Près du quart des PME canadiennes ont été la cible d'une cyberattaque depuis mars 2020.

TRANSFORMATION NUMÉRIQUE. Des entreprises qui basculent en télétravail sans avoir le temps de sécuriser leurs accès VPN (réseau privé virtuel). Des employés contraints d’utiliser un ordinateur personnel mal configuré. Un fort volume de courriels multipliant les chances qu’un employé en télétravail clique par mégarde sur un logiciel malveillant… La pandémie aura été un véritable buffet à volonté pour les cyberpirates.

Depuis mars 2020, près d’un quart des PME canadiennes ont été la cible d’une cyberattaque et 5 % en ont subi des dommages, selon un sondage mené par la Fédération canadienne de l’entreprise indépendante publié en février.

Le chercheur en cybersécurité Bertrand Milot n’y va pas par quatre chemins pour illustrer la menace qui pèse aujourd’hui sur les entreprises. «La seule raison pour laquelle votre entreprise n’a pas encore été attaquée, ce n’est pas que vous êtes bien protégé ou que vous avez de la chance, c’est uniquement le fait que les cybercriminels ont un problème de capacité. Ils n’arrivent pas à attaquer tout le monde», a fait valoir le fondateur de la firme de cybersécurité Bradley & Rollins dans le cadre de la conférence Sécurité de l’information en temps de COVID organisée par les Événements Les Affaires le 16 mars dernier.

Pour aggraver le problème, les cybercriminels sont de mieux en mieux organisés. Des développeurs malveillants vendent désormais des rançongiciels (ransomwares) à des groupes criminels selon une formule «logiciel en tant que service» (SaaS). Certains poussent l’audace jusqu’à créer un site web et à offrir du soutien technique. «Ça permet d’avoir des groupuscules cybercriminels beaucoup plus petits, beaucoup plus mobiles et, donc, moins détectables», a expliqué Bertrand Milot.

Malheureusement, les dirigeants sondés en septembre et en octobre derniers par Léger dans le cadre du portrait 2021 des TI dans les grandes et moyennes entreprises canadiennes de Novipro ne semblent pas conscients du risque. La proportion d’entre eux qui planifient investir dans des solutions de cybersécurité au cours des deux prochaines années a fondu de 42 % en 2019 à seulement 25 % en 2020. Ce qui n’a rien de rassurant, considérant que les logiciels malicieux sont aujourd’hui «plus nombreux» (selon une étude de l’institut de sécurité allemand TI AV-Test) et «plus sophistiqués» (selon le 2020 Webroot Threat Report) que jamais.

L’importance de la stratégie de sauvegarde

Parmi les menaces montantes, les rançongiciels font de plus en plus de ravages. Les pirates les déploient sur des serveurs d’entreprises afin de chiffrer les fichiers qu’ils contiennent — et qui deviennent soudainement impossible à ouvrir. Ils demandent ensuite une rançon en échange des données. Il est habituellement déconseillé de payer la somme demandée.

La Société de transport de Montréal (STM) a subi une attaque du genre en octobre dernier. Des cyberpirates ont utilisé une version «hautement sophistiquée» du virus RansomExx pour chiffrer 1000 de ses 1600 serveurs et ont demandé 2,8 millions de dollars américains pour récupérer les données. La STM a refusé de payer, préférant «rétablir» ses serveurs. «Aucune donnée n’a été volée [et] les services de bus et de métro n’ont jamais été affectés par l’attaque», a-t-elle précisé dans un communiqué.

«Pour avoir la liberté de prendre cette décision-là, il faut reposer sur une bonne stratégie de sauvegarde et être certain qu’on a tout le nécessaire pour relever l’organisation [relancer ses systèmes informatiques]», fait remarquer Louis-Philippe Desjardins, qui était à l’époque chef de la sécurité de l’information à la STM.

Salué pour sa gestion de crise, ce dernier est aujourd’hui directeur principal en cybersécurité de la firme Deloitte. Il a prodigué des conseils aux entrepreneurs dans le cadre de la conférence des Événements Les Affaires sur la cybersécurité.

Louis-Philippe Desjardins a ainsi rappelé l’importance de faire des copies de sûreté incrémentales sur plusieurs mois — dont une complètement isolée du reste du réseau — et de faire des simulations de cyberattaques à grande échelle. Sans oublier de bâtir un plan de communication avec les employés, les partenaires, les fournisseurs et, si nécessaire, les médias.

Au-delà des plans et des processus, le spécialiste a posé une question fondamentale pour chaque dirigeant et responsable de cybersécurité:l’entreprise est-elle réellement prête à réagir à une cyberattaque ? «Être prêt, précise-t-il, ce n’est pas quelque chose qui se teste une fois par année. C’est une culture, des processus et des manières de travailler que l’on doit inculquer à nos équipes. Et ça doit être fait en continu.»