Cybersécurité des entreprises : quelles sont les bonnes habitudes à prendre ?
L'actualité récente le démontre : nul ne peut prétendre être totalement à l'abri d'une cyberattaque. La question n'est pas tant de savoir quand votre organisation y fera face, mais comment. Plusieurs pistes de réponse se trouvent dans un récent Aide-mémoire sur la cybersécurité préparé par le Fonds de solidarité FTQ.
L'actualité récente le démontre : nul ne peut prétendre être totalement à l'abri d'une cyberattaque. La question n'est pas tant de savoir quand votre organisation y fera face, mais comment. Plusieurs pistes de réponse se trouvent dans un récent Aide-mémoire sur la cybersécurité préparé par le Fonds de solidarité FTQ.
Téléchargez maintenant l'Aide-mémoire sur la cybersécurité
Si les logiciels sont continuellement mis à jour par leurs concepteurs, ce n'est pas seulement parce qu'il y a toujours place à l'amélioration, mais aussi parce que les hackers trouvent toujours de nouvelles failles de sécurité à exploiter. Ce jeu sans fin du chat et de la souris rend la cybercriminalité impossible à éradiquer totalement ; malgré tous les efforts de prévention, des cyberattaques continuent de se produire chaque jour contre les individus et les organisations
Quatre saveurs sont à la mode chez les hackers :
- Le rançongiciel (ransomware), qui consiste à verrouiller l'accès à vos données et à vous réclamer de l'argent en échange de la clé sous peine de perdre à jamais vos fichiers ou de les rendre publics ;
- L'hameçonnage (phishing), qui vous incite frauduleusement à partager de l’information confidentielle tels que vos authentifiants par l'entremise de courriels et sites web trompeurs ;
- La réutilisation d'authentifiants (credential stuffing) où des robots font de multiples tentatives de connexion à un service avec des listes d'authentifiants volés précédemment dans des brèches de sécurité ;
- L'exploitation d'erreurs de configuration de la part des utilisateurs ou administrateurs de services en ligne.
En matière de victimes, les criminels ne font pas de discrimination entre les petites et grandes organisations ou entre les secteurs d'activités. Les cas récemment médiatisés au Québec incluent des noms connus du public comme Desjardins, Revenu Québec et le Cégep de Saint-Félicien, mais selon un sondage CIRA (2019), ce ne sont pas moins de 71 % des organisations canadiennes qui disent avoir été victimes dans la dernière année d'au moins une cyberattaque affectant leurs activités. Même si vos données ont peu de valeur à vos yeux, tout système est bon à pirater à des fins criminelles – ne serait-ce que pour s'en servir comme pivot pour attaquer un autre système plus lucratif.
Nul n'est vraiment à l'abri
Les conséquences financières peuvent être importantes, comme les 250 000 $ de pertes de revenu subies par une usine de pièces de béton de Terrebonne dont les machines ont été déréglées à distance par des hackers ; ou encore les 120 000 $ subtilisés à une entreprise de machinerie de Sherbrooke, après une attaque au rançongiciel. Dans ces deux cas survenus à l'automne 2020, les victimes ont tenu le coup. Pour d'autres moins solides financièrement, une cyberattaque peut être le coup de grâce.
La crise du coronavirus n'a fait qu'aggraver les risques, car l'adoption massive du télétravail implique l'usage d'outils de collaboration fournis par des tierces parties, ce qui accroît encore la vulnérabilité des organisations. En outre, les hackers n'hésitent pas à exploiter l'anxiété ambiante : un quart des organisations canadiennes l'ont observé depuis le début de la pandémie, sous forme par exemple de courriels frauduleux liés aux tests de dépistage de la Covid-19. Un clic suffit pour tomber dans le piège.
Face à ces enjeux, le Fonds de solidarité FTQ investit dans des sociétés qui contribuent à renforcer la sécurité des systèmes d'information du Québec Inc., et par conséquent la stabilité de l'économie. Ce fut le cas de NoviFlow, de Montréal, qui offre des services de sécurité réseau aux opérateurs de télécommunications, et de TerraNova, de Laval, qui offre des services de sensibilisation à la cybersécurité.
Cependant, malgré les meilleures défenses, nul n'est à l'abri des cyberattaques. En fait, les entreprises ont intérêt à aborder la sécurité informatique sous l'angle de la
« cyberrésilience », qui consiste à présumer qu'une crise finira forcément par se produire, et à la planifier pour limiter les dégâts.
Outre les risques financiers, il en va de leur compétitivité face au niveau de sécurité des concurrents, et de leur lien de confiance avec les clients, fournisseurs et investisseurs. D'ailleurs, il n'est pas rare que ceux-ci exigent certaines pratiques cybersécuritaires dans les contrats.
Pour se protéger, par où commencer ?
« Je recommande aux organisations semblables en termes de région, de dimensions et d'industrie de se regrouper pour s'entraider, surtout si chacun a peu de ressources à l'interne. Quand il s'agit de sécurité, la concurrence ne compte plus ! », dit Marc-André Drapeau, ingénieur, architecte principal en sécurité informationnelle au Fonds de solidarité FTQ.
C'est suite à un webinaire donné le 2 décembre dernier que M. Drapeau a préparé l'Aide-mémoire sur la cybersécurité que nous vous présentons aujourd'hui. Le document pratique se base non seulement sur des concepts reconnus mais aussi sur l'expérience de première main de l'équipe de M. Drapeau. Vous y trouverez cinq catégories de bonnes pratiques à appliquer en priorité pour réaliser des gains rapides en sécurité, ainsi que 20 procédés à mettre en oeuvre à plus long terme pour une tranquillité d'esprit optimale.
Téléchargez maintenant l'Aide-mémoire sur la cybersécurité
« Prioriser la cybersécurité en entreprise, c'est d'abord de désigner un responsable de la sécurité informationnelle, mettre en place des tableaux de bord, et amener le sujet à l'ordre du jour du comité de direction », dit Marc-André Drapeau. « C'est de ne pas réinventer la roue et d’adopter des référentiels tels que de l'ISO, du NIST ou du CIS qui font autorité au niveau mondial. C'est lire les rapports comme ceux de Verizon sur les prévisions et recommandations par secteurs d'affaires. »