Cyberattaques: pourquoi toutes les entreprises courent des risques et cinq façons de les éviter ou d’y faire face

11 mars 2016

Dans le présent article, également affiché sur notre blogue portant sur le droit des technologies au Canada, Vanessa Coiteux, associée chez Stikeman Elliott, nous rappelle que le risque d’une cyberattaque n’est en aucun cas restreint aux entreprises de certains secteurs. Elle note cinq facteurs de risques liés à la cybersécurité qui s’appliquent à la plupart ou à toutes les entreprises et discute de la manière d’y faire face. Ces observations intéresseront particulièrement les administrateurs de sociétés  car ceux-ci, comme l’indique l’article, doivent de plus en plus tenir compte du risque de cyberattaque, notamment lorsqu’ils envisagent l’acquisition ou la vente de leur entreprise.

  • « Nous ne sommes pas une grande compagnie publique! »
  • « Nous ne sommes pas une institution financière ou une compagnie oeuvrant dans le domaine du détail! »
  • « Il y a sûrement des renseignements plus précieux à pirater ailleurs! »
  • « La mise en place de mesures de défense reliées à la cybersécurité coûte cher! »

Ce ne sont là que quelques-unes des raisons pour lesquelles certaines sociétés se croient à l’abri d’une cyberattaque et sont réticentes à se prémunir contre tous les types de risques liés à la cybersécurité. Toutefois, l’idée qu’elles se font de ces risques est dépassée : dans un monde branché où presque toutes les entreprises se servent de téléphones cellulaires, d’ordinateurs ou de systèmes de paiement électronique, cette façon de penser risque de compromettre leur sécurité, leur faire perdre de l’argent ou entacher leur réputation. En 2016, la réalité est telle que quel que soit son secteur d’activités ou sa taille, toute entreprise court un risque de cyberattaque.

À ce titre, l’intérêt que les conseils d’administration et les hauts dirigeants portent à la cybersécurité a récemment monté en flèche. Selon un sondage réalisé en 2015 par l’ISACA,[1] organisme dédié à la sécurité de l’information, auprès des professionnels d’affaires et des TI provenant de 129 pays, 86 % des professionnels sondés croient que les cyberattaques font partie des trois plus grands risques auxquels sont confrontées les entreprises de nos jours. Leurs préoccupations à cet égard sont compréhensibles, car les frais et les risques liés à la cybersécurité ont augmenté énormément au cours des dernières années.[2] Par exemple, un sondage réalisé en 2016 par PwC indique que les incidents liés à la cybersécurité ont haussé de 160 % année après année.[3]

Le présent article portera sur cinq facteurs de risque liés à la cybersécurité et présentera cinq façons correspondantes de minimiser le risque d’une cyberattaque.

Première partie – Cinq facteurs de risque

  1. Penser que ça ne pourrait jamais arriver

Il est inquiétant pour la direction d’une entreprise de croire aveuglément que la cybersécurité n’est pas un sujet de préoccupation, car cela pourrait l’inciter à ne pas enquêter dans le but de découvrir s’il y a des menaces réelles. Selon le sondage réalisé par l’ISACA en 2015, seulement 46 % des professionnels s’attendent à ce que leur organisation soit victime d’une cyberattaque dans l’année à venir, et ce, même si ces mêmes professionnels croient, dans un pourcentage effarant (86 %), qu’il s’agit d’une des plus grandes menaces qui pèsent sur leur entreprise. Il y a donc un grand écart entre le nombre de professionnels qui jugent que les cyberattaques sont une menace et le nombre de ceux qui croient qu’une cyberattaque visera réellement leur entreprise.

Pour déterminer s’il faut se préoccuper des risques liés à la cybersécurité, la direction d’une entreprise doit prendre en considération les trois fonctions fondamentales de la cybersécurité, soit la confidentialité, l’intégrité et la disponibilité.

