Alan Mak
Bonjour, on se retrouve pour notre série de webinaires sur la prévention et le redressement en cas de cyberattaques. Je m'appelle Alan Mak, je suis associé et responsable national des services-conseils en juricomptabilité, litiges et enquêtes chez BDO Canada. Ravi de commencer notre série par un sujet crucial pour les chefs d'entreprise : comment prévenir les cyberattaques visant votre entreprise et comment s'y préparer. Lors de la prochaine séance, nous discuterons de la suite à donner à un incident.
Dans le monde actuel, toutes les entreprises, quelle que soit leur taille ou leur secteur, sont constamment menacées par des cyberattaques. La question n'est pas de savoir si une attaque se produira, mais plutôt quand. Voilà la réalité dans laquelle nous vivons, et cela montre qu'il est essentiel d'adopter une approche préventive plutôt que réactive.
Dans ce séminaire, nous allons explorer les mesures clés à prendre pour que votre entreprise soit préparée et protégée contre les cybermenaces potentielles. Nous aborderons également les pratiques exemplaires pour réduire les risques, établir des protocoles de sécurité rigoureux et nous assurer que votre entreprise est prête à faire face aux défis numériques.
Pour cette discussion, j'ai à mes côtés mes collègues : Chetan Sehgal, associé dans les services en juricomptabilité, et Rocco Galletto, associé et responsable national en cybersécurité, ainsi qu'April Kosten, associée et avocate spécialisée en confidentialité et en violations. Bienvenue et merci de vous être joints à nous. C'est parti.
Pour ma première question, bien que j'aie dit que ces menaces nous concernent tous, j'aimerais savoir si certaines entreprises sont plus susceptibles d'être attaquées. Rocco, qu'en pensez-vous ?
Quelles sont les entreprises les plus susceptibles d'être concernées par des cyberattaques ?
Rocco Galletto
Il fut un temps où les cybercriminels ciblaient principalement les grandes entreprises. Il y a 10 ou 15 ans, on entendait souvent parler de banques, de grandes enseignes de la distribution, ou d'assurances qui étaient attaquées. Aujourd'hui, la situation a évolué. Ce qui a conduit à ce changement, c'est que les groupes de cybercriminels travaillent ensemble, ont un meilleur accès aux outils et aux systèmes et disposent de moyens plus avancés. Par conséquent, même des entreprises beaucoup plus petites sont désormais ciblées, donc personne n'est à l'abri. Ce que nous constatons aujourd'hui, c'est une prolifération de talents qui affectent des entreprises de tous les secteurs et de toutes les tailles.
Les entreprises de tous les secteurs et de toutes les tailles courent donc un risque d'attaque.
Alan Mak
Intéressons-nous maintenant à la manière de se préparer à ces attaques ou de les prévenir. Quelles sont les lacunes que vous constatez fréquemment dans votre métier ? April, vous avez accompagné des entreprises qui ont été attaquées. Quand vous analysez les incidents, quels sont les problèmes récurrents que vous constatez ?
Quelles sont les lacunes que vous rencontrez souvent dans votre métier ?
April Kosten
Tout d'abord, comme vous l'avez mentionné dès le début, la question n'est pas de savoir si, mais plutôt quand. La première lacune que je constate chez mes clients et dans les entreprises que je rencontre, c'est qu'elles ne s'attendent pas à être victimes d'un incident de cybersécurité. Je dis souvent à mes clients que s'ils ont un plan d'intervention d'urgence pour les incendies ou les accidents, ils doivent absolument avoir un plan d'intervention pour la cybersécurité, au cas où un incident se produirait.
Un autre point très important, surtout du point de vue de la confidentialité, est de bien comprendre et respecter les lois et régulations sur la confidentialité. Trop souvent, je rencontre des entreprises qui ne connaissent pas leurs obligations, qui n'ont pas de politique de confidentialité et qui collectent bien plus d'informations personnelles qu'elles ne le devraient. Cela expose un plus grand nombre de ces informations au risque d'être violées en cas d'attaque.
