Depuis plusieurs années, la cybercriminalité ne cesse d’augmenter. Avec l’utilisation des technologies qui ne cessent d’augmenter, les cyberattaques deviennent de plus en plus fréquentes et chaque entreprise détient dorénavant davantage de données sensibles les mettant à risque. Et elle ne touche pas seulement les grandes entreprises. Au contraire, les cybercriminels croient que les ordinateurs des petites entreprises sont davantage vulnérables et donc ceux-ci visent celles-ci. Souvent les initiateurs des cyberattaques cherchent une rançon.
Selon l’Office québécois de la langue française, la cyberattaque est définie comme étant un « Ensemble coordonné d’actions malveillantes conduites par l’intermédiaire du cyberespace, qui visent à endommager, à forcer ou à détourner un réseau ou un système informatique afin de commettre un acte préjudiciable ».1Une cyberattaque peut donc viser le vol d’information, le vol d’identité d’entreprise, les atteintes à la vie privée, le rançonnage, l’hameçonnage, interrompant ainsi les activités de l’entreprise, corrompant ses systèmes informatiques et d’autres conséquences graves pouvant découler d’une intrusion dans son réseau informatique. Les cyberincidents peuvent avoir d’importantes conséquences pour l’entreprise qui en est victime que ce soit au niveau opérationnel, financier et avoir également des impacts au niveau de la réputation de l’entreprise.
Selon le Centre canadien pour la cybersécurité2, lors des six premiers mois de l’année 2021, les cyberattaques par rançongiciel ont augmenté de 151 % mondialement, contrairement à la même période de l’année en 2020. Au Canada, en 2021, le coût moyen d’une violation de données montait à 6,35 millions de dollars canadiens.3
S’il est vrai qu’il est impossible pour une entreprise d’être complètement invulnérable aux attaques, et que la question à se poser n’est pas « Allons-nous être victimes d’une attaque un jour ? », mais plutôt « Lorsque nous allons être la victime d’une attaque, allons-nous être prêts ? », une bonne sécurité informatique a pour but de rendre la tâche suffisamment difficile pour l’attaquant de sorte qu’il lâche prise et passe à la suivante. Pour ce faire, vous pouvez vous assurer d’implanter et de respecter, notamment les mesures de sécurité suivantes :
1) Mots de passe complexes | Utilisez des mots de passe complexes du type « phrase secrète » différents pour chacun de vos accès, tel que « Ja1meBcpM0nChienToto! ». Stockez ces mots de passe dans un gestionnaire de mots de passe reconnu et utilisez un mot de passe très fort comme mot de passe principal. |
2) Solution EDR | Assurez-vous que tous les ordinateurs et serveurs de votre entreprise sont équipés d’une solution de sécurité des terminaux qui inclut la surveillance en temps réel et la collecte des données de sécurité avec un mécanisme de réponse automatisée aux menaces. |
3) Formation pour les employés | Offrez régulièrement de la formation à vos employés sur la cybersécurité afin qu’ils puissent mieux comprendre les risques et identifier les menaces. Soumettez-les également à des tests d’hameçonnage planifiés. |
4) Plan de recouvrement en cas de désastre | Ayez un plan détaillé de comment et en combien de temps vous allez rétablir votre environnement TI en cas de désastre. Effectuez des simulations de votre plan pour en assurer la faisabilité. |
5) Sauvegardes complètes et chiffrées | Effectuez des sauvegardes quotidiennes de vos données dans un emplacement externe chiffré, isolé du reste de votre environnement. Effectuez des tests de restauration pour assurer le succès des sauvegardes. |
6) Effectuer des tests d’intrusions | Effectuez des tests d’intrusions sur votre environnement TI afin d’en détecter et d’en corriger les faiblesses, avec l’aide d’une firme spécialisée en sécurité, au besoin. |