  • Confidentialité: Cette fonction vise les renseignements importants ou de nature délicate qu’une entreprise veut garder confidentiels et privés et auxquels seules certaines personnes doivent avoir accès. L’entreprise conserve-t-elle des copies électroniques des contrats, des appels d’offres, des offres d’achat, des listes d’employés, des numéros de cartes de crédit ou des renseignements permettant d’identifier des personnes, notamment? Ou, de façon plus générale, a-t-elle des renseignements gardés ou copiés sur ses serveurs qu’elle ne voudrait pas communiquer au public? 
  • Intégrité: Cette fonction vise l’intégrité des systèmes de l’entreprise ainsi que leur cohérence et leur fiabilité, pour faire en sorte que les actifs informationnels demeurent complets, intacts et non corrompus au fil du temps. Les systèmes de TI sont-ils sûrs? L’entreprise utilise-t-elle différentes méthodes d’identification (biométrie ou jetons de sécurité, par exemple)? Est-ce que ses employés ont accès à leurs courriels sur leurs téléphones ou ont-ils accès à distance à leurs ordinateurs? La direction a-t-elle entièrement confiance en l’intégrité de ses systèmes en tout temps?
  • Disponibilité: Cette fonction vise l’importance d’assurer la disponibilité de tous les systèmes de TI nécessaires à l’exploitation continue de l’entreprise. L’entreprise peut-elle exercer ses activités sans Internet ou sans avoir accès aux courriels pendant quelques heures, une journée, deux jours ou une semaine? Peut-elle exercer ses activités sans accéder à l’information stockée dans ses serveurs ou sur son matériel informatique? Combien de temps peut-elle continuer d’exercer ses activités si elle perd le contrôle de sa cyberinfrastructure?

Si elle a des doutes concernant l’une des fonctions susmentionnées, la direction d’une entreprise devrait considérer que la cybersécurité est un risque à examiner avec ses conseillers juridiques et des professionnels en cybersécurité.

  1. Ne pas comprendre d’où viennent les risques

Une bonne compréhension de la cyberinfrastructure de l’entreprise est essentielle afin d’évaluer les risques liés à la cybersécurité. Pour déceler les cyberattaques et intervenir en conséquence, il est extrêmement important d’être conscient des programmes malveillants, virus ou intrusions, des manquements de la part des fournisseurs de services, des lacunes dans la sécurité physique (perte ou vol d’appareils ou de matériel), de la mauvaise utilisation des appareils mobiles, des sabotages à l’interne ou encore de la mauvaise utilisation ou de la défaillance des applications de l’infonuagique (le « cloud »). Si ce n’est pas le cas, la direction de l’entreprise risque d’apprendre d’un tiers, comme un fournisseur ou un client, que ses systèmes ont subi une cyberattaque, ce qui pourrait nuire à sa réputation et entraîner une perte de clientèle.

  1. Ne pas tenir compte du facteur humain, le maillon le plus faible

Lorsqu’il est question de cybersécurité, le « facteur humain » est l’éléphant dans la pièce. De plus en plus de cybercriminels manipulent des employés sans méfiance pour accéder aux renseignements confidentiels d’une organisation. Cette pratique d’exploitation, appelée l’ingénierie sociale, est l’une des façons les plus communes de commettre des crimes reliés à la cybersécurité. Selon un rapport de 2015, 95 % de tous les actes d’espionnage qui ont eu lieu en 2015 impliquaient l’hameçonnage, technique utilisée pour leurrer les gens en les incitant à divulguer des renseignements de nature délicate au moyen d’un lien vers un site Web ou par réponse directe, comme par courriel.[4]

À ce titre, on peut facilement imaginer une situation où tous les employés d’une entreprise reçoivent d’une source inconnue un courriel qui contient un document ou un lien et qui donne une raison plausible d’ouvrir le document ou de cliquer sur le lien.[5] La direction est-elle assurée qu’aucun employé n’ouvrira le document ni ne cliquera sur le lien? Les conséquences d’un tel geste de la part d’un seul employé pourraient être désastreuses, même s’il a été posé par inadvertance. L’entreprise pourrait notamment être évincée de son serveur de courriels pendant des jours. La réalité est que les pirates, les hameçonneurs et les programmes malveillants sont sophistiqués et peuvent nuire à une entreprise, la ralentir et même la paralyser.

