Votre stratégie globale de cybersécurité doit être en phase avec les objectifs commerciaux de votre organisation. Le niveau suivant de la cybersécurité consiste à passer à une approche fondée sur le risque qui cible les flux de travail les plus importants de votre organisation, réduisant ainsi les inefficacités et les contrôles inutiles. L’équipe de cybersécurité de BDO peut vous aider à évaluer et à gérer ces risques, à toutes les étapes votre parcours de transformation numérique, pour ainsi vous permettre de vous concentrer sur ce que votre entreprise fait de mieux.
Publié le : 18 juillet 2022
Mis à jour le : 18 juillet 2022
Les entreprises prennent plus en plus conscience de l’importance du risque lié à la cybersécurité. À mesure qu’elles s’adaptent et se numérisent, même les plus agiles des organisations s’exposent maintenant à davantage de risques. Les nouvelles possibilités qu’offrent les technologies, allant du télétravail au commerce électronique, ont permis à bien des entreprises d’évoluer, au prix d’une vulnérabilité accrue. Les angles d’attaque sont plus nombreux que jamais, et les mesures de cybersécurité doivent suivre le rythme.
À l’échelle mondiale, les attaques par rançongiciel ont augmenté de 151 % depuis le premier semestre de 2020. Au Canada, le coût moyen d’une violation des données est de 6,35 M$. Selon Rocco Galletto, chef national des Services en cybersécurité de BDO Canada, « il s’agit d’un risque bien réel pour les entreprises, qui ne doit cependant pas les empêcher de progresser. » L’émergence rapide de nouveaux rançongiciels, la facilité avec laquelle les organisations sont prises pour cible, et le foisonnement des cyberactivités illicites ont obligé les organisations et leurs conseils d’administration à chercher des réponses immédiates.
« La transformation technologique s’accélère sans cesse et a ouvert la voie à une toute nouvelle génération de menaces qui peuvent entraver vos activités, compromettre la confidentialité des renseignements relatifs à vos clients et porter atteinte à la réputation de votre entreprise. La solution consiste à gérer les technologies et les cyberrisques dès le début de votre parcours et tout au long du cycle de vie de vos technologies. »
Que doit faire une organisation qui dépend des politiques de gestion mises en place par son conseil d’administration en cas d’« épidémie de rançongiciels »? L’un des principaux défis est la communication. Les professionnels de la sécurité et leurs dirigeants doivent être en mesure d’expliquer au conseil d’administration les complexités des cybermenaces en un langage facile à comprendre. Dans l’optique d’aider les cadres supérieurs à adapter cette conversation aux membres du conseil, nous nous sommes entretenus avec Rocco Galletto pour en apprendre davantage sur les défis qu’il constate sur le marché et les stratégies qu’il a contribué à mettre en place à l’échelle de différents secteurs.
Nous lui avons posé cinq questions clés sur la cybersécurité et sur la manière dont les organisations devraient penser leur stratégie connexe.
1. Les organisations canadiennes font-elles actuellement face à une « épidémie de rançongiciels », et en quoi cela devrait-il influencer leur stratégie de cybersécurité?
Rocco Galletto – Oui, il y a une crise de rançongiciels qui continue de s’aggraver à un rythme alarmant et qui touche de plus en plus d’organisations au Canada. Tout d’abord, si le Canada est l’un des endroits les plus ciblés, c’est simplement parce qu’il s’agit de l’une des économies les plus avancées sur le plan numérique. Ensuite, si les auteurs de cybermenaces sont de plus en plus nombreux, c’est que des groupes criminalisés facilitent l’organisation de telles attaques. Les pirates peuvent maintenant utiliser des rançongiciels-service (« RaaS ») et attaquer plusieurs organisations simultanément. Si la crise atteint maintenant des proportions épidémiques, c’est justement en raison de la prolifération des cybercriminels qui utilisent les RaaS. Il est maintenant possible de lancer une attaque très lucrative, même avec des connaissances en informatique très limitées.
Les organisations doivent être au fait de cette nouvelle réalité et y réagir en conséquence. Pour surmonter la crise actuelle, il est essentiel d’automatiser les contrôles et d’avoir de bonnes stratégies de sauvegarde. Les stratégies axées sur la vérification systématique et les périmètres définis par logiciel sont de nouvelles solutions très prometteuses, mais il faudra du temps aux organisations pour les adopter.
Il faut savoir que les rançongiciels et les extorsions numériques sont des attaques très opportunistes. Les entreprises ont connu d’importantes transformations numériques au cours des dernières années et sont plus vulnérables que jamais. Les nouvelles capacités numériques ont créé de nombreux points d’accès que les cybercriminels peuvent exploiter. L’émergence de plateformes de RaaS est une conséquence directe de cette évolution. Les auteurs de cybermenaces peuvent payer des frais mensuels pour profiter d’un service de soutien, automatiser et étendre leurs processus, et cibler des milliers d’organisations simultanément. Ils sont ainsi en mesure d’empêcher de nombreuses cibles d’accéder à leurs systèmes et de chiffrer leurs données jusqu’à ce qu’elles paient une rançon, la plupart du temps sous la forme de cryptomonnaie. Les techniques d’extorsion sont de plus en plus sérieuses, car elles exploitent le caractère sensible des données volées.
2. Quels sont les pièges ou les angles morts que vous relevez le plus fréquemment lorsque vous analysez les stratégies de gestion des cyberrisques de différentes organisations?
