La gestion de crise en cybersécurité doit se trouver au cœur des préoccupations des PDG… un accident est si vite arrivé. Et, contrairement à ce que l’on pourrait croire, seulement 11 % des attaques touchent les rançongiciels. Lors d’une étude de cas présentée dans le cadre de Vision PDG, Dr Lyne Bouchard a sérieusement mis les PDG en garde : les cyberattaques coûtent cher.
Autres chiffres intéressants : 50 à 80 % des entreprises ont été attaquées l’an dernier, selon des chiffres d’IBM ; 47 % des situations d’attaques sont créées par les entreprises elles-mêmes ; 17 % d’entre elles sont destructrices, le virus s’attaquant aux données ; et 19 % touchent les chaînes d’approvisionnement. L’identification d’une attaque peut prendre jusqu’à un an.
« Une entreprise québécoise a été attaquée en décembre et n’a même l’a même pas dévoilé, malgré les dispositions de la Loi 25 sur la vie privée des Québécois, note la spécialiste. Et ça coûte cher, surtout dans le milieu de la santé, le secteur des TI arrivant en quatrième position. Heureusement, on est au Canada et ça coûte moins cher. »
En fait, le Canada se trouve au troisième rang des pays où cela coûte le plus cher, derrière les États-Unis et les Émirats arabes unis. Nous sommes donc sur le radar des pirates, souligne Lyne Bouchard.
« Nous sommes en guerre avec la Russie, l’Iran, la Chine et la Corée du Nord, lance-t-elle. Les attaques par rançongiciel devraient diminuer, parce que les professionnels s’en éloignent, parce que cela s’avère de moins en moins payant. Et si vous ne vous occupez pas des cyberattaques, le gouvernement le fera pour vous. »
La loi prévue par le gouvernement fédéral risque d’aller assez loin et va avoir des répercussions dans certains secteurs, dont les télécommunications, le logiciel et le matériel. Aussi, si une entreprise québécoise fait affaire avec une banque – Desjardins excepté puisque sa charte est Québécoise – et qu’elle se fait pirater, l’entreprise aura à ouvrir ses livres. Au Québec, certaines dispositions de la Loi 25 sont entrées en vigueur le 22 septembre 2022 et s’échelonneront jusqu’en septembre 2024.
Lyne Bouchard dresse un cas de figure : vous êtes PDG d’une entreprise et lorsque vous arrivez au bureau à 8 h 47 le matin, votre équipe TI vous avise qu’il y a un problème. Dix minutes plus tard, vous recevez un message de virus de type « Wiper » et un message apparaît sur votre écran indiquant « Your data has been located and erased. Good luck ». Que faites-vous dans les trois prochaines heures ? Parmi les premiers conseils de Lyne Bouchard, on note qu’il faut avoir beaucoup d’amis dans le secteur avec leur numéro de téléphone (rappelez-vous, votre système est à terre). Il faut ensuite communiquer avec tous les employés afin qu’ils se taisent et ne répandent pas la nouvelle. Inutile de paniquer, vous avez un VP TI. Sortez votre plan (si vous en avez un). Appelez vos assurances cyber, ils ont sous la main des experts qui peuvent vous aider à diminuer les risques. Il faut ensuite avertir le fédéral, la GRC et les policiers. « Si vous n’avez pas de sauvegarde, vous n’avez plus d’entreprise », lance-t-elle.
La plupart des cyberpirates demeurent des amateurs au fond de leur cave, mais on commence à voir des professionnels. Lyne Bouchard donne l’exemple du Tallahassee Memorial HealthCare qui aurait été attaqué dans la nuit du 2 au 3 février et qui a dû transférer ses patients dans d’autres hôpitaux. Mais revenons à notre cyberattaque dans une entreprise québécoise. Le président du conseil d’administration ne vous a pas encore téléphoné, les journalistes non plus, mais cela ne saurait tarder. Que faire ?
« Vous devez avoir un plan imprimé, avec la liste de vos employés et leurs coordonnées », explique-t-elle. « Vous vous enfermez dans une salle avec vos vice-présidents, de préférence dans un hôtel, et vous vous équipez d’imprimantes, d’ordinateurs et de téléphones qui ne proviennent pas de votre entreprise. Votre première priorité comme président ou présidente s’avère de mettre vos VP dans la salle et de sortir votre plan. La guerre de demain ne se fera pas avec des bombes nucléaires. Mais avant même une cyberattaque, les entreprises doivent se doter d’un plan de gestion de crise. Une personne doit être nommée responsable et il faut créer une équipe de gestion de crise bien formée. Le plan doit prévoir la prévention, mais aussi la détection, la correction et le rétablissement. »
Il faut aussi mobiliser les parties prenantes, le conseil d’administration, le comité aviseur, les clients et les partenaires, ainsi que les experts en cybersécurité du secteur des TI, des communications, du droit et des assurances et, éventuellement, la Commission d’accès à l’information. Pour les clients, des messages types, préparés avec des juristes, doivent être déjà prêts.
« La gestion de crise TI n’est pas votre problème, vous avez une équipe TI pour s’en charger, souligne Lyne Bouchard. Vous devez savoir où vous allez, avoir votre war room et vous munir de papier et de crayons. Il faut que votre plan soit bien fait, cela va vous coûter cher, vous devez être prêt. »
Lyne Bouchard a terminé son atelier avec trois autres conseils. Il faut former, former et reformer les employés pour qu’ils ne cliquent pas sur n’importe quoi. Il faut faire les mises à jour technologiques. Enfin, il s’avère important de réaliser un exercice sur table avec les VP et simuler une attaque.