  1. Sous-estimer l’importance d’une bonne préparation

Une entreprise peut aussi être à risque si son équipe de direction sous-estime l’importance d’une bonne préparation. Pour être bien préparé, il faut se doter à la fois d’un plan de prévention contre une atteinte à la cybersécurité et d’un plan d’intervention en cas d’incident. La direction d’une entreprise sous-estime parfois l’importance de mettre en place ces deux plans, même si tout défaut de le faire peut entraîner de lourdes conséquences, notamment l’imposition de dommages-intérêts et d’amendes par des tribunaux ou des autorités de réglementation. Pour plus de renseignements à ce sujet, voir notre précédent article sur la cybersécurité.

  1. Croire aveuglément que l’entreprise est adéquatement assurée

Au Canada, le marché de la cyberassurance et de ses produits est assez nouveau et est en évolution. Par conséquent, il est souvent difficile de se retrouver parmi les multiples contrats d’assurance, qui vont des assurances responsabilité civile générales aux assurances erreurs et omissions, sécurité de réseau et protection des renseignements personnels. On croit souvent à tort que les contrats d’assurance traditionnels couvrent suffisamment l’entreprise dans le cas d’une atteinte à la cybersécurité ou d’une cyberattaque. En règle générale, ces contrats ne couvrent que certains des risques liés à la cybersécurité. La plupart du temps, les données et d’autres biens incorporels qui peuvent être volés lors d’une cyberattaque risquent ne pas être couverts, si bien que de nombreuses entreprises ne saisissent pas le coût réel d’une cyberattaque et son effet sur leurs résultats. Le coût réel risque d’être non négligeable si l’on considère que les coûts de la cybercriminalité totalisent de 375 à 575 milliards de dollars américains chaque année à travers le monde[6] et que, selon une enquête réalisée en 2015 par le Ponemon Institute, le coût consolidé moyen d’une fuite de données au Canada s’élève à 5,32 millions de dollars canadiens.

À titre illustratif, imaginez un employé qui emporte une clé USB contenant plus de 1 000 dossiers clients afin de travailler de la maison; il la dépose dans sa voiture en rentrant chez lui, s’arrête pour manger puis découvre, en retournant à sa voiture, que la clé USB a disparu. Les assurances traditionnelles couvriraient normalement l’objet tangible, soit la clé USB elle-même. Toutefois, l’information (c’est-à-dire le bien incorporel) qui se trouve sur la clé USB et qui est clairement plus précieuse que la clé elle-même n’est généralement pas couverte. Tout dommage associé à cette perte de données n’est pas non plus couvert, en général, et pourrait avoir un impact désastreux sur la réputation et la situation financière de l’entreprise.

Deuxième partie – Cinq façons de faire face aux risques de cyberattaque

Il est pratiquement impossible d’avoir une protection totale contre les cyberattaques, mais les risques qui y sont liés peuvent être contrôlés et atténués par toutes les entreprises. La direction doit décider, selon son appréciation des faits et des circonstances propres à son entreprise, laquelle des méthodes suivantes est pertinente ou nécessaire.

  1. Envisager la sensibilisation

La sensibilisation des membres de l’entreprise aux enjeux posés par la cybersécurité peut minimiser le risque de cyberattaque. Comme nous l’avons indiqué dans notre dernier article, la cybersécurité n’est pas uniquement un enjeu de TI. La cybersécurité est une question pertinente à l’échelle de l’entreprise et nécessite une approche interdisciplinaire, notamment un engagement complet en matière de gouvernance, pour veiller à ce que tous les aspects des activités soient au diapason afin de soutenir des pratiques efficaces en matière de cybersécurité ainsi qu’une formation régulière de toutes les parties intéressées, notamment les employés. Par exemple, les entreprises peuvent sensibiliser les employés aux moyens habituellement utilisés pour pénétrer dans les systèmes de l’entreprise, comme l’hameçonnage et les faux courriels, ce qui abaisse la probabilité qu’ils deviennent les vecteurs d’attaques, terme souvent utilisé dans l’industrie pour décrire la porte d’entrée utilisée par les pirates pour accéder au réseau d’une entreprise. Une formation pertinente peut en effet contribuer à diminuer certains des risques liés au facteur humain.

À ce sujet, l’Organisme canadien de réglementation du commerce des valeurs mobilières (l’« OCRCVM ») a publié, en décembre 2015, le Guide de pratiques exemplaires en matière de cybersécurité. Même si ce guide est conçu pour les courtiers membres de l’OCRCVM, il contient de nombreux trucs et des lignes directrices qui pourraient être utiles aux compagnies publiques et privées qui souhaitent augmenter la sensibilisation au sein de l’entreprise.

