Se préparer aux cyberincidents : une priorité

Les cyberincidents sont de plus en plus courants et perturbateurs. Dans son Étude sur les tendances en matière de cybersécurité au Canada – 2022, Blakes a révélé que les attaques par rançongiciel demeurent très fréquentes; elles ont représenté plus de la moitié des incidents observés en 2021. En outre, les montants de rançon continuent d’augmenter tandis que les montants de plus de 100 000 $ US sont de plus en plus courants, de nombreux paiements dépassant même 1 M$ US. Dans près de la moitié des cyberincidents que nous avons examinés, le cyberattaquant a été en mesure de retirer (ou d’« exfiltrer ») des données.
 
Les cyberincidents peuvent causer de nombreux types de pertes, y compris des dommages à la réputation, des pertes financières ainsi que des risques réglementaires ou de litiges. Les organisations soucieuses d’éviter les coûts associés à ces types de pertes prendront des mesures proactives en vue de se préparer aux éventuels cyberincidents. Elles s’interrogeront sérieusement au sujet de leurs pratiques et politiques en matière de cybersécurité, établiront leur profil de risques et élaboreront un plan afin de s’attaquer à ces risques.
 
En outre, les législateurs et les organismes de réglementation s’intéressent de plus en plus à l’état de préparation en cas de cyberincidents. Tout récemment, la Chambre des communes a déposé le projet de loi C-26, lequel prévoit l’imposition de diverses obligations en matière de cybersécurité aux organisations désignées exerçant des activités dans quatre secteurs clés sous réglementation fédérale : les télécommunications, les finances, l’énergie et le transport. Si le projet de loi est adopté, les « exploitants désignés » dans cette loi seront notamment tenus d’établir et de mettre en œuvre un programme de cybersécurité, et d’effectuer régulièrement un examen de ce dernier; ce programme devant comporter par ailleurs des mesures ayant pour but de cerner et de gérer les risques organisationnels liés à la cybersécurité. Ils devront également prendre des mesures afin d’atténuer les risques liés à la cybersécurité qui sont associés à leur chaîne d’approvisionnement ou aux produits de tiers. Pour obtenir une analyse détaillée du projet de loi C-26, consultez notre Bulletin Blakes intitulé La Chambre des communes dépose le projet de loi C-26 pour encadrer la cybersécurité dans certains secteurs.
 
Voici certaines mesures clés pouvant aider les organisations à se préparer au risque de plus en plus élevé de cyberincident. Cette liste non exhaustive vise à fournir un cadre utile aux organisations qui souhaitent se préparer à la possibilité d’un cyberincident.

1. Formation d’une équipe d’intervention polyvalente

Il arrive souvent que les organisations perçoivent la cybersécurité comme étant un « problème technologique » qui relève exclusivement de l’équipe des technologies de l’information (l’« équipe des TI »). En réalité, en cas de cyberincident, c’est une équipe polyvalente qui sera appelée à intervenir. Bien que l’équipe des TI ait un rôle déterminant à jouer dans le processus d’intervention, ses membres devront aussi travailler en étroite collaboration avec d’autres équipes de l’organisation. Selon la nature et la taille de cette dernière, il pourrait s’agir de membres du service des ressources humaines, des services juridiques, de l’équipe de direction, du service des communications et de l’équipe de la continuité des affaires, ainsi que du responsable de la protection de la vie privée.  
 
Chacun des membres de l’équipe d’intervention doit avoir un mandat clair pour bien comprendre son rôle et disposer des ressources appropriées. Le fait de désigner la personne avec qui communiquer au sein de chacune des équipes en cas d’atteinte à la sécurité des données permettra de simplifier l’intervention initiale. Bien souvent, une équipe de petite taille sera plus efficace qu’une équipe comptant de nombreux membres.
 
Il est également recommandé de préciser quels fournisseurs viendront compléter l’équipe interne pour offrir un soutien additionnel à celle-ci. Ces fournisseurs devraient au moins comprendre un spécialiste en cas d’atteinte à la protection des données et une entreprise spécialisée en cybercriminalistique.

2. Élaboration d’un plan d’intervention

Le plan d’intervention en cas de cyberincident procure aux organisations un cadre de référence pour évaluer les cyberattaques et y répondre. S’il est vrai que, bien souvent, en pratique, le plan ne pourra pas être suivi à la lettre en raison des faits et des circonstances propres à chaque incident, il n’en reste pas moins que les organisations qui auront fait l’effort d’élaborer un tel plan seront mieux outillées pour intervenir. Il en est ainsi, car l’élaboration d’un plan permet aux intervenants clés d’avoir une compréhension globale des types de cyberincidents et des différents stades de ceux-ci; des vulnérabilités et des profils de risques de leur organisation; des obligations légales et contractuelles; et des principaux points de décision.
 
Les exercices sur table sont utiles, car ils permettent aux membres de l’équipe de mettre le plan en pratique. Les membres peuvent ainsi mieux connaître leur rôle et les interrelations entre les différents membres de l’équipe ainsi que le plan lui-même.

3. Établissement d’une structure de gouvernance en matière de protection des données

Afin de se protéger efficacement contre les cyberincidents et d’intervenir adéquatement le cas échéant, les organisations doivent d’abord avoir une idée de l’ensemble de leurs actifs en infrastructures de TI et de données, y compris en ce qui a trait à leurs actifs les plus précieux. Grâce au mappage des données, les organisations peuvent être au fait des types de données qu’elles détiennent ainsi que des endroits où ces données sont stockées. Ces renseignements peuvent être utilisés pour cerner et évaluer les risques ainsi que pour établir les politiques et procédures de gouvernance de données appropriées aux fins d’améliorer la sécurité et la conformité des données.
 