Il y a donc quelques points essentiels à retenir en matière de confidentialité : vous ne devez collecter que les informations dont vous avez besoin, dans la limite du raisonnable et à des fins précises. Il arrive fréquemment que trop d'informations soient collectées. Ne tombez pas dans ce piège. Un autre aspect important est de mettre en place des politiques strictes concernant la conservation et la destruction des données et de veiller à leur bonne application. Il est essentiel de ne conserver des informations personnelles que pendant la durée nécessaire, pour une raison précise ou pour des raisons de conformité. Trop souvent, je vois des clients qui, après un incident de cybersécurité, se rendent compte qu'ils ont des informations personnelles de salariés qui ne travaillent plus dans l'entreprise depuis plus de dix ans, ou des informations de clients qui ne sont plus clients depuis plus de cinq ans. Ces informations ne devraient plus être conservées. En les gardant, vous exposez votre entreprise à davantage de risques, tout comme les personnes dont vous avez les données.
Il est donc primordial de bien comprendre et respecter les règles de confidentialité, d'avoir une politique de confidentialité en place, de désigner un responsable de la protection des données et de former les employés à la législation sur la confidentialité. Ces mesures contribuent grandement à atténuer votre responsabilité et à réduire le risque potentiel en cas d'attaque.
Absence de plan d'intervention pour la cybersécurité, nécessité de comprendre et de respecter les réglementations sur la confidentialité, et mise en œuvre de politiques rigoureuses de conservation et de destruction des données sont des points essentiels à ne pas négliger.
Alan Mak
Ce sont de très bons conseils, tous très judicieux. Je peux m'appuyer sur mon expérience pour dire que vous nous avez donné des conseils précieux. Ce n'est pas au moment de l'incident qu'il faut savoir qui appeler ou quel bouton appuyer. Cela m'a fait sourire quand vous avez mentionné la surcollecte de données, car en tant que comptable, beaucoup d'entre nous sont accros aux données. Cela nous plaît d'en avoir beaucoup, mais la surcollecte est un risque réel qui nous expose à des risques inutiles.
En parlant de gestion des risques, il y a un produit que nous connaissons bien et que nos clients nous demandent régulièrement : la cyberassurance, c'est-à-dire l'assurance en cybersécurité. Chetan, qui a de l'expérience en conseil en assurance et en gestion des sinistres, peut peut-être nous éclairer sur le rôle de la cyberassurance et la manière dont elle permet de réduire les risques cyber.
Quel rôle joue la cyberassurance et comment aide-t-elle à réduire les cyberrisques ?
Chetan Sehgal
Absolument. Merci Alan, cette discussion est très intéressante.
La cyberassurance est en fait un excellent outil. Elle joue un rôle essentiel dans la protection des biens sociaux contre les cybermenaces. C'est un outil de redressement financier, ce que nous considérons généralement. Mais les compagnies d'assurance offrent en fait un dispositif d'intervention structuré dont on a tant besoin lorsque le cyberincident se produit inévitablement, notamment le plan d'intervention d'urgence auquel April a fait allusion. Cela fait partie des services d'intervention en cas d'incident que les cyberassureurs offrent de plus en plus.
Ces services comprennent entre autres l'accès à des prestataires de services utiles tels que des experts en cybersécurité, des experts techniques, des conseillers juridiques, des accompagnateurs en gestion d'incidents, des professionnels de la juricomptabilité, etc., selon les besoins de l'entreprise en question.
Pour la stratégie de maîtrise des risques, la procédure d'accès à une cyberassurance est généralement un exercice très utile aux entreprises pour qu'elles comprennent leur exposition aux cyberrisques. Pour vous donner un peu de contexte, si des clients qui ne sont encore passés par là nous écoutent, remplir les critères d'accès à une cyberassurance, ce n'est plus aussi facile.
Notre équipe travaille généralement avec les clients pour s'assurer qu'ils répondent aux exigences techniques de l'assureur, à savoir que le client qui veut être assuré ait un cyberenvironnement technique solide, pour ainsi dire, afin de prévenir les cyberincidents, notamment des tests comme pour le piratage éthique.
Si quelqu'un veut en savoir plus, Rocco en discutera volontiers au téléphone avec vous. De plus, il faut également connaître les répercussions financières d'un éventuel préjudice, que ce soit le coût de redressement après l'incident, la gestion de la réputation, le manque à gagner et ainsi de suite.
En plus de les aider à s'assurer, nous aidons régulièrement nos clients à comprendre les risques financiers auxquels ils s'exposent en cas d'incident pour qu'ils aient un taux de couverture suffisant du point de vue monétaire, y compris la couverture de frais professionnels, qui est un concept intéressant. Et l'une des choses que nous rappelons toujours aux entreprises, c'est qu'en cas d'incidents de cette nature et si vous engagez des experts, il y aura des couvertures de frais professionnels incorporées dans votre police d'assurance.