En outre, pour augmenter la sensibilisation, les entreprises peuvent vérifier de diverses façons leur infrastructure de cybersécurité afin d’en trouver les points faibles, que ce soit en ayant recours à leurs ressources internes ou à un service de sécurité externe. Les professionnels en cybersécurité de cabinets externes, comme la plupart des grands cabinets comptables, peuvent effectuer une vaste gamme d’essais afin de découvrir les points faibles de vos systèmes. Les deux types d’essais les plus utilisés sont l’essai de boîte blanche (« white box ») et l’essai de boîte noire (« black box »). Dans le cadre d’un essai de boîte blanche, les professionnels en cybersécurité demandent quelques renseignements sur l’entreprise, en examinent les systèmes et découvrent les points faibles en simulant une cyberattaque. Dans le cadre d’un essai de boîte noire, ils agissent comme s’ils étaient des pirates, ce qui signifie qu’ils ne demandent aucun renseignement sur l’entreprise et n’en examinent pas l’infrastructure informatique avant d’essayer de la pirater; ils ne mènent qu’une attaque simulée pour repérer les points faibles des systèmes et établir quels types de renseignements auraient pu être volés ou compromis en cas d’attaque réelle.

  1. Envisager l’adoption d’une politique musclée visant les employés

En plus de déployer des efforts de sensibilisation, les entreprises peuvent se défendre contre les risques liés au facteur humain en concevant une politique exhaustive qui explique aux employés comment utiliser les outils technologiques de l’entreprise, ses appareils, ses applications web (y compris les courriels) et ses renseignements électroniques, de même que les appareils personnels qui entrent en contact avec l’infrastructure des TI de l’entreprise. Pour concevoir une politique efficace, la direction peut considérer ce qui suit :

  • veiller à ce que sa formulation soit facilement compréhensible pour tous les employés, et non seulement pour les spécialistes en technologie ou en sécurité;
  • préciser ce qui relève de la propriété intellectuelle, des renseignements confidentiels, des renseignements commerciaux de nature délicate et d’autres actifs que la politique vise à protéger;
  • mettre l’accent sur l’importance de la cybersécurité et expliquer les risques éventuels pour permettre aux employés de comprendre les enjeux en utilisant des exemples pratiques dans lesquels les employés peuvent se reconnaître;
  • préciser ce qui peut et ne peut pas être fait avec les outils technologiques de l’entreprise, ses appareils, ses applications web (y compris les courriels) et ses renseignements électroniques;
  • présenter la personne responsable de la politique, ou plus généralement de la cybersécurité;
  • indiquer l’ordre hiérarchique des personnes à qui transmettre les questions ou à qui faire part d’incidents, et préciser comment les contacter; et
  • indiquer les coûts et les conséquences pour l’entreprise et chaque employé ne respectant pas la politique.

Afin de garantir l’efficacité de cet outil, l’entreprise peut souhaiter en faciliter l’application en offrant des séances d’information et en diffusant des messages au sein de l’entreprise (p. ex. des courriels ou des vidéos, ou au moyen d’un portail), et en assurer le respect par des mesures de surveillance et des audits adéquats.

En outre, avant de rédiger ou d’adopter une politique de cybersécurité, l’entreprise peut étudier la possibilité d’utiliser les lignes directrices suggérées par le National Institute of Standards and Technology (NIST) dans son Framework for Improving Critical Infrastructure Cybersecurity. Ce cadre contient de nombreux outils et idées pratiques et intéressants pour mettre en œuvre, maintenir et gérer des politiques et des processus de cybersécurité musclées.