7) MFA | Implantez l’authentification multifacteurs pour tous vos différents accès, lorsque possible. |
8) Augmentez la sécurité de vos courriels | Prenez l’habitude de chiffrer vos courriels confidentiels, et assurez-vous d’avoir les méthodes d’authentification SPF, DKIM et DMARC dans vos entrées DNS. |
9) Politique de droits d’accès | Ayez une politique claire sur comment octroyer et gérer les accès de vos différents employés. |
10) Ressources dédiées à la sécurité informatique | Ayez une ressource dans votre entreprise, autre que votre ressource TI, qui est dédiée à la cybersécurité. |
11) ZeroTrust | Pensez à implanter le modèle ZeroTrust, qui implique que chaque ressource ait uniquement accès à ce dont elle a besoin. |
12) Mise à jour des systèmes d’exploitation | Maintenez vos systèmes d’exploitation clients et serveurs à jour avec les derniers correctifs de sécurité. |
13) Connexions sécurisées pour l’accès à distance | Veillez à ce que les ressources internes de votre entreprise soient uniquement accessibles via un canal sécurisé, tel qu’un VPN. |
14) Limiter les privilèges et droits d’accès des employés | Octroyez aux employés uniquement les permissions nécessaires pour effectuer leur travail. |
15) Verrouiller l’écran automatiquement | Implantez un verrouillage automatique des postes de travail lorsque personne n’est en train d’y travailler. |
16) Disposer des équipements désuets adéquatement | Assurez-vous qu’aucune donnée ne se retrouve sur un équipement mis au recyclage ou entreposé dans un endroit non sécuritaire. |
17) Politique d’utilisation du matériel TI en place | Ayez une politique claire sur l’utilisation des outils informatiques de votre entreprise. |
18) Pare-feu pour ressources internes | Assurez-vous que vos ressources internes sont protégées par un pare-feu performant. |
19) Segmentation des réseaux | Évitez de mettre toutes vos ressources sur le même réseau, pensez à segmenter, par exemple, le réseau Wifi qu’utilisent vos invités, de votre réseau interne. |
20) Sécurité des ordinateurs et périphériques | Assurez-vous que si vos ordinateurs ou cellulaires sont perdus ou volés, que personne ne puisse accéder à vos données, en implantant par exemple le chiffrement des disques durs. |
21) Périphériques externes | Contrôlez l’accès aux périphériques externes non reconnus qui pourraient être branchés dans l’ordinateur d’un employé. |
22) Assurance cyberrisque | Munissez-vous d’une assurance cyberrisque pour vous protéger dans l’éventualité d’une cyberattaque. |
Assurance cyberrisque
Le budget, le temps et l’effort à mettre sur la cybersécurité doivent être proportionnels aux risques avec lesquels vous êtes prêts à vivre.
Contactez votre service ou firme TI pour obtenir un état de votre situation actuelle et un plan de redressement au besoin. Certains des points mentionnés précédemment demandent peu d’efforts et peuvent grandement améliorer votre position face aux cyberrisques.
Malgré toutes les mesures de sécurité mises en place, avec l’évolution des technologies et la créativité des cybercriminels, chaque organisation peut trouver un intérêt à la souscription d’une assurance cyberrisque.
En raison de l’augmentation de la cybercriminalité et donc des réclamations à la hausse et très coûteuses, les assureurs ont dû réduire leur capacité, ce qui a eu pour effet d’augmenter les primes d’assurance dans la dernière année.
De plus, la plupart des assureurs ont renforcé leurs exigences faisant en sorte que plusieurs assurés ne sont pas assurables en raison des mesures de sécurité jugées insuffisantes par les assureurs. C’est aussi pour ceci que les assureurs recherchent des risques de qualité, vu l’importance d’avoir une hygiène de cybersécurité excellente.
Voyons ce en quoi consiste l’assurance cyber
Qu’est-ce que couvre l’assurance cyber ?
