Article publié dans l'édition Automne 2019 de Gestion

Environ 20 % des entreprises canadiennes ont été victimes d’une attaque informatique1 en 2017, selon Statistique Canada. Pourtant, elles sont encore peu nombreuses à se prémunir adéquatement contre ce danger. Coûts, méconnaissance, complexité des procédés : les défis sont de taille. Puisque les conséquences potentielles sont dévastatrices, mieux vaut prévenir les coups.

Pour une entreprise, les coûts de réparation des dégâts causés par une cyberattaque s’élèvent en moyenne à 1,67 million $ US2. Et ce phénomène touche autant les grandes entreprises (41 %) que les PME (47 %)3.

En effet, toute entreprise est vulnérable. Chacune d’elles possède des informations d’une certaine valeur : listes de clients et de fournisseurs, renseignements personnels à leur sujet, caractéristiques des produits de la firme, etc. La menace peut provenir de cyberpirates avides de toucher une forte rançon, de concurrents et même d’anciens employés. À titre d’exemple, le Groupe Sirco, une entreprise montréalaise spécialisée notamment en sécurité informatique, reçoit en moyenne deux dossiers par semaine au sujet d’employés qui ont quitté une entreprise en emportant avec eux des informations confidentielles. Quant aux attaques de cyberpirates, les nouveaux cas se dénombrent à au moins deux par mois uniquement dans notre firme.

LIRE AUSSI : « Dossier Condamnés à la cyberfragilité ? - Les établissements des réseaux de la santé dans la mire des pirates »

Il n’y a pas que sur le plan matériel qu’on puisse prévenir les cyberattaques. La formation du personnel est tout aussi importante. Souvent, les entreprises se limitent à de simples évaluations techniques et ne prennent pas en compte un élément primordial : le facteur humain. Par exemple, la « fraude du président », une astuce par laquelle des cyberpirates réussissent à soutirer des fonds à une entreprise en se faisant passer pour son PDG, est fondée sur la fraude psychologique (ou social engineering)4 et non sur la technologie.

En règle générale, les entreprises sous-estiment le risque auquel elles s’exposent en matière de cyberattaques. Trop souvent, elles n’investissent pas assez dans la sécurisation de leur système informatique. Or, dans 97 % des cas, les experts du Groupe Sirco réussissent à s’introduire dans les systèmes informatiques des entreprises qui font appel à notre firme pour en évaluer la solidité.

Les quatre causes de la négligence des organisations

Voici les quatre raisons principales pour lesquelles les organisations sont négligentes en matière de cybercriminalité ainsi que six conseils destinés à leurs dirigeants afin qu’ils corrigent le tir.

1re raison : la sous-estimation des risques… Et son corollaire

Le degré de protection dépend de l’évaluation des risques. Or, de manière générale, les entreprises ne se sentent pas menacées par le phénomène des cyberattaques. Par conséquent, elles se sentent suffisamment protégées, même lorsqu’elles le sont très peu.

Dans les milieux manufacturiers et industriels, le risque de cyberattaques est pourtant en forte croissance depuis l’apparition des usines 4.0, où les outils de production sont désormais connectés. Des attaques informatiques dans de tels environnements peuvent donc nuire gravement à la capacité de production de ces installations.

Par ailleurs, le stockage de données dans le nuage informatique et le développement du travail à distance, qui repose sur l’utilisation d’ordinateurs personnels, ont accru la vulnérabilité des organisations.

La déclaration, auprès des autorités, d’un nombre très faible d’intrusions informatiques ou de cas de vol de données ainsi que la complexité des problèmes de sécurité et des solutions à concevoir pour y faire face contribuent à leur tour à la protection insuffisante des entreprises dans ce domaine.

2e raison : Les coûts de la sécurité

Les entreprises investissent des sommes considérables dans des technologies de l’information qui, sans être au cœur de leurs activités, sont indispensables à leur fonctionnement. De ce fait, tant que tout se passe bien, leurs dirigeants croient inutile d’investir dans la sécurité informatique. Ce phénomène est plus rare dans les grandes entreprises, souvent contraintes à le faire par leur conseil d’administration. Toutefois, dans le cas des PME, elles se battent pour maintenir leur rentabilité en dépit de la concurrence féroce avec laquelle elles sont aux prises. Dans ce contexte, elles hésitent à investir pour écarter un danger d’autant plus sous-estimé qu’il est difficile à circonscrire.

LIRE AUSSI : « Dossier Condamnés à la cyberfragilité ? - La cybercriminalité au Canada »

Les coûts inhérents à une protection informatique suffisante découragent de nombreuses entreprises à investir pour se prémunir contre tout danger sérieux. Elles ne se rendent pas compte qu’elles courent alors un risque qui pourrait leur coûter bien plus cher. En effet, les coûts de réparation des dégâts consécutifs à une intrusion informatique sont toujours très élevés. De plus, ces attaques ont souvent des conséquences négatives sur l’expérience client et nuisent donc durablement à la réputation de l’entreprise elle-même.

3e raison : l’évolution rapide des menaces et des solutions

Auparavant, des pare-feu, des outils de gestion et des antivirus suffisaient à limiter les risques de cyberpiratage. Aujourd’hui, c’est nettement insuffisant. La nature des attaques évolue constamment et les moyens de prévention sont de plus en plus sophistiqués. Or, bien souvent, les PME n’emploient pas d’experts en cybersécurité pour surveiller les menaces et pour adapter les outils de protection en conséquence.