  1. Envisager l’utilisation de mesures de protection dans l’attribution des contrats

Les contrats de fournisseurs, notamment de tiers fournisseurs de services, comptent parmi les principaux sujets qu’abordent les lignes directrices récemment publiées par les autorités de réglementation canadiennes et américaines. En fait, « le nombre d’incidents de sécurité imputés aux partenaires fournisseurs et aux tiers fournisseurs ne cesse d’augmenter d’année en année »[7] (notre traduction). Les entreprises devraient envisager d’utiliser des mesures de protection dans l’attribution des contrats, notamment :

  • élaborer des politiques en vue d’évaluer l’efficacité des infrastructures de cybersécurité des fournisseurs, notamment des tiers fournisseurs de services;
  • faire preuve de diligence avant de conclure un contrat avec un fournisseur, notamment un tiers fournisseur de services;
  • évaluer le type de renseignements auxquels le fournisseur de services aura accès et catégoriser ces renseignements comme étant confidentiels et protégés dans le contrat conclu avec cette partie;
  • exiger que le fournisseur, notamment le tiers fournisseur de services, fasse les déclarations, donne les garanties et prenne les engagements adéquats à l’égard de ses processus de cybersécurité (y compris qu’il réalise des essais et des améliorations continus et réguliers) afin d’avoir un recours contractuel en cas d’atteintes à la cybersécurité lui étant attribuable;
  • privilégier les fournisseurs, notamment les tiers fournisseurs de services, qui ont adopté des politiques strictes de cybersécurité, puisque ces relations ont ultimement une incidence sur le profil de risque de l’entreprise et, le cas échéant, sur la prime de cyberassurance de l’entreprise; et
  • établir si la cyberassurance offre une garantie suffisante en cas d’atteinte à la cybersécurité attribuable au fournisseur, notamment au tiers fournisseur de services.
  1. Évaluer la pertinence de souscrire une cyberassurance

Depuis peu, les assureurs canadiens offrent aux entreprises la possibilité de souscrire une cyberassurance distincte, soit directement auprès de l’assureur, soit auprès d’un courtier. La cyberassurance est modulaire. Il existe plusieurs types de polices (p. ex. : sécurité des renseignements et protection de la vie privée, réponse en cas d’atteinte à la vie privée, responsabilité des médias) pouvant être adaptés aux besoins de l’entreprise. Pour mieux déterminer le type de contrat dont une entreprise a besoin, les assureurs ou les courtiers transmettent en général un questionnaire comptant entre 40 et 50 questions pour repérer les forces et les faiblesses de l’entreprise. Habituellement, plus l’infrastructure de cybersécurité est solide, moins la prime à payer est élevée.

En outre, la direction peut envisager de demander l’aide de professionnels du droit et de spécialistes de la cybersécurité dans le cadre de la souscription d’une telle assurance. Plusieurs problèmes peuvent survenir si la cyberassurance n’est pas examinée par des professionnels aguerris. Par exemple, la définition du terme « information confidentielle » dans un contrat d’assurance est très importante, car elle pourrait exclure des données ou des actifs clés de l’entreprise. De plus, les cyberattaques sont parfois commanditées par des États et, par conséquent, peuvent être exclues si elles entrent dans l’exclusion classique du « terrorisme ». En outre, les exclusions doivent être examinées attentivement lorsqu’il est question d’une assurance traditionnelle.

  1. Évaluer les obligations de déclaration prévues par la loi
  2. a) Loi sur la protection des renseignements personnels numériques

En plus des obligations d’information continue incombant aux émetteurs inscrits, qui ont déjà été abordées dans mon précédent article sur la cybersécurité, la direction devrait évaluer ses obligations de déclaration prévues par la loi en matière de cyberattaque.

En juin 2015, l’adoption de la Loi sur la protection des renseignements personnels numériques a modifié la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE, plus connu sous le nom de PIPEDA)[8], notamment pour forcer toute organisation à aviser le commissaire à la protection de la vie privée et les personnes visées de toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels dont elle a la gestion, s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave à l’endroit d’un individu. L’entreprise peut se voir imposer une amende allant jusqu’à 100 000 $ en cas de non-respect des exigences de signalement à ses clients d’une atteinte dans un délai raisonnable. En outre, la Loi sur la protection des renseignements personnels numériques prévoit que l’organisation doit conserver et tenir à jour un registre des atteintes aux mesures de sécurité portant sur les renseignements personnels dont l’organisation a la gestion. Même si l’obligation de signalement n’entrera en vigueur que lorsque le règlement d’application aura été adopté, l’adoption de la Loi sur la protection des renseignements personnels numériques envoie aux entreprises et aux organisations un message recommandant la prudence.

