Skip to main content

Cinq étapes pour faire face aux menaces grandissantes des cyberattaques

Les gestionnaires du risque éprouvent déjà beaucoup de difficultés à gérer les risques organisationnels dans le dur marché de l’assurance que nous connaissons aujourd’hui, et la menace accrue des cyberattaques rend leur travail d’autant plus exigeant et essentiel. Le cyberrisque n’est plus seulement un problème technologique, mais un enjeu lié au risque d’entreprise. C’est pourquoi les cadres supérieurs, le conseil d’administration et les investisseurs doivent le surveiller de plus près.

Les gestionnaires du risque et leurs organisations doivent comprendre les cyberrisques auxquels ils sont exposés et la menace croissante que ces derniers représentent pour la continuité des affaires et les données sur les clients. De plus, ils doivent connaître l’incidence de la cybersécurité sur le coût total du risque.

La croissance, la compétitivité, les activités et l’existence des entreprises continuent de subir des perturbations, qui deviendront considérablement plus fréquentes au cours des prochaines années. Personne n’est à l’abri, pas un secteur ni une entreprise :

  • Les attaques par rançongiciels apportent de nouvelles préoccupations (en anglais), et pour cause : le nombre d’attaques a augmenté de 716 % de 2019 à 2020, et on estime que leurs dommages s’élèveront à 20 milliards de dollars en 2021[1].
  • L’attaque généralisée ayant visé SolarWinds en 2020 (en anglais), attribuée à des auteurs de menaces parrainés par un État-nation étranger, ciblait les chaînes d’approvisionnement et a touché des organisations publiques et privées partout dans le monde[2].
  • De plus en plus, les attaquants interceptent des virements de fonds, commettent des vols de stratégies commerciales confidentielles et de propriété intellectuelle et exécutent des systèmes d’extorsion[3].
  • Le FBI rapporte que les cyberattaques sont quatre fois plus nombreuses qu’elles ne l’étaient avant la pandémie de COVID-19[4].

Par conséquent, le cyberrisque occupe une place centrale dans l’ordre du jour des cadres supérieurs et du conseil d’administration, alors que les auteurs de menaces continuent d’élaborer des modèles d’affaires sophistiqués pour exploiter les vulnérabilités techniques et humaines à des fins lucratives. Un grand nombre d’organisations ont beaucoup de travail à faire :

  • Le facteur humain associé aux cyberattaques demeure une préoccupation, car les actions des employés et des utilisateurs comptent pour 30 % des atteintes à la protection des données[5].
  • Pour ce qui est du vol de propriété intellectuelle, il s’agirait d’un problème de 1 billion de dollars. Néanmoins, seulement un tiers des entreprises protègent leurs secrets commerciaux[6].
  • Les cadres supérieurs demeurent des cibles de choix pour les cybercriminels, étant 12 fois plus susceptibles d’être ciblés et neuf fois plus susceptibles de devenir des victimes[7].
  • Il est essentiel que toute activité de fusion et d’acquisition fasse l’objet d’une cybervigilance rigoureuse[8].

 

Cinq principes fondamentaux que les gestionnaires du risque doivent mettre en œuvre

Les gestionnaires du risque doivent se demander si leur organisation est en mesure de se défendre contre les auteurs de menaces de plus en plus sophistiquées, compte tenu du contexte de télétravail dans lequel nous a plongés la pandémie de COVID-19. Notre cyberenvironnement est en constante évolution. De ce fait, il est important que les gestionnaires du risque travaillent en étroite collaboration avec les cadres supérieurs et les gestionnaires responsables des technologies et de la sécurité de l’information afin d’élaborer de meilleures solutions et de mettre en œuvre les cinq principes fondamentaux de la cybersécurité, comme indiqué ci-dessous.