4e raison : la crainte de la douleur

La sécurisation de systèmes  informatiques requiert l’adoption de protocoles de vérification qui ralentissent parfois les activités courantes d’une entreprise. Par exemple, lorsqu’on juge nécessaire de restreindre l’accès à certaines informations confidentielles à un nombre limité d’employés, l’ajout d’une étape de connexion comportant l’entrée obligatoire d’un identifiant et d’un mot de passe peut s’avérer essentiel.

Les experts en cybersécurité sont conscients du risque d’alourdissement des tâches inhérent à certaines mesures de sécurité : ils s’efforcent donc de trouver le point d’équilibre entre la sécurité et la fluidité des processus de façon à ne pas nuire à l’efficacité  des organisations.

Profitez d'un rabais de 50% sur l'ensemble des abonnements de la Revue Gestion avec le code de réduction CYBER50

Six conseils pour éviter les risques de cyberattaques

1. Évaluer le danger

Il faut d’abord connaître et comprendre les risques, dont la nature varie selon le secteur d’activité de l’entreprise et selon la solidité des systèmes de sécurité dont celle-ci est dotée. Il faut ensuite évaluer la gravité potentielle de ces menaces et en déterminer la provenance (interne ou externe).

2. Dresser un état des lieux

Une fois les risques bien circonscrits, l’analyse des systèmes informatiques et de leur solidité s’avère cruciale. On doit alors tester ces systèmes afin d’en déceler les  failles potentielles.

3. Établir un plan d’action

Lorsque les deux étapes précédentes ont  été  réalisées  avec  soin  et  avec sérieux,  il  faut  mettre  au  point  un  plan d’action. L’entreprise doit ainsi déterminer ce qu’elle veut protéger en priorité. Une question se pose alors : qu’est-ce qui pèse le plus lourd dans la   balance, les risques auxquels elle est le plus exposée ou ceux  qui  ont  moins de chances de se matérialiser mais qui  auraient les conséquences les plus lourdes ? L’organisation doit alors déterminer jusqu’à quel point elle est prête à s’exposer à ces risques. Le choix de ses objectifs en matière de sécurité découlera bien sûr de son budget et de ses priorités.

4. Accorder les budgets nécessaires

Un  plan  d’action  ne vaut rien si aucun financement ne l’accompagne. L’engagement de la direction d’une entreprise à cet égard est indispensable : il se mesure notamment à sa capacité et à sa volonté d’accorder les fonds nécessaires à la mise en œuvre des mesures de prévention requises.

5. Mettre en œuvre les mesures prévues

Les dispositifs de sécurité informatique sont presque innombrables et leur nature varie selon l’environnement informatique choisi par l’entreprise. Or, parfois, l’analyse des systèmes informatiques en service lève le voile sur leur obsolescence. Dans ce cas, le renouvellement de l’équipement peut s’imposer avant d’implanter des solutions de sécurisation.

6. Former le personnel

On néglige souvent cette étape ; or, elle est indispensable. L’efficacité des investissements en solutions technologiques en dépend au plus haut degré. Il faut donc former et sensibiliser le personnel à protéger tant ses propres données que les informations de l’entreprise elle-même. Les employés n’ont pas toujours conscience des risques et de l’intérêt que certaines informations peuvent présenter aux yeux d’agents  extérieurs.

LIRE AUSSI : « Dossier Condamnés à la cyberfragilité ? - Cryptomonnaies : la nouvelle cible des cybercriminels ? »

Tous les membres du personnel, sans exception aucune,  ont un rôle  à jouer  en matière de prévention des cyberattaques,  peu importe qu’ils fassent partie de la haute direction ou qu’ils soient des employés subalternes. Toutefois, les membres du personnel qui ont les contacts les plus fréquents et les plus assidus avec l’extérieur sont les plus exposés : il importe donc de les former adéquatement et de  veiller à ce qu’ils se conforment aux règles de sécurité en vigueur.

Même si une entreprise est dotée d’un système de sécurité à la fine pointe de la technologie, le simple fait de laisser entrer un inconnu dans ses locaux par inadvertance ou par négligence peut l’exposer au vol de ses données les plus confidentielles. Quant aux offres d’emploi diffusées par les services des ressources humaines, on devrait les examiner à la loupe en tenant compte des impératifs en matière de cybersécurité. La raison ? Elles contiennent souvent des renseignements dont les cyberpirates peuvent tirer profit, notamment en ce qui a trait à l’environnement informatique choisi par une entreprise.

Rien ni personne n’est à l’abri d’une cyberattaque. Toute entreprise doit donc chercher à se protéger de façon suffisante plutôt que de courir le risque de devoir réagir après coup et de consacrer beaucoup d’argent à sa remise à flot. On peut toutefois atténuer grandement les risques en adoptant les mesures de prévention appropriées et en faisant tous les suivis nécessaires. Dans ce sens, le recours à un expert en technologies de l’information, qu’il soit employé permanent ou contractuel temporaire, est indispensable.

Notes

1 Statistique Canada, « Cybersécurité et cybercrime au Canada, 2017 », 15 octobre 2018

2 Radware, « The Trust Factor – Cybersecurity’s Role in Sustaining Business Momentum », 2019, 64 pages

3 Statistique Canada, ibid

4 L’art d’exploiter les comportements humains afin d’obtenir des informations et des données confidentielles ou des codes d’accès, appelé « fraude psychologique » (social engineering en anglais), est en très forte progression