SAGUENAY – Avec l’omniprésence des données et de la technologie dans l’économie, la cybersécurité est passée d’un coût additionnel à une nécessité pour les entreprises, croit Fehmi Jaafar, professeur au département d’informatique et de mathématique de l’Université du Québec à Chicoutimi (UQAC).
« À partir des années 90, le patrimoine technologique de l’entreprise est devenu son bien le plus stratégique. De plus en plus, l’informatique est présente dans tous les secteurs de l’économie. Aujourd’hui, les données créent la richesse d’une entreprise, sa valeur ajoutée. Sans collecter et analyser des données, les entreprises ne peuvent plus être aussi compétitives parce que cette analyse est nécessaire pour fidéliser la clientèle, offrir des produits personnalisés, etc. L’informatique est devenue un avantage concurrentiel, surtout l’analyse des données », explique l’enseignant.
Or, pour pouvoir utiliser des données, il faut être sûr de leur intégrité, de leur disponibilité, de leur fiabilité et de leur confidentialité. « Si elles ne sont pas sécurisées, l’entreprise n’a plus la capacité de créer la richesse ou de poursuivre la continuité de ses affaires », rappelle M. Jaafar. La sécurisation des systèmes informatiques est parfois même une obligation légale, notamment en ce qui a trait à la gestion des données personnelles.
Augmentation exponentielle
Selon l’expert, toutes les statistiques montrent une augmentation exponentielle des cyberattaques. Celles-ci doubleraient, voire plus, chaque année dans tous les domaines et pour tous les types d’entreprises. En 2019, Statistique Canada estimait que 21 % des entreprises au pays avaient été victimes de cyberattaques. Quelque 18 % des petites entreprises de 10 à 49 employés et 29 % des PME de 50 à 249 employés avaient été touchées.
Ces cyberattaques représentent un coût énorme pour les entreprises. En 2021, ces frais ont atteint des niveaux jamais vus, selon le Centre canadien pour la cybersécurité. Le coût moyen d’une violation de données se chiffrait ainsi à 6,35 M$. Les rançongiciels, qui ont augmenté de 151 % à l’échelle mondiale dans la première moitié de 2021 comparativement à la même période en 2020, ont coûté en moyenne 2,3 M$ aux entreprises l’an dernier, incluant le coût de la rançon payée ou du rétablissement du réseau compromis.
ARS Solutions estimait pour sa part, en se basant sur les soumissions au service d’identification des rançongiciels ID Ransomware, que ces programmes malveillants avaient causé des pertes économiques totalisant de 19 G$ à 75 G$ en 2020, dont 165 à 659 M$ au Canada.
Porte d’entrée
« Les menaces les plus courantes ont comme porte d’entrée l’employé, soit celui qui est mal formé ou celui qui est malintentionné. Toutes les grandes cyberattaques qui ont pris comme cible les entreprises, dernièrement, l’ont fait à travers des courriels frauduleux (hameçonnage) ou par le biais d’un employé qui a eu accès à des données confidentielles et les a vendues pour faire de l’argent », indique Fehmi Jaafar.
Les rançongiciels, qui ont également comme porte d’entrée les employés, constituent une autre des cybermenaces les plus courantes actuellement. « Par exemple, un employé qui n’est pas bien formé va cliquer sur un lien et cela va installer un virus sur le système de l’entreprise ou ça ouvre une porte à un attaquant malveillant externe. Le virus ou le hacker vont alors crypter les données pour demander une rançon. Ils vont créer un climat d’urgence et de panique dans l’entreprise pour que les dirigeants payent rapidement la rançon. »
Facile à corriger
Selon M. Jaafar, en adoptant de bonnes pratiques et des mesures de base, il est assez facile pour les entreprises, peu importe leur taille, de se protéger contre ces menaces. « La majorité des cyberattaques, 90 % environ, ce sont des problèmes qui ne sont pas très compliqués à corriger. Par exemple, on peut offrir une formation de base aux employés, suivre les obligations légales pour sécuriser les données de nos clients, s’assurer que les logiciels et équipements sont les plus sécuritaires possible, vérifier que le système d’exploitation qu’on utilise est toujours supporté, etc. »
Pour éliminer les risques d’urgence de payer liés aux rançongiciels, le professeur recommande d’avoir toujours une sauvegarde des données essentielles aux processus d’affaires. Crypter les données sensibles à l’interne permet de s’assurer que même si un attaquant a accès à celles-ci, il ne pourra pas les utiliser.
Du côté des employés malveillants, il faut avoir des accès clairs pour chaque employé. « Ça se peut qu’on ait un employé qui a besoin d’avoir ce droit de visiter, par exemple, les comptes des clients. Au moment où cette personne consulte cinq millions d’enregistrements, il y a quelque chose qui cloche. Il faut donc avoir des systèmes à l’interne qui lancent des alertes lorsqu’il y a des anomalies, par exemple si un employé se connecte dans une plage horaire inhabituelle ou d’un emplacement étrange, fait une activité anormale, etc. », souligne le professeur.
Cyberrésilience
La cyberrésilience est un terme de plus en plus utilisé. Elle se base sur les mêmes pratiques que la cybersécurité, soit celles de protéger l’intégrité et la sécurité des données, mais elle met l’accent sur la continuité des affaires. « Elle part du principe qu’on aura une cyberattaque contre l’entreprise. On va mettre en œuvre les meilleures pratiques, mais après ça, il faut avoir un plan B. Même s’il y a un problème qui vient d’ailleurs, est-ce qu’on peut assurer la continuité de nos affaires ? Il faut des plans pour faire face aux incidents qui peuvent se produire », affirme Fehmi Jaafar, qui croit que les entreprises doivent avoir une sensibilité à ce propos.