Soyez prêts à faire face à une cyberattaque

Publié le 03/01/2022 à 13:47

Soyez prêts à faire face à une cyberattaque

Publié le 03/01/2022 à 13:47

(Photo: Sigmund pour Unsplash)

BLOGUE INVITÉ. Il y a quelques semaines, une des plus dangereuses brèches de sécurité des dernières années forçait le gouvernement québécois à suspendre près de 4 000 sites web potentiellement vulnérables.

Selon le Centre canadien pour la cybersécurité, les attaques par rançongiciel ont augmenté de 151 % au cours du premier semestre de 2021 par rapport à l’année précédente. Le nombre de demandes de rançons et le nombre des paiements atteignent également des niveaux inégalés. 

Monde interconnecté, virage numérique, commerce électronique, information nuagique, télétravail… Les conditions sont réunies pour que ces tendances poursuivent leur ascension. Dans ce contexte, la cybersécurité doit être une préoccupation des équipes de direction et des administrateurs. 

C’était d’ailleurs le message de Geneviève Fortier, cheffe de la direction de Promutuel, Dominique Jaar, associé chez KPMG et Mason Poplaw, associé chez McCarthy Tétrault lors d’un récent événement organisé par l’Institut des administrateurs de sociétés.

 

Prévenir

Selon Geneviève Fortier, en cas de cyberincident, vaut mieux être préparé. Elle en sait quelque chose, elle dont l’entreprise a été victime en 2020 d’un incident de sécurité perpétré par un tiers externe non autorisé.

Ainsi, les entreprises devraient adopter un cyberplan qui prévoit la marche à suivre en cas de cyberincident. 

 

1. Relevez les données et les actifs susceptibles d’être attrayants pour les cyberpirates ou essentiels à la conduite des activités. Déterminez comment vous pourriez poursuivre vos activités si ces actifs étaient compromis ou hors d’usage pendant quelques heures ou… quelques semaines.

2. Établissez des critères vous permettant de décider si un incident déclenche ou non votre processus de réponse à une cyberattaque. Adaptez vos actions selon la nature et la gravité de l’incident. 

3. Définissez les rôles et responsabilités des membres de la cellule de crise. Les panélistes étaient unanimes : les compétences techniques nécessaires pour mener l’enquête interne ou résoudre la situation diffèrent des compétences requises pour prendre des décisions rapides avec un certain détachement. Ainsi, votre équipe de techniciens informatiques n’est peut-être pas la mieux placée pour diriger la cellule de crise, même si elle en est une composante essentielle. 

4. Prévoyez une délégation d’autorités plus importante en temps de crise ; la direction aura besoin d’avoir les coudées franches et pourrait devoir engager rapidement des fonds.

5. Songez aux moyens de communication en cas d’attaque. Vos courriels pourraient être surveillés ou inaccessibles si des pirates contrôlaient vos systèmes. Dominique Jaar constate que plusieurs organisations mettent en place des systèmes de communications parallèles afin d’être à pied d’œuvre en cas de cyberincident.

6. Si votre entreprise n’a pas souscrit à une assurance cyberrisques, voyez-y. Si votre entreprise détient une telle police, assurez-vous que celle-ci est adéquate pour vos besoins. 

7. Quant aux experts et autres professionnels préidentifiés par les assureurs, contactez-les d’avance afin de bâtir votre capital confiance. En pleine crise, vous voudrez vous concentrer sur la brèche plutôt que de négocier les modalités de votre collaboration. Par ailleurs, leurs honoraires sont moins dispendieux en mode préventif que lorsque la crise éclate. 

8. Finalement, testez votre cyberplan ! Selon Dominique Jaar, il faut l’expérimenter pour en déceler les failles. Faites une simulation. Celle-ci peut être planifiée ou surprise, pour voir comment tout un chacun réagit.

 

Gérer

Lorsque la crise survient, ne tardez pas à déclencher votre cyberplan de match, à mettre en place votre cellule de crise et à aviser les assureurs, les conseillers juridiques et le conseil d’administration (CA).

