Se prémunir adéquatement contre les cybermenaces est une préoccupation majeure des dirigeants. Mais savez-vous qui sont les cybercriminels qui peuvent s’attaquer à votre entreprise?

Vol de données confidentielles, destruction de systèmes informatiques, atteinte à la réputation de l’organisation, perte de confiance des clients : les conséquences d’une attaque informatique peuvent être catastrophiques. En moyenne, le coût de chaque violation de données au Canada s’élève désormais à 6,75 millions de dollars, selon une étude réalisée en 2021 par IBM Security.

Derrière ces attaques se cachent deux profils d’individus bien distincts, souligne Gilles Michel Ouimet, psychologue et chargé de cours à Polytechnique Montréal. «Il y a tout d’abord ceux qui veulent détruire et se faire justice. Ce sont des personnes qui vivent dans la méfiance et la suspicion. Si on rattache ce profil de personnalité à des troubles mentaux, on peut l’associer à un trouble de la personnalité paranoïaque, explique-t-il. Cette personne tentera de détruire son ennemi, même si celui-ci n’est que dans sa tête et n’existe pas.» Ce sont eux qui essaieront d’endommager les systèmes informatiques et de les paralyser.

L’autre grand profil, selon Gilles Michel Ouimet, a trait à ceux qui cherchent non pas à détruire, mais à s’enrichir. «Ce sont des criminels de droit commun qui veulent juste faire de l’argent. Toujours au chapitre des troubles mentaux, on parle d’un trouble de la personnalité antisociale», ajoute-t-il.

Dans un cas comme dans l’autre, les cybercriminels ne sont pas particulièrement différents des autres criminels. «Ce qui varie, ce sont les moyens utilisés. Cacher sa trace en passant par des serveurs étrangers pour tenter de pirater une entreprise, c’est la même chose que mettre un masque pour dissimuler son identité lors du braquage d’une banque», précise le psychologue.

L'ingénierie sociale au coeur du problème

L’ingénierie sociale – par exemple, lorsqu’un criminel tente de se faire passer par courriel pour le patron d’un salarié – est désormais au cœur des cas d’attaques informatiques, note Fyscillia Ream, coordonnatrice scientifique de la Chaire de recherche en prévention de la cybercriminalité à l’Université de Montréal. «Les criminels vont essayer de trouver l’employé qui est le maillon faible de l’organisation», résume la chercheuse.

Et les cibles sont nombreuses. Lors d’une étude réalisée à l’automne 2022 par la firme Terranova Security, environ le tiers des employés québécois se sont dits «peu ou pas préoccupés par le vol de données au travail», et 20% estimaient qu’ils ne pouvaient pas du tout être ciblés par des cybercriminels.

Malheureusement, même si le terme «personnalité antisociale» laisse à penser que ces individus pourraient avoir de la difficulté à communiquer, ce n’est pas le cas. «Quelqu’un qui a ce profil de personnalité est peu doué pour servir les intérêts d’une autre personne, mais il l’est afin de servir ses propres intérêts. Ça peut être un excellent communicateur et un très grand manipulateur», explique Gilles Michel Ouimet. Ces caractéristiques rendent donc ces individus particulièrement dangereux lors d’attaques utilisant l’ingénierie sociale.

«Les employés sont souvent mal préparés à ça, se désole le psychologue. Il suffit que le criminel communique au bon moment et dise que c’est urgent pour mettre la cible dans une situation où elle doit faire un choix rapide entre être blâmée pour ne pas être intervenue rapidement ou être blâmée pour avoir dévoilé des informations.»

Gilles Michel Ouimet préconise que les entreprises réalisent des exercices pour sensibiliser leur personnel à ces risques. «Des formations, ce n’est pas suffisant. Les gens écoutent à moitié et ont tout oublié au bout d’une demi-heure. Il faut aussi effectuer des exercices à leur insu et leur expliquer ensuite où ils ont failli», lance-t-il.

Ces exercices devraient en outre viser tous les échelons de l’organisation. «Les cadres intermédiaires sont aussi exposés que les employés, et ils sont davantage sous pression», rappelle le psychologue.

Le conseil vaut d’ailleurs pour tous les types d’entreprises.  La question n’est plus de savoir si on sera victime d’une attaque, mais plutôt quand on le sera, estime Fyscillia Ream. Et les entreprises québécoises sont assez vulnérables. Il y a encore beaucoup d’efforts à faire.»

Article publié dans l'édition Été 2023 de Gestion