Prévenir coûte bien moins cher que guérir, affirme un expert en cybersécurité
Les PME font souvent l’objet d’attaques de masse car nombre d’entre elles ne prennent pas les moyens nécessaires pour se protéger, explique Simon Fontaine, président d’ARS Solutions, affaires et technologies. (Getty Images/Sarinya Pinngam/EyeEm)
Difficile de chiffrer les dégâts qu’une attaque informatique peut causer. « Entre l’arrêt complet des activités, une demande de rançon et l’atteinte à la réputation de l’entreprise, les conséquences sont nombreuses », souligne Simon Fontaine, président d’ARS Solutions, affaires et technologies.
Selon une étude d’Accenture Security et du Ponemon Institute menée auprès de 2 600 experts et de 355 grandes entreprises dans 11 pays (dont le Canada), les coûts moyens de la cybercriminalité ont augmenté de 29 % aux États-Unis entre 2017 et 2018, pour atteindre 27,4 M$ US par entreprise. Au Canada, le coût annuel moyen était de 9,25 M$ US en 2018, comparativement à 13 M$ US pour l’ensemble des pays étudiés.
Chose certaine, la menace s’intensifie. « Des attaques de masse visent les PME, car nombre d’entre elles ne prennent pas les moyens nécessaires pour se protéger », explique Simon Fontaine. À titre informatif, on compte près de 1,17 million de PME au Canada. « Les plus vulnérables seront les premières à tomber, et elles ne s’en remettront pas. »
DES VICTIMES DE TOUTES TAILLES
En 2019, autant des entreprises que des villes sont tombées les unes après les autres. Au dernier trimestre de 2019, le paiement moyen pour récupérer ses données a atteint 84 116 $ US, soit deux fois plus qu’au trimestre précédent, selon la société de conseil en sécurité Coveware. En décembre, le montant a culminé à 190 946 $ US, et plusieurs organisations ont fait face à des demandes de rançon de millions de dollars.
En 2016, le coût moyen d’un incident était de 15 000 $ pour les entreprises canadiennes. En 2019, la somme des 4 689 demandes de rançon auprès des entreprises canadiennes a atteint entre 64 989 540 $ US et 259 958 160 $ US. Certaines organisations essaient bien de négocier, mais la GRC déconseille de payer la rançon puisque, une fois celle-ci versée, les pirates sont loin de toujours rétablir l’accès aux données.
« Plus la négociation dure, plus les pirates prennent conscience de leur pouvoir sur l’entreprise, alors il faut faire vite, recommande Simon Fontaine. D’autres organisations pensent être couvertes par leurs assurances, mais rien n’est jamais garanti. »
Le laboratoire pharmaceutique Merck en sait quelque chose. Victime en 2017 du rançongiciel NotPetya, il escomptait un dédommagement total de 1,3 G$ US. Sauf que certains assureurs refusent de payer, considérant l’attaque comme un acte de guerre puisque les États-Unis ont attribué, en partie, la responsabilité de l’offensive à la Russie.
DES ENTREPRISES MAL PRÉPARÉES
« Chaque entreprise devrait remplir une évaluation des menaces et des risques, afin d’identifier les éléments essentiels à la survie de l’entreprise et les moyens requis pour les protéger », conseille Steve Waterhouse, expert en cybersécurité et ancien officier de sécurité informatique au Ministère de la Défense nationale. « Malheureusement, la majorité des petites, moyennes et même grandes entreprises n’ont pas classé les données qu’elles détiennent et essaient d’adopter une recette universelle, sauf qu’en cas de faille au niveau le plus élémentaire, c’est toute l’entreprise qui est alors en péril. »
Autant Simon Fontaine que Steve Waterhouse citent Desjardins, où un employé du marketing a pu dérober sans difficulté les données sensibles de plus de six millions de Canadiens.
Un sondage NOVIPRO-Léger paru en janvier 2020 confirme cette faille : pour de nombreuses entreprises canadiennes, se protéger et assurer la sécurité des données en leur possession n’est pas une priorité. Malgré toutes les attaques survenues en 2019 (37 % des organisations interrogées déclarent avoir été attaquées dans la dernière année, contre 28 % l’année précédente), « moins d’une entreprise sur deux (48 %) a revu cette année ses pratiques en matière de protection de données ».
UN LENT CHANGEMENT DE MENTALITÉ
Ce constat ne surprend pas vraiment Simon Fontaine, qui est d’avis que la responsabilité de la cybersécurité incombe à la direction de l’entreprise.
« Il faut voir ça comme un investissement en gestion du risque, avec un rendement de l’investissement énorme, explique Simon Fontaine. La direction doit aussi conscientiser les employés, et demander aux ressources humaines d’ajouter dans le contrat de travail des clauses relatives à ce qui est permis et ce qui ne l’est pas, et les sanctions éventuelles. »
Steve Waterhouse abonde dans ce sens. « Les employés sont le maillon faible de la sécurité. Ils sont souvent peu au fait des mesures de protection les plus efficaces. » Mais à qui la faute? Par exemple, certaines grandes entreprises utilisent encore Windows 7, que Microsoft a abandonné. D’un autre côté, peu de gens utilisent un gestionnaire de mots de passe, ce qui devrait pourtant être la norme en 2020.