Quoi faire si les cyberpirates exigent une rançon ? Confiez la négociation à des experts ! Votre stratégie de négociation pourrait vous permettre de gagner un temps précieux afin de déterminer l’étendue des dommages. Ainsi, peut-être pourrez-vous éviter de payer une rançon ou, au contraire, réaliser que la survie de l’entreprise en dépend.

Misez sur les communications. Il faut déterminer les messages et les publics à qui ils sont destinés tout en prenant en compte des risques réputationnels et juridiques. Tout est une question d’équilibre.

 

Rebondir

Après la crise, prenez le temps de réaliser un bilan. Assurez-vous que les constats et les recommandations ne restent pas lettre morte.

 

Et le CA dans tout ça ?

Pour le CA, la transparence est de mise. Les administrateurs doivent avoir confiance que la direction possède tous les outils pour gérer le cyberincident adéquatement. S’il est rare que tout soit maîtrisé au moment du déclenchement de la crise, le CA veut s’assurer que la direction ne spéculera pas sur des informations ou des solutions, que les décisions seront basées sur des faits validés et vérifiés et qu’elle sera entourée d’experts compétents. Mason Poplaw suggère d’organiser une rencontre entre les membres de l’équipe d’intervention et le CA afin de bâtir un climat de confiance. Informez votre CA de façon régulière des développements. 

Nous ne souhaitons à personne d’être victime d’une cyberattaque. Toutefois, la preuve est faite qu’en cas de cyberincident la préparation fait toute la différence. Soyez avertis !

 

Il y a quelques semaines, une des plus dangereuses brèches de sécurité des dernières années forçait le gouvernement québécois à suspendre près de 4 000 sites web potentiellement vulnérables.
Selon le Centre canadien pour la cybersécurité, les attaques par rançongiciel ont augmenté de 151 % au cours du premier semestre de 2021 par rapport à l’année précédente. Le nombre de demandes de rançons et le nombre des paiements atteignent également des niveaux inégalés. 
Monde interconnecté, virage numérique, commerce électronique, information nuagique, télétravail… Les conditions sont réunies pour que ces tendances poursuivent leur ascension. Dans ce contexte, la cybersécurité doit être une préoccupation des équipes de direction et des administrateurs. 
C’était d’ailleurs le message de Geneviève Fortier, cheffe de la direction de Promutuel, Dominique Jaar, associé chez KPMG et Mason Poplaw, associé chez McCarthy Tétrault lors d’un récent événement organisé par l’Institut des administrateurs de sociétés.
Prévenir
Selon Geneviève Fortier, en cas de cyberincident, vaut mieux être préparé. Elle en sait quelque chose, elle dont l’entreprise a été victime en 2020 d’un incident de sécurité perpétré par un tiers externe non autorisé.
Ainsi, les entreprises devraient adopter un cyberplan qui prévoit la marche à suivre en cas de cyberincident. 
1. Relevez les données et les actifs susceptibles d’être attrayants pour les cyberpirates ou essentiels à la conduite des activités. Déterminez comment vous pourriez poursuivre vos activités si ces actifs étaient compromis ou hors d’usage pendant quelques heures ou… quelques semaines.
2. Établissez des critères vous permettant de décider si un incident déclenche ou non votre processus de réponse à une cyberattaque. Adaptez vos actions selon la nature et la gravité de l’incident. 
3. Définissez les rôles et responsabilités des membres de la cellule de crise. Les panélistes étaient unanimes : les compétences techniques nécessaires pour mener l’enquête interne ou résoudre la situation diffèrent des compétences requises pour prendre des décisions rapides avec un certain détachement. Ainsi, votre équipe de techniciens informatiques n’est peut-être pas la mieux placée pour diriger la cellule de crise, même si elle en est une composante essentielle. 
4. Prévoyez une délégation d’autorités plus importante en temps de crise ; la direction aura besoin d’avoir les coudées franches et pourrait devoir engager rapidement des fonds.
5. Songez aux moyens de communication en cas d’attaque. Vos courriels pourraient être surveillés ou inaccessibles si des pirates contrôlaient vos systèmes. Dominique Jaar constate que plusieurs organisations mettent en place des systèmes de communications parallèles afin d’être à pied d’œuvre en cas de cyberincident.
6. Si votre entreprise n’a pas souscrit à une assurance cyberrisques, voyez-y. Si votre entreprise détient une telle police, assurez-vous que celle-ci est adéquate pour vos besoins. 
7. Quant aux experts et autres professionnels préidentifiés par les assureurs, contactez-les d’avance afin de bâtir votre capital confiance. En pleine crise, vous voudrez vous concentrer sur la brèche plutôt que de négocier les modalités de votre collaboration. Par ailleurs, leurs honoraires sont moins dispendieux en mode préventif que lorsque la crise éclate. 
8. Finalement, testez votre cyberplan ! Selon Dominique Jaar, il faut l’expérimenter pour en déceler les failles. Faites une simulation. Celle-ci peut être planifiée ou surprise, pour voir comment tout un chacun réagit.
Gérer
Lorsque la crise survient, ne tardez pas à déclencher votre cyberplan de match, à mettre en place votre cellule de crise et à aviser les assureurs, les conseillers juridiques et le conseil d’administration (CA).
Quoi faire si les cyberpirates exigent une rançon ? Confiez la négociation à des experts ! Votre stratégie de négociation pourrait vous permettre de gagner un temps précieux afin de déterminer l’étendue des dommages. Ainsi, peut-être pourrez-vous éviter de payer une rançon ou, au contraire, réaliser que la survie de l’entreprise en dépend.
Misez sur les communications. Il faut déterminer les messages et les publics à qui ils sont destinés tout en prenant en compte des risques réputationnels et juridiques. Tout est une question d’équilibre.
Rebondir
Après la crise, prenez le temps de réaliser un bilan. Assurez-vous que les constats et les recommandations ne restent pas lettre morte.
Et le CA dans tout ça ?
Pour le CA, la transparence est de mise. Les administrateurs doivent avoir confiance que la direction possède tous les outils pour gérer le cyberincident adéquatement. S’il est rare que tout soit maîtrisé au moment du déclenchement de la crise, le CA veut s’assurer que la direction ne spéculera pas sur des informations ou des solutions, que les décisions seront basées sur des faits validés et vérifiés et qu’elle sera entourée d’experts compétents. Mason Poplaw suggère d’organiser une rencontre entre les membres de l’équipe d’intervention et le CA afin de bâtir un climat de confiance. Informez votre CA de façon régulière des développements. 
Nous ne souhaitons à personne d’être victime d’une cyberattaque. Toutefois, la preuve est faite qu’en cas de cyberincident la préparation fait toute la différence. Soyez avertis !