  1. b) Divers projets de loi adoptés ou proposés aux États-Unis

Un premier projet de loi visant l’adoption de la Cybersecurity Disclosure Act of 2015 a été proposé par les sénateurs Reed et Collins du Sénat des États-Unis le 17 décembre 2015. Ce projet vise à promouvoir la transparence de la surveillance des risques de cybersécurité des sociétés ouvertes. Fondé sur le principe « se conformer ou s’expliquer », ce projet de loi propose d’obliger les émetteurs assujettis à déclarer quels administrateurs siégeant à leurs conseils ont une expertise en cybersécurité ou à expliquer pourquoi cette expertise n’est pas jugée nécessaire au sein du conseil. À ce jour, aucune disposition semblable n’a été proposée au Canada, mais il sera intéressant de suivre l’évolution de ce projet de loi américain au cours de la prochaine année, puisqu’il est toujours possible que les autorités de réglementation canadiennes suivent son exemple.

La Cybersecurity Information Sharing Act of 2015 a été adoptée le 28 décembre 2015. Cette nouvelle loi accorde l’immunité juridique aux sociétés qui partagent avec le gouvernement fédéral les cybermenaces subies et les mesures de protection mises en œuvre. Aucune loi équivalente n’a été adoptée au Canada.

*          *          *

En conclusion, il n’est pas toujours simple de naviguer le monde compliqué de la cybersécurité. Entre les essais visant l’infrastructure de cybersécurité et la sensibilisation des employés, en passant par la rédaction de contrats avec des fournisseurs, notamment des tiers fournisseurs de services, et le choix d’une cyberassurance, plusieurs questions et incertitudes peuvent surgir. Il est fondamental pour toute entreprise d’être prête à livrer la bataille contre les cyber-malfaiteurs. En s’adjoignant des professionnels de confiance, les entreprises trouveront la gestion de ces risques plus simple qu’il n’y paraît.

L’auteure aimerait remercier Tania Djerrahian et Jérémie Ste-Marie pour leur contribution au présent article.

[1] Voir le rapport d’enquête mondiale sur la cybersécurité de 2015 (2015 Global Cybersecurity Status Report) de l’ISACA. L’enquête a été réalisée auprès de 3 439 entreprises et professionnels des TI dans 129 pays, dont le Canada.

[2] Voir Fraser Institute, « Cybersecurity Challenges: For Canada and the United States », mars 2015, p. 17.

[3] Voir le sondage sur l’état mondial de la sécurité de l’information (Global State of Information Security) de PwC pour 2016.

[4] Les rapports d’enquête sur les fuites de données (Data Breach Investigations Report) de Verizon pour 2013 à 2015.

[5] Selon le gouvernement du Canada, 156 millions de courriels d’hameçonnage sont envoyés chaque jour, 16 millions déjouent les filtres, 8 millions sont ouverts, on clique sur 800 000 liens et 80 000 personnes mordent à l’hameçon chaque jour. Visitez http://www.pensezcybersecurite.gc.ca/cnt/rsrcs/nfgrphcs/nfgrphcs-2012-10-11-fr.aspx pour de plus amples renseignements.

[6] Voir McAfee, « Net Losses: Estimating the Global Cost of Cybercrime », Center for Strategic and International Studies, juin 2014 et Fraser Institute, « Cybersecurity Challenges: For Canada and the United States », mars 2015.

[7] Voir le Guide de pratiques exemplaires en matière de cybersécurité de l’OCRCVM, 2015.

[8] La LPRPDE s’applique aux organisations de compétence fédérale et ne s’applique pas dans les provinces disposant de lois sur la protection des renseignements personnels qui, de l’avis du gouvernement fédéral, sont essentiellement semblables à la LPRPDE. À l’heure actuelle, seuls le Québec, l’Alberta et la Colombie-Britannique sont dans cette situation.

 

MISE EN GARDE : Cette publication a pour but de donner des renseignements généraux sur des questions et des nouveautés d’ordre juridique à la date indiquée. Les renseignements en cause ne sont pas des avis juridiques et ne doivent pas être traités ni invoqués comme tels. Veuillez lire notre mise en garde dans son intégralité au www.stikeman.com/avis-juridique.

Restez au fait grâce à Notre savoir