Les cyberattaques demeurent l’un des principaux défis auxquels font face les entreprises canadiennes. Pourtant, bon nombre d’entre elles attendent d’avoir subi une brèche de données pour revoir leurs pratiques en matière de protection de leurs informations. Ces événements entraînent d’importantes répercussions : perte de productivité, baisse de revenus, atteinte à la réputation... Pourquoi ne pas prendre plus tôt conscience de l’urgence d’agir?

Adopter une approche multidisciplinaire permet d’agir de manière globale autant pour la gestion proactive des cyber-risques que pour la gestion constructive et transformatrice de la situation de crise en cas d’incident majeur de sécurité.

Mais qu’est-ce qu’un cyber-risque? C’est un danger susceptible de compromettre la confidentialité, l’intégrité ou la disponibilité des systèmes et des données d’une entreprise, affectant ainsi sa réputation, ses activités ou ses finances. Ce concept s’est élargi au fil du temps, englobant désormais la sécurité de l’information dans son ensemble, au-delà des seuls réseaux informatiques. Il comprend des scénarios tels que le vol de données, les virus informatiques, les interruptions de service ou encore les utilisations inappropriées, par exemple, lorsqu’une personne oublie sur son bureau des documents imprimés renfermant des informations confidentielles qui se retrouvent alors à la vue de tous.

Face à la diversité de ces risques, il est crucial de mettre en place une démarche structurée. Les mesures de mitigation ne peuvent plus se limiter aux technologies; elles doivent s’appuyer sur une approche globale qui exige une collaboration multidisciplinaire provenant aussi bien des services des technologies de l’information que de la comptabilité, des ressources humaines, des finances, du juridique, de la sécurité physique, etc. Cette démarche permet d’élargir le champ d’action et, ultimement, d’avoir des répercussions plus importantes sur la gestion des cyber-risques.

Prenons l’exemple des attaques par rançongiciel qui se sont multipliées au cours des dernières années. Elles sont considérées comme extrêmement perturbatrices, affectant gravement le fonctionnement des organisations touchées. Parlez-en au collège Montmorency, à Laval, à la Ville de Westmount, à la chaîne d’épiceries Sobeys, propriétaire de l’enseigne IGA, ou à l’Ordre des infirmières et infirmiers du Québec (OIIQ)!

Dans le cas spécifique de Sobeys, les systèmes de l’entreprise ont été inopérants pendant plusieurs jours, ce qui a affecté les ventes et l’approvisionnement. Les répercussions sur le plan financier se sont chiffrées à environ 25 millions de dollars, après déduction des assurances. Par ailleurs, il serait faux de croire que payer la rançon permet de se remettre plus rapidement et à moindres coûts d’un tel événement : environ le tiers des organisations qui versent une rançon ne récupèrent jamais leurs données. Au Canada, le coût d’une rançon moyenne s’élève à 1,13 million de dollars et ce montant est en forte hausse – en augmentation de 150% depuis 2021.

Ce type de cyberattaque illustre l’importance de la multidisciplinarité dans la gestion des cyber-risques. En plus des mesures techniques comme la sauvegarde des données, la protection contre les logiciels malveillants et la gestion des accès, il est nécessaire de développer des stratégies non techniques telles que la préparation d’un plan d’intervention en cas d’incident et d’un plan de communication, en plus de moyens pour sensibiliser le personnel à l’importance de protéger les données. C’est l’ensemble de ces mesures, issues d’une collaboration multidisciplinaire, qui permet une protection efficace, tant en termes d’envergure que de profondeur.

L’attaque par rançongiciel chez Sobeys a également mis en lumière la vulnérabilité de la chaîne agroalimentaire, de la production à la consommation, en passant par le traitement et la distribution. De janvier à août 2024, 13 incidents de rançongiciel ont été recensés dans le secteur agricole canadien, et leur nombre réel est probablement plus élevé, les entreprises n’ayant aucune obligation de signalement. Lorsqu’un maillon de la chaîne est victime d’un cyberincident perturbateur, les effets sont dévastateurs, et ce, pour tous les acteurs de la chaîne, car ceux-ci sont interdépendants. On parle alors d’un cyber-risque lié à une forme de menace des partenaires, qu’on associe à des secteurs particuliers comme la finance, l’énergie et la santé.