 

À propos de ce blogue

Dans ce blogue, Sophie-Emmanuelle Chebin, présidente de la firme Arsenal Conseils, expose comment la stratégie et la gouvernance influencent et transforment les organisations, leurs gestionnaires et leurs conseils d’administration. Elle se donne pour mission de naviguer à travers la complexité de manière à stimuler les réflexions nécessaires permettant aux organisations de s’adapter à leur environnement changeant, mais également d’assurer leur pérennité. En défrichant divers «jeux de sociétés», elle s’intéresse aux enjeux, aux opportunités et à la performance afin d’outiller concrètement les dirigeants et leurs équipes.

Sophie-Emmanuelle Chebin
Sujets liés

Gouvernance , Stratégies

Sur le même sujet

Responsable de la protection des renseignements personnels: un pour tous, tous contraints

COURRIER DES LECTEURS. Qui assume ce rôle de responsable de la protection des renseignements personnels chez vous?

Incidents de confidentialité: une règle de trois avant de signaler

COURRIER DES LECTEURS. Informer plus, informer mieux: c’est donc là tout l’objectif de la nouvelle loi.

Blogues similaires

On exige plus des administrateurs des OSBL en philanthropie

22/12/2020 | Jean-Paul Gagné

BLOGUE. Cette responsabilité est encore plus cruciale et exigeante pour les organismes oeuvrant en philanthropie.

La polarisation devient un risque d’affaires au Canada

05/02/2022 |

ANALYSE. La pandémie n'a pas créé cette polarisation; elle a plutôt été un facteur aggravant de tendances.

Si j'étais en campagne électorale!

27/09/2022 | Nicolas Duvernois

BLOGUE INVITÉ. À moins d’une semaine du jour J, voici les trois enjeux sur lesquels j’aurais choisi de faire campagne.