Il y a quelques semaines, une des plus dangereuses brèches de sécurité des dernières années forçait le gouvernement québécois à suspendre près de 4 000 sites web potentiellement vulnérables.

Selon le Centre canadien pour la cybersécurité, les attaques par rançongiciel ont augmenté de 151 % au cours du premier semestre de 2021 par rapport à l’année précédente. Le nombre de demandes de rançons et le nombre des paiements atteignent également des niveaux inégalés.

Monde interconnecté, virage numérique, commerce électronique, information nuagique, télétravail… Les conditions sont réunies pour que ces tendances poursuivent leur ascension. Dans ce contexte, la cybersécurité doit être une préoccupation des équipes de direction et des administrateurs.

C’était d’ailleurs le message de Geneviève Fortier, cheffe de la direction de Promutuel, Dominique Jaar, associé chez KPMG et Mason Poplaw, associé chez McCarthy Tétrault lors d’un récent événement organisé par l’Institut des administrateurs de sociétés.

Prévenir

Selon Geneviève Fortier, en cas de cyberincident, vaut mieux être préparé. Elle en sait quelque chose, elle dont l’entreprise a été victime en 2020 d’un incident de sécurité perpétré par un tiers externe non autorisé.

Ainsi, les entreprises devraient adopter un cyberplan qui prévoit la marche à suivre en cas de cyberincident.

1. Relevez les données et les actifs susceptibles d’être attrayants pour les cyberpirates ou essentiels à la conduite des activités. Déterminez comment vous pourriez poursuivre vos activités si ces actifs étaient compromis ou hors d’usage pendant quelques heures ou… quelques semaines.
2. Établissez des critères vous permettant de décider si un incident déclenche ou non votre processus de réponse à une cyberattaque. Adaptez vos actions selon la nature et la gravité de l’incident.
3. Définissez les rôles et responsabilités des membres de la cellule de crise. Les panélistes étaient unanimes : les compétences techniques nécessaires pour mener l’enquête interne ou résoudre la situation diffèrent des compétences requises pour prendre des décisions rapides avec un certain détachement. Ainsi, votre équipe de techniciens informatiques n’est peut-être pas la mieux placée pour diriger la cellule de crise, même si elle en est une composante essentielle.
4. Prévoyez une délégation d’autorités plus importante en temps de crise ; la direction aura besoin d’avoir les coudées franches et pourrait devoir engager rapidement des fonds.
5. Songez aux moyens de communication en cas d’attaque. Vos courriels pourraient être surveillés ou inaccessibles si des pirates contrôlaient vos systèmes. Dominique Jaar constate que plusieurs organisations mettent en place des systèmes de communications parallèles afin d’être à pied d’œuvre en cas de cyberincident.
6. Si votre entreprise n’a pas souscrit à une assurance cyberrisques, voyez-y. Si votre entreprise détient une telle police, assurez-vous que celle-ci est adéquate pour vos besoins.
7. Quant aux experts et autres professionnels préidentifiés par les assureurs, contactez-les d’avance afin de bâtir votre capital confiance. En pleine crise, vous voudrez vous concentrer sur la brèche plutôt que de négocier les modalités de votre collaboration. Par ailleurs, leurs honoraires sont moins dispendieux en mode préventif que lorsque la crise éclate.
8. Finalement, testez votre cyberplan ! Selon Dominique Jaar, il faut l’expérimenter pour en déceler les failles. Faites une simulation. Celle-ci peut être planifiée ou surprise, pour voir comment tout un chacun réagit.

Gérer

Lorsque la crise survient, ne tardez pas à déclencher votre cyberplan de match, à mettre en place votre cellule de crise et à aviser les assureurs, les conseillers juridiques et le conseil d’administration (CA).

Lorsque la crise survient, ne tardez pas à déclencher votre cyberplan de match, à mettre en place votre cellule de crise et à aviser les assureurs, les conseillers juridiques et le conseil d’administration.

Quoi faire si les cyberpirates exigent une rançon ? Confiez la négociation à des experts ! Votre stratégie de négociation pourrait vous permettre de gagner un temps précieux afin de déterminer l’étendue des dommages. Ainsi, peut-être pourrez-vous éviter de payer une rançon ou, au contraire, réaliser que la survie de l’entreprise en dépend.

Misez sur les communications. Il faut déterminer les messages et les publics à qui ils sont destinés tout en prenant en compte des risques réputationnels et juridiques. Tout est une question d’équilibre.

Rebondir

Après la crise, prenez le temps de réaliser un bilan. Assurez-vous que les constats et les recommandations ne restent pas lettre morte.

Et le CA dans tout ça ?

Pour le CA, la transparence est de mise. Les administrateurs doivent avoir confiance que la direction possède tous les outils pour gérer le cyberincident adéquatement. S’il est rare que tout soit maîtrisé au moment du déclenchement de la crise, le CA veut s’assurer que la direction ne spéculera pas sur des informations ou des solutions, que les décisions seront basées sur des faits validés et vérifiés et qu’elle sera entourée d’experts compétents. Mason Poplaw suggère d’organiser une rencontre entre les membres de l’équipe d’intervention et le CA afin de bâtir un climat de confiance. Informez votre CA de façon régulière des développements.

Nous ne souhaitons à personne d’être victime d’une cyberattaque. Toutefois, la preuve est faite qu’en cas de cyberincident la préparation fait toute la différence. Soyez avertis !