Les menaces à l’endroit des partenaires connaissent une évolution inquiétante et se manifestent généralement à travers des attaques qui ciblent les fournisseurs de logiciels tiers pour compromettre leurs produits-logiciels et avoir un effet de ricochet sur les utilisateurs.

Dans ce contexte d’imprévisibilité et d’évolution des cyber-risques, il devient essentiel de développer des stratégies de collaboration qui facilitent les échanges entre les divers champs d’expertise et mènent à une gestion rigoureuse de ces menaces, afin d’améliorer la performance des systèmes d’information et leur contribution à la mission de l’entreprise.

Multidisciplinarité et gestion des incidents  

En cybersécurité, le risque zéro n’existe pas. La gestion des cyber-risques vise à réduire les menaces à un seuil qui est acceptable pour l’entreprise. Toutefois, lorsqu’un cyber-incident perturbateur survient, la crise qui en résulte à l’échelle de l’organisation peut rapidement dépasser les limites de l’unité qui est attaquée, voire celles de l’entreprise.

Lorsqu’elle ne mobilise que ses experts TI pour rebâtir les systèmes affectés, une entreprise victime d’un incident risque de ne pas s’en sortir indemne. La société Equifax en est un bel exemple : ses efforts trop lents et insuffisants pour gérer le vol de données subi en 2017 ont exacerbé la frustration et l’inquiétude des clients. Or, une gestion de crise efficace nécessite un éventail de compétences techniques et managériales pour corriger les problèmes, mais aussi pour enquêter, communiquer, s’entraider et déléguer.

De nouveaux rôles multidisciplinaires émergent donc au sein des équipes d’intervention1, comme l’agent de changement (pour accompagner les parties prenantes dans l’adoption de nouvelles pratiques), l’agent de liaison (pour faire le lien entre les équipes d’intervention et les gestionnaires) et l’agent d’innovation (pour rechercher de nouvelles façons de faire qui contribuent à une reprise rapide des activités).

À l’heure actuelle, une entreprise ne doit pas se demander «si» elle sera attaquée, mais plutôt «quand». Dans le cadre d’une approche multidisciplinaire axée sur la résilience, chaque employé doit prendre ses responsabilités en matière de gestion des cyber-risques et des incidents, à commencer, bien évidemment, par les membres des conseils d’administration

IMC2 : un nouveau joueur clé dans l’écosystème de la cybersécurité

L’Institut multidisciplinaire en cybersécurité et cyberrésilience (IMC2) a été créé en 2023 par Polytechnique Montréal, en collaboration avec l’Université de Montréal et HEC Montréal. Il rassemble une quarantaine de professeurs et leurs équipes de recherche, issus d’une quinzaine de départements universitaires différents. Cette mise en commun d’expertises de pointe confère à cette organisation une grande capacité d’impact et une force de frappe de premier plan au Canada au chapitre de l’enseignement, de la recherche, des politiques publiques, du transfert et de l’innovation. Dans le cadre de l’IMC2, HEC Montréal souhaite agir en amont, en orientant ses efforts sur la prévention des risques inhérents à la cybersécurité. «Nous souhaitons jouer un rôle de prévention en réduisant la vulnérabilité des entreprises devant ce type d’incident. Nous voulons ainsi aider les organisations à surmonter les cyberattaques, à en tirer des enseignements et à en ressortir plus fortes», affirmait Caroline Aubé, professeure titulaire et directrice de la recherche et du transfert à HEC Montréal lors de l’inauguration de l’IMC2, en octobre 2023.

 Article publié dans l’édition Hiver 2025 de Gestion


Note

1 - Batog, D., «L’équipe interdisciplinaire d’intervention en cas d’incident en cybersécurité : facteurs de succès, rôles et responsabilités», mémoire de maîtrise en gestion de HEC Montréal, sous la direction de la professeure Alina Dulipovici, 191 pages.