RG – La cybersécurité est un secteur en constante évolution, ce qui peut provoquer chez certaines organisations des réactions en chaîne qui compliquent leur stratégie et fragmentent leur infrastructure. Les organisations peuvent se contenter de réagir au cas par cas lorsqu’elles appliquent des correctifs, répondent à des menaces précises et font appel à des tiers. Il est en fait indispensable de bien réfléchir à sa stratégie de cybersécurité dès le départ et de bien étudier les nouvelles technologies avant de les mettre en pratique. Une bonne cyberstratégie vous aide à mettre en place les bons outils et les capacités dont vous avez besoin pour assurer la protection et la croissance de votre entreprise.
Un autre angle mort très fréquent consiste à confondre maturité numérique et résilience numérique. Bien des organisations ont atteint un haut niveau de maturité : elles ont mis en place une équipe de sécurité, instauré et documenté des processus en matière de cybersécurité, et investi dans de nouvelles technologies qui facilitent l’innovation et la croissance. Prenons comme exemple une solution logicielle de gestion du capital humain, qui facilite la transformation numérique, mais qui expose également l’organisation à des risques accrus. En raison de cette nouvelle capacité, l’entreprise doit maintenant protéger les renseignements personnels qu’elle possède. Cette situation illustre bien pourquoi la mise en place de nouvelles technologies doit aller de pair avec la gestion des cyberrisques. C’est probablement la principale source de vulnérabilité de la plupart des entreprises à l’heure actuelle.
3. Comment les entreprises qui ont déjà fait des investissements importants en cybersécurité devraient-elles planifier leurs investissements face à cette crise des rançongiciels?
RG – Pour optimiser leurs investissements en cybersécurité, les organisations devraient privilégier une approche fondée sur le risque. Si elles imbriquent leur stratégie de cybersécurité au centre de leur cadre de gestion des risques, elles éviteront ainsi de mettre en place des systèmes de surveillance disparates, si avancés qu’ils soient, pour répondre à différents types de menaces. Toutes les entreprises vivent en ce moment une certaine transformation numérique. Lors de cette transformation, il faut s’assurer que la gestion des cyberrisques soit harmonisée au profil de l’entreprise qu’elle vise à protéger.
Souvent, les clients demandent s’ils dépensent trop en cybersécurité. Je leur réponds que les cyberrisques sont maintenant l’un des principaux risques auxquels les organisations canadiennes font face. En fait, soit vous ne dépensez pas assez pour la cybersécurité, soit vous dépensez à des endroits où votre rendement n’est pas optimal. J’entends souvent parler d’organisations qui « ont transformé » leurs programmes de cybersécurité et mis en place de nouveaux processus et points de contrôle. C’est une excellente nouvelle. Il ne faut toutefois pas oublier l’étape suivante, qui est de veiller à ce que la stratégie de cybersécurité continue d’évoluer en parallèle avec l’entreprise. Chaque changement, chaque nouveau partenariat, chaque nouvelle technologie et chaque nouveau service offert modifient le profil des menaces qui planent sur une organisation. Il faut bien comprendre et évaluer ces changements pour déceler les nouveaux risques.
4. Bon nombre d’organisations collaborent avec des tiers et présument que ces derniers géreront le risque pour eux. Comment aidez-vous vos clients à bien définir les rôles et les responsabilités pour que rien ne soit laissé au hasard?
RG – Il s’agit d’une tâche ardue pour bon nombre d’entreprises, qui présument que les tiers ont, par défaut, mis en place des mesures de contrôle pour protéger les données. De même, les organisations qui migrent vers l’infonuagique supposent que le fournisseur gérera tous les cyberrisques. Fournisseurs et clients ne s’entretiennent pas systématiquement au sujet de la cybersécurité; trop souvent, on se contente de présumer que des points de contrôle sont mis en place. C’est ce qui peut causer bien des problèmes. Notre expérience nous démontre que la plupart des fournisseurs de services infonuagiques possèdent les capacités nécessaires. Ce sont plutôt les contrôles de base qui sont omis. Dans les faits, il incombe aux organisations de s’assurer que leurs fournisseurs tiers ou leurs configurations infonuagiques disposent de mesures de contrôle minimales et respectent les normes pour protéger leurs données sensibles. Une bonne partie du travail que nous réalisons pour nos clients porte sur la gestion de leurs flux de données – à l’intérieur et à l’extérieur de leur organisation – ainsi que sur l’optimisation et l’organisation sécurisées de leurs relations avec des tiers.
5. Qu’est-ce qui est le plus difficile lorsqu’il faut parler de cybersécurité avec un conseil d’administration?
RG – En général, les conseils sont tout à fait conscients qu’un cyberrisque est un risque commercial. Les organisations ne peuvent plus se permettre de mettre en place des cyberstratégies qui sont déconnectées de leurs objectifs commerciaux ou des principes fondamentaux de la gestion de risques. Tout de même, certaines difficultés demeurent. La première est que tous les conseils ne comprennent pas nécessairement comment il faut gérer les cyberrisques ou déléguer la gestion de risques aux membres du personnel appropriés. La deuxième est que les professionnels de la cybersécurité peuvent avoir de la difficulté à expliquer en langage non technique l’incidence de leurs efforts sur les principaux flux de travail de l’entreprise ou à rendre compte efficacement de la gestion des cyberrisques aux membres des échelons supérieurs. Lorsque les entreprises nous demandent de l’aide, nous commençons par bien comprendre leur profil d’affaires avant d’intégrer la cybersécurité à leur parcours de transformation et leurs objectifs de croissance. L’idée voulant que les cyberrisques soient un centre de coûts ou une assurance est caduque. Il est plutôt question de protéger l’entreprise, et surtout, de lui donner les moyens de bien fonctionner.