Vous n'avez pas à le faire seul. Nos professionnels en cybersécurité et en cyberassurance peuvent accompagner les entreprises à chaque étape pour leur permettre d'avoir accès à une assurance. Et le plus important à comprendre, c'est que si on ne remplit pas les critères pour être assuré, c'est un très mauvais signe et un très grand risque qui implique que vous risquez fortement d'être attaqué.
Alan Mak
Alors que nous concluons cette séance, j'aimerais connaître votre meilleur conseil pour la prévention des cyberattaques. Rocco, vous voulez commencer ?
Rocco Galletto
Pour ce qui est de la prévention, bien souvent, les entreprises ne consacrent pas assez de temps à recenser leurs principales données et ressources informatiques. Il est essentiel de savoir ce qu'il faut protéger, ce qui est le plus sensible pour l'entreprise, ses clients, ou son personnel. Une fois ces actifs sensibles identifiés, il faut savoir où ils se trouvent et comment les protéger. Ce qui est aussi important, c'est de comprendre que la question n'est pas de savoir si une cyberattaque aura lieu, mais plutôt quand. Il faut donc avoir un plan d'intervention et mettre en place des mesures de prévention adéquates, en s'assurant que la configuration est parfaite, avec des politiques et des procédures appropriées. La préparation pour l'inévitable est essentielle.
Une question me vient à l'esprit : y a-t-il un risque accru d'être attaqué à nouveau après qu'une attaque se soit produite une première fois ? Rocco, quel est votre avis ?
Il est clair que les entreprises qui ne se redressent pas efficacement après une attaque courent un risque accru. Si elles négligent de mettre en place des mesures de prévention après un incident, elles sont souvent victimes d'attaques récurrentes. À l'inverse, celles qui redressent la situation de manière appropriée et mettent en œuvre des mesures de sécurité supplémentaires pour éviter les mêmes problèmes, réduisent ces risques.
April, quel est votre sentiment à ce sujet ?
April Kosten
Pour moi, l'un des éléments essentiels que les entreprises doivent avoir à portée de main est une liste des membres de l'équipe d'intervention en cas d'incident, comprenant des intervenants internes et externes, comme les conseillers juridiques. Un incident de sécurité se produit rapidement et de manière inattendue, c'est pourquoi il est crucial d'avoir cette liste prête, avec les coordonnées de contact des personnes et des conseillers de confiance. De plus, la formation continue et la sensibilisation des équipes sont essentielles, afin qu'elles sachent quoi regarder et comment réagir en conséquence.
Chetan, quel est votre meilleur conseil ?
Chetan Sehgal
Je dirais que la formation continue est essentielle, mais je vais ajouter un autre point. Il est important de maîtriser l'environnement interne, comme l'a mentionné Rocco, mais il faut aussi élargir la perspective et évaluer le risque lié aux tiers avec lesquels vous travaillez. Le monde professionnel devient de plus en plus complexe avec de nombreux intervenants, comme les clients, fournisseurs, ou prestataires de services. Il est crucial de savoir avec qui vous interagissez et de vous assurer que vos partenaires appliquent des mesures de sécurité aussi rigoureuses que les vôtres. Cela ajoute un niveau de protection supplémentaire, car même si vous êtes bien protégé, les vulnérabilités chez vos partenaires peuvent vous exposer à des risques.
En résumé, il est important de savoir où se trouvent les données sensibles, d'avoir un plan d'intervention et une équipe formée pour y répondre, de mettre en place une formation continue, de connaître les risques liés aux tiers et de s'assurer que vos partenaires sont aussi bien protégés.
Alan Mak
Merci beaucoup à chacun d'entre vous pour vos contributions. Merci à Rocco pour ses idées pratiques, à April pour ses conseils juridiques et à Chetan pour sa perspective sur la juricomptabilité. J'espère que notre public aura appris quelque chose aujourd'hui. Cela nous a rappelé des enseignements importants, notamment le fait que les arnaques et les escrocs sont en constante évolution. Il est essentiel de se tenir informé des nouvelles tendances et de rester vigilants. Nous espérons que vous vous joindrez à nous pour la prochaine séance, qui abordera ce qu'il faut faire lorsqu'on est victime d'une cyberattaque. Merci de nous avoir suivis.