  1. Mettre sur pied un comité multidisciplinaire pour la gestion des cyberrisques : Tous les services d’une entreprise – services juridiques, conformité, ressources humaines, finances, communications, exploitation, technologies de l’information et autres – peuvent ressentir l’incidence des cyberrisques. La création d’un comité pour la gestion des cyberrisques représente un changement organisationnel peu coûteux qui permet de réunir l’expertise requise pour évaluer l’incidence des cyberrisques sur les différentes fonctions et la façon dont les changements organisationnels (transaction de fusion et d’acquisition, collaboration avec un nouveau fournisseur ou mise en œuvre de nouvelles technologies) influeront sur la sécurité de l’entreprise. L’avocat général, en raison de sa position apolitique au sein de l’organisation et de ses connaissances de l’environnement réglementaire et des responsabilités en aval, devrait présider ce comité multidisciplinaire et présenter ses conclusions au chef de la direction et au conseil d’administration.
  2. Effectuer une évaluation de la sécurité : La meilleure façon de comprendre l’état actuel de la sécurité d’une entreprise est de mener une évaluation de sécurité indépendante. Les petites organisations dotées de systèmes moins complexes peuvent envisager des solutions de logiciel-service (SaaS), qui sont souvent moins coûteuses et permettent aux responsables des technologies et de la sécurité de l’information de saisir les données pour évaluer instantanément leur niveau de sécurité. Les résultats de l’évaluation doivent ensuite être communiqués au comité multidisciplinaire, qui déterminera le budget alloué aux mesures requises pour combler les lacunes, établir l’ordre de priorité des données et des actifs essentiels à protéger et définir les effets à assurer. Il peut être utile d’investir dans la mise à l’essai des plans (en anglais) pour mettre en lumière les faiblesses de l’organisation et déterminer les principales mesures correctives à prendre avant qu’une attaque réelle ne survienne.
  3. Instaurer une culture de sécurité : Armez vos employés contre la cybercriminalité en investissant dans les programmes de formation et de sensibilisation pertinents, particulièrement dans les programmes mobilisateurs qui visent à modifier le comportement humain. Tout le monde doit participer aux programmes, y compris le conseil d’administration et les cadres supérieurs. Il peut s’agir, notamment, d’un enseignement proactif sur la façon dont nous pouvons repérer les courriels d’hameçonnage suspects et adopter des pratiques de gestion des mots de passe plus efficaces. Ces petites stratégies de sécurité peuvent procurer des effets positifs immédiats.
  4. Planifier les interventions en cas d’incident : La planification des interventions en cas d’incident est axée sur le renforcement de la résilience de l’organisation face aux attaques. Alors que de nombreuses entreprises disposent maintenant d’un plan d’intervention en cas d’incident, il est important qu’elles le mettent à l’essai auprès de toutes les parties concernées et le mettent à jour régulièrement. La planification en cas d’incident, surtout en ce qui a trait aux rançongiciels, comprend également la sauvegarde périodique des données et des systèmes essentiels afin de réduire les temps d’arrêt et la mise à l’essai du système de défense, le tout en simulant des attaques.
  5. Souscrire une police d’assurance cyberrisques sur mesure : Même après avoir adopté certaines mesures proactives comme celles décrites ci-dessus, en raison de l’évolution des menaces, aucune entreprise n’est complètement protégée. Il est donc important de s’assurer que toute police d’assurance cyberrisques tient compte des principaux risques auxquels l’entreprise est exposée, puisqu’il n’existe aucune solution universelle en matière d’assurance. D’ailleurs, une police d’assurance cyberrisques devrait toujours être traitée dans le cadre d’une stratégie de cybersécurité plus vaste qui repose essentiellement sur une approche proactive de l’atténuation des risques.

Ce document a été préparé à des fins d’information seulement et ne doit pas être considéré pour toute autre fin. Vous devez consulter vos propres conseillers juridiques et responsables des technologies et de la sécurité de l’information avant de mettre en œuvre toute recommandation ou orientation fournie dans les présentes.

[1] The Ransomware Epidemic (en anglais)

[2] Urgent Security Advisory – SolarWinds® Orion® Breach (en anglais)

[3] 2020 Cyber Security Risk Report (en anglais)

[4] FBI sees spike in cyber crime reports during coronavirus pandemic (en anglais)

[5] 2020 Data Breach Investigations Report (en anglais)

[6], 7, 8 2020 Cyber Security Risk Report (en anglais)