Canada | Fraude

Plus d’une entreprise sur cinq victime d’une cyberattaque au Canada

Selon une enquête de Statistique Canada, plus de 20 % des entreprises canadiennes ont subi une brèche de sécurité en 2017. Si vous pensez que ce problème ne concerne que les TI, détrompez-vous.

A Facebook IconFacebook A Twitter IconTwitter A Linkedin IconLinkedin An Email IconCourriel

Silhouette de la personne au téléphone, au premier plan, marchant devant l'enseigne de l'hôtel MarriottLa confidentialité de près de 500 millions de dossiers clients du groupe Marriott International a récemment été compromise. (Photo de Scott Olson/Getty Images)

Il ne se passe pas un jour sans qu’une cyberattaque se produise. Récemment, c’était au tour de Marriott International d’annoncer une violation importante de la sécurité de ses données : la confidentialité de près de 500 millions de dossiers clients (comportant adresses de courriel, numéros de passeport et de carte de crédit, etc.) a été compromise. Selon Gemalto, entreprise spécialisée en sécurité numérique, 4,5 milliards de dossiers ont été volés dans le monde au premier semestre de 2018, une hausse de 133 % par rapport à la même période l’année précédente.

Si les attaques ciblant des entreprises américaines comme Target, Sony et Equifax font plus souvent la une, les entreprises canadiennes ne sont pas à l’abri du piratage. Ainsi, en mai 2018, environ 90 000 clients de BMO ou de CIBC ont été touchés par une attaque. Et en août, Air Canada annonçait que quelque 20 000 utilisateurs de son application mobile avaient peut-être été victimes d’une cyberattaque.

En octobre, une enquête menée par Statistique Canada révélait que les entreprises canadiennes avaient consacré 14 G$ à la cybersécurité en 2017 et que plus de 20 % avaient été frappées par une cyberattaque cette année-là. Claudiu Popa, chef de la direction d’Informatica et expert en cybersécurité, est d’avis que le nombre réel d’attaques est beaucoup plus élevé. « Nous partons du principe que toutes les entreprises ont été touchées, mais qu’elles ne l’ont pas toutes réalisé », explique-t-il. [Voir « La question n’est pas de savoir si vous allez être piraté, mais quand »

Même si bon nombre d’entreprises estiment que les cyberattaques sont l’affaire des TI, M. Popa souligne qu’elles revêtent de plus en plus un caractère financier. D’après lui, les CPA doivent jouer un rôle de premier plan au chapitre de la protection et de la prévention. « Après tout, les comptables ont toujours été vus comme les gardiens des données personnelles. »

PROTÉGER LES DONNÉES CONFIDENTIELLES

Bien souvent, c’est le service des finances qui est le dépositaire des données de carte de crédit et d’autres renseignements personnels sur les clients, ce qui veut dire que la responsabilité de les protéger lui revient. « Qu’il s’agisse de comptables ou d’autres spécialistes de la gestion financière, ce sont ces personnes qui contrôlent l’accès aux données personnelles », explique M. Popa.

C’est aussi le service des finances qui devra régler les frais associés aux dommages causés par une attaque. Pensons aux frais judiciaires, aux règlements accordés aux clients, aux frais de relations publiques et, depuis novembre, aux amendes (pouvant aller jusqu’à 100 000 $) en cas de non-signalement d’une violation auprès du Commissariat à la protection de la vie privée du Canada.

Rappelons que jusqu’au 1er novembre 2018, les entreprises canadiennes n’avaient pas l’obligation de signaler une brèche de sécurité (et bon nombre ne le faisaient pas). Par conséquent, poursuit M. Popa, elles n’ont pas suffisamment investi dans la protection des données des clients. Mais les choses vont changer désormais : les entreprises devront augmenter le budget consacré à la cybersécurité. [Voir En cybersécurité, il faut penser comme un pirate]

PROTÉGER LES CLIENTS ET L’ENTREPRISE

De l’avis de Claudiu Popa, toute personne ou entreprise qui traite des renseignements confidentiels devrait adopter une méthode d’authentification multifactorielle (ouverture de session exigeant la saisie d’un mot de passe et d’un code envoyé par messagerie texte) et installer les correctifs logiciels sur les systèmes dès leur diffusion.

Les entreprises doivent aussi concevoir un plan d’intervention qui peut être rapidement mis en œuvre lorsqu’une attaque est détectée. Les comptables, en particulier, devraient surveiller les données qu’ils recueillent. Si les chiffres semblent comporter des anomalies, si un client leur signale des achats douteux portés à sa carte de crédit ou si un chef d’entreprise leur mentionne des frais inhabituels sur une facture, ils doivent être prêts à agir. « L’entreprise doit informer ses employés des mesures à prendre s’ils constatent une atteinte à la sécurité des données et décider de la manière dont elle en informera ses clients », explique M. Popa.

Comme le démontre le cas de Marriott, tant qu’Internet existera, il y aura des attaques. Et leur nombre augmentera à mesure que les pirates peaufineront leur art. Pour les dirigeants d’entreprise, de même que les CPA et les chefs des finances, l’inaction n’est pas une option. « Les entreprises doivent mieux se protéger », conclut Claudiu Popa.

FAIRE DE LA CYBERSÉCURITÉ UNE PRIORITÉ

Apprenez-en plus sur le rôle du CPA et sur la cybersécurité grâce à Imran Ahmad, expert en cybersécurité et en protection des renseignements personnels. Et préparez-vous en suivant le cours en classe virtuelle de CPA Canada Comment protéger votre organisation contre les cyberattaques dans le monde numérique actuel.