contribuer à la mise en œuvre des technologies nécessaires pour les atténuer.

Avoir un plan de reprise des activités
Les violations de la cybersécurité peuvent causer des dommages considérables aux organisations qui en sont victimes, allant de conséquences financières négatives à une importante atteinte à l’image de marque et à des pénalités réglementaires. Cela dit, un plan de reprise des activités solide et bien exécuté peut grandement réduire la gravité des conséquences et, dans certains cas, il peut même sauver la réputation de l’entreprise.

Ce plan doit être établi avant qu’un cyberincident survienne, et il doit généralement comprendre des processus pour :

• documenter l’incident, incluant la façon dont il a été découvert, la personne qui l’a signalé et la façon dont elle a été alertée, de même que les gens qui ont été touchés;
• cerner et isoler les systèmes touchés afin de préserver la « scène du crime »;
• recueillir des preuves et les analyser (p. ex., interroger les personnes concernées, mener une enquête numérique);
• vérifier la possibilité de participation d’acteurs internes et prendre des mesures visant à minimiser les risques potentiels; 
• mettre en pratique les leçons apprises pour renforcer la sécurité du réseau, améliorer les protocoles et accroître la cybervigilance.

Prévoir l’imprévisible
Les organisations deviennent plus interconnectées et elles dépendent de plus en plus des technologies et d’internet pour exercer leurs activités, et les cybercriminels continueront de trouver de nouvelles façons de les exploiter. Les entreprises qui progresseront sont celles qui continuent d’aller de l’avant, reconnaissant que ces menaces existent et mettant en œuvre les mesures nécessaires pour gérer une éventuelle cybercrise de façon efficace.