Selon Nathalie Prince, vice-présidente et directrice clientèle chez BFL Canada, l’assurance cyber pourra couvrir plusieurs risques, selon l’assureur et l’assuré, mais généralement elle offrira des couvertures directes qui incluent :
- Coûts de remplacement d’actifs digitaux
Remboursement des coûts pour réparer, restaurer, reconstruire les données qui ont été partiellement ou complètement corrompues. - Perte de revenus
Remboursement des profits perdus ou des coûts directement reliés à une interruption de service. - Extorsion
Remboursement de coûts, incluant les coûts d’une investigation, les coûts de tiers partis, ou les coûts résultant des heures supplémentaires ou employés supplémentaires. - Fraude due à l’ingénierie sociale
Remboursement de fonds volés à la suite d’un événement où un tiers parti se fait passer pour un employé de l’organisation, par exemple, et donne des instructions de transfert d’argent frauduleuses. - Coûts liés à une fuite de données
Remboursement des coûts pour notifier les gens touchés, surveillance du crédit (ex. : Equifax), relations publiques, services connexes. - Dommages à la réputation
Remboursement de revenus perdus causés par une cyberattaque ayant un impact sur la réputation de l’entreprise.
De plus, Mme Prince indique que l’assurance cyber offrira également une couverture en matière de responsabilité civile qui inclut :
- Responsabilité de sécurité et protection de vie privée
Remboursements de coûts et de dépenses légales. - Responsabilité des médias
Remboursement de coûts résultant d’une réclamation d’un événement média. Ces événements incluent par exemple (à partir de contenu en ligne ou hors ligne de l’entreprise) : diffamation, plagiat, violation de vie privée, marque déposée, etc. - Procédures réglementaires
Remboursement de coûts de défense incluant fonds de recours pour consommateurs, remboursement de frais pour procédures comme GDPR ou autres lois touchant les données, etc.
Mme Prince souligne également que, les assureurs sont de plus en plus frileux et donc sélectifs dans l’assurance cyber.
Généralement, l’assureur exigera les contrôles de sécurité suivants :
- Segmentation des réseaux
- Programme de sensibilisation aux employés sur la cybersécurité (annuellement)
- Solution EDR en place
- L’authentification multifactorielle (MFA) est en place pour tous les accès à distance, les courriels et pour les utilisateurs administratifs
- Pas de droits administrateurs sur les ordinateurs portables
- Protection des courriels avec SPF, filtration, etc.
- Programmes de résilience (BCP)
- Sauvegardes cryptées
- Directeur de l’information (CIO) en place
- Gestion des mises à jour, tests de pénétration des réseaux annuels
- Antivirus et antimalware en place.
Équipe de consultation des risques cyber BFL
Mme Prince fait valoir que chez BFL Canada, une équipe est dédiée en services de consultation en gestion cyber.
Cette équipe offre des services comme ceux-ci :
- Évaluation
Évaluation des mesures de sécurité, évaluation des marchés d’assurance - Tests et simulation
Tests de pénétration des réseaux et du cloud, balayage de domaines publics, tests de vulnérabilité, etc. - Gouvernance
Consultation des courriels d’hameçonnage (phishing), de programmes de sensibilisation pour employés, etc. - Réponse d’incident
Planification de réponse (IRP), négociation de rançon, investigation légale suivant une attaque, évaluation de la préparation à une attaque cyber. - Opérations
Développement de politiques et standards, optimisation des contrôles de sécurité, stratégie de sécurité, etc.
En conclusion, bien qu’il soit impossible pour une entreprise d’être complètement invulnérable aux attaques cyber, les risques peuvent être grandement diminués par l’implantation de diverses mesures de sécurité et en cas d’attaque, une assurance pourra vous éviter bien des soucis et des pertes financières.
Cet article a été écrit par Gabrielle Darveau-Breton, directrice des affaires juridiques et Gabriel Bégin, chef de service TI en collaboration avec Mme Nathalie Prince, vice-présidente et directrice clientèle chez BFL Canada.
1 cyberattaque (gouv.qc.ca)2 Cyber-ransomware-update-threat-bulletin_fra.pdf3 Cyber-ransomware-update-threat-bulletin-fra.pdf
Référant au Rapport 2021 sur le coût d’une violation de données, IBM, le 28 juillet 2021.