Non seulement une solide structure de gouvernance en matière de protection des données permet-elle aux organisations d’avoir une bonne représentation des données qu’elles détiennent, mais elle leur permet également d’évaluer les risques, les vulnérabilités et les possibilités se rapportant aux données et aux systèmes de TI ainsi que les politiques et procédures connexes qui régissent la conservation et le traitement de ces données. Les organisations devraient savoir quelles données elles conservent, où et pourquoi elles conservent ces données et qui a accès à celles-ci. La capacité de répondre à ces questions clés est essentielle pour être bien préparé en cas de cyberincident, mais également pour remplir d’autres obligations relatives à la protection des renseignements personnels.

4. Réalisation régulière de vérifications et de tests de sécurité

Les organisations devraient non seulement mettre en place des contrôles de sécurité visant à prévenir et à déceler les cyberincidents, et à intervenir à leur égard, le cas échéant, mais elles devraient régulièrement tester l’efficacité de ces contrôles. Bien que les contrôles appropriés varient d’une organisation à l’autre, en voici quelques exemples :
 

• Installation d’outils de détection automatisée des données de sortie aux points terminaux et d’outils d’intervention, et surveillance continue de ces outils

• Réalisation d’une évaluation des risques à l’interne (au moins une fois par année) afin d’évaluer l’efficacité des contrôles de sécurité des renseignements administratifs et techniques de l’organisation

• Recours périodique à des experts en cybersécurité externes chargés de vérifier l’état de sécurité de l’information de l’organisation, idéalement par rapport aux normes de l’industrie ou à des normes reconnues

• Réalisation régulière de tests d’intrusion et de vulnérabilité

 
Dans la mesure où l’équipe des TI dirige les vérifications et tests de cybersécurité de l’organisation, elle devrait s’assurer d’en partager les résultats avec les équipes des services juridiques et de gestion des risques en vue d’atténuer le plus possible les risques découverts.

5. Gestion de la chaîne d’approvisionnement

Les organisations devraient être attentives aux risques liés à la cybersécurité tout au long de leur chaîne d’approvisionnement, notamment en évaluant les capacités et la conformité des fournisseurs en matière de sécurité de l’information (p. ex. au moyen de questionnaires permettant d’évaluer les fournisseurs et de l’examen d’évaluations indépendantes) et, dans la mesure du possible, envisager d’inclure dans les contrats des dispositions faisant état des risques découverts au cours du processus de vérification diligente des fournisseurs concernés. Bien que les considérations précises varient selon chaque convention, de telles dispositions portent généralement sur les cyberincidents et la responsabilité connexe, l’imposition de normes applicables à la sécurité et au traitement des données qui sont semblables ou supérieures aux pratiques de l’organisation en matière de cybersécurité, le respect des lois applicables en matière de protection des renseignements personnels et de cybersécurité, les obligations relatives aux interventions en cas d’incident (notamment les exigences relatives aux avis), ainsi que la capacité de vérifier le respect par le fournisseur de ses engagements en matière de cybersécurité. Les organisations doivent également demeurer conscientes des indemnités et des limitations de responsabilité relatives aux risques liés à la cybersécurité.

6. Formation du personnel

Selon l’édition 2022 de l’Étude sur les tendances en matière de cybersécurité de Blakes, la cause de plus du tiers des incidents observés était l’hameçonnage. L’erreur humaine constitue souvent la plus grande vulnérabilité d’une organisation. Il est donc important d’offrir aux employés, aux utilisateurs privilégiés, aux administrateurs et aux dirigeants une formation adéquate sur la cybersécurité. Selon les privilèges d’accès fournis, l’organisation pourrait imposer différents niveaux de formation. La formation pourrait notamment porter sur les façons de repérer et d’éviter l’hameçonnage et d’autres cyberattaques par fraude psychologique, les façons de repérer le comportement d’un maliciel, les individus ou services auxquels les cybermenaces doivent être signalées, ainsi que la conformité aux politiques et pratiques exemplaires en matière de TI de la société.

7. Souscription d’une assurance contre les cyberrisques adéquate

Bien que la souscription d’une assurance contre les cyberrisques ne soit pas une solution parfaite, elle peut néanmoins aider à atténuer les pertes financières qui résultent d’un cyberincident et à réduire certains des coûts associés aux interventions nécessaires par suite d’un tel incident.
 
Les organisations devraient évaluer si la souscription de ce type d’assurance constitue un choix judicieux pour leur entreprise. Dans l’affirmative, elles feraient bien de s’assurer d’opter pour une couverture qui convient à la nature, à la taille et au profil de risques de leur entreprise. Les polices ne couvrent pas toutes les mêmes coûts et le montant de la couverture varie d’une police à l’autre.

8. Engagement des administrateurs et des dirigeants

Lorsqu’une organisation entreprend de numériser ses activités, les cyberrisques deviennent des risques qui s’étendent à la grandeur de l’entreprise. Les organisations devraient accorder la plus haute importance à la gestion de ces risques. Les membres du conseil d’administration devraient connaître les cyberrisques et être régulièrement tenus au courant à leur sujet. En outre, l’engagement du conseil et de la haute direction est crucial pour s’assurer que les équipes de cybersécurité disposent des ressources adéquates et des outils dont elles ont besoin, ainsi que pour favoriser une culture efficace en matière de cybersécurité.
 
Notre groupe est prêt à aider les organisations à déterminer leur profil de risques et à concevoir des solutions payantes aux fins d’atténuer ces risques.

Pour en savoir davantage, communiquez avec :

John Lenz                            514-982-6308 
Natalie LaMarche              416-863-2734
 
ou un autre membre de notre groupe Cybersécurité.