« L’approbation du budget de cybersécurité n’est toujours pas standardisée dans les entreprises, constate Steve Waterhouse. Elle dépend encore souvent d’une personne, comme le responsable de la sécurité des systèmes d’information, qui relève à son tour d’une autre personne, comme le vice-président aux finances ou à l’exploitation, et ainsi de suite. Pourtant, la sécurité informatique devrait être prioritaire, car toute l’entreprise en dépend. »
La solution pour Simon Fontaine? « Prévoir un budget, même réduit au départ, pour la cybersécurité, séparé de celui de l’informatique en général, et l’augmenter d’année en année. C’est le minimum vu les risques. »
Steve Waterhouse, qui enseigne à l’Université de Sherbrooke en sécurité de l’information, volet prévention, encourage les entreprises à faire suivre par leurs employés des TI une formation sur les meilleures pratiques à adopter. « Le coût est élevé, mais ce n’est rien comparativement aux pertes en cas d’attaque, dit-il. L’employeur qui choisit de former son personnel de TI avec des vidéos en ligne payées 500 $ au lieu d’un cours en personne à 5 000 $ prend de gros risques. »
DES SANCTIONS EN VUE?
Les deux spécialistes sont catégoriques : les entreprises ont rarement à l’interne les équipements, les compétences et l’expérience nécessaires pour suivre le rythme des hackers. Ils déplorent d’ailleurs qu’aucune loi semblable au Règlement général sur la protection des données (RGPD) de l’Union européenne n’existe au Canada.
« Des projets de loi sont en cours d’élaboration dans certaines provinces, notamment au Québec, en Colombie-Britannique et en Saskatchewan, mais il n’y a rien au niveau fédéral, explique Steve Waterhouse. On accuse un retard de 20 à 30 ans. » L’amende maximale reste de 100 000 $, bien loin des millions infligés ailleurs. Ainsi, Facebook a été condamnée l’été dernier par un organisme de réglementation américain à payer une amende de 5 G$ US.
Le Canada s’est bien doté, en mai 2019, d’une charte numérique, mais aucune sanction n’est précisée clairement. La mesure a d’ailleurs été vertement critiquée en décembre dernier par le commissaire à la protection de la vie privée du Canada, Daniel Therrien, qui l’a jugée complètement impropre à garantir le respect de la vie privée des citoyens. Pourtant, en 2019, plus de 28 millions de Canadiens ont été touchés par une violation de données, selon un bilan produit par le commissariat.
Le but, insiste Steve Waterhouse, n’est pas tant de « pénaliser financièrement les entreprises touchées que de faire évoluer la culture entrepreneuriale. Les gens n’ont plus le choix de livrer des informations les concernant, alors les entreprises doivent faire nettement mieux pour les protéger ».
Et de faire un calcul rapide : « Si le Canada disposait d’une loi comme le RGPD, le Mouvement Desjardins, vu ses revenus d’exploitation [16 576 M$ en 2018], aurait pu se voir infliger une amende de plus de 600 M$ après la fuite massive de données survenue en 2019. Là, la coopérative a seulement payé 10 000 $. » [Au Québec, la loi prévoit des amendes allant de 10 000 $ à 50 000 $ selon l’infraction; elles sont doublées si une autre violation se produit.]
Une autre société canadienne, LifeLabs, est dans le pétrin depuis que les données de 15 millions de ses clients ont été violées. Trois recours collectifs ont déjà été entamés en Colombie-Britannique, au Yukon et en Ontario. Le plus important vise un dédommagement de 1,13 G$. Cette histoire illustre bien le propos de Steve Waterhouse, qui rappelle que c’est la deuxième fois en six ans que LifeLabs « perd des données » (un disque dur contenant les résultats médicaux de 16 000 patients avait disparu en 2013). « L’entreprise ne semble pas remettre en question ses mauvaises pratiques, et elle n’est pas la seule. »
Selon le sondage NOVIPRO-Léger, « 61 % des organisations canadiennes détiennent des données sensibles sur leur clientèle », mais « moins de la moitié des entreprises s’estiment très bien protégées contre la perte de données (46 %), l’intrusion (44 %) ou les virus (45 %) ». Pire encore, « à peine 38 % des entreprises communiqueraient avec leurs clients en cas de cyberattaque, une baisse notable par rapport à 2018 (49 %) ».
En attendant, de nombreux particuliers en font les frais, rappelle Simon Fontaine. « Les données des membres de Desjardins vont être vendues et revendues de nombreuses fois sur le dark web, jusqu’à ce qu’elles ne valent plus rien. Certaines institutions bancaires refusent déjà ces clients tellement leur profil présente un risque. »
Bref, une fois encore, « prévenir coûte bien moins cher que guérir », conclut Simon Fontaine.
POUR EN SAVOIR PLUS
Ne pas protéger les données qu’elle détient peut avoir de lourdes conséquences pour une entreprise. Voilà une autre bonne raison de se méfier de certaines arnaques qui ont cours en 2020.