Protéger vos actifs numériques

Par Lynne Yryku juin 20, 201820 juin 2018

Protéger vos actifs numériques

 

« Le nombre de personnes qui tentent d’infiltrer les réseaux aujourd’hui est beaucoup plus élevé que ceux qui tentent de prévenir les intrusions. Donc le monde des pirates externes est toujours une longueur d’avance sur celui des gens qui tentent de maintenir l’intégrité du système », dit Stephen Spracklin, conseiller juridique responsable des technologies de l’information et de la propriété intellectuelle à la Ville de Mississauga. « Ce n’est pas une question de si, c’est quand – et comment vous êtes prêts à gérer cette situation. »

« Nous gérons environ 40 à 50 incidents par mois [à travers le Canada] », ajoute Daniel Tobok, PDG de Cytelligence Inc. « Les demandes de rançons ont été un gros problème pour l’industrie dans les 24 derniers mois. Les attaques viennent de toutes parts, en particulier pour les organisations de petite ou moyenne taille, qui sont touchées chaque jour. Et maintenant, le problème avec les demandes de rançons est que les méchants deviennent très sophistiqués. Le méchant moyen passe de 28 à 64 jours au sein d’un réseau avant de le frapper avec une infection. […] Nous venons de gérer le dossier d’une municipalité près de 1000 serveurs ont été mis hors ligne et pour réparer tous ces serveurs, ça peut s’élever à des millions de dollars. »

Ce n’est pas seulement la réparation de serveurs qui peut coûter cher. Selon une étude de 2017 de l’Institut Ponemon, Cost of Data Breach Study, en moyenne le coût total d’une fuite de données au Canada est de 5,78 millions $, ou 255 $ par dossier volé ou perdu, en plus d’une perte de 9 % de la clientèle.

Avec des enjeux aussi élevés, les entreprises canadiennes suivent la situation avec attention. L’étude Global State of our Security Survey 2018 de PricewaterhouseCoopers a conclu que les budgets pour la sécurité avaient augmenté de 73 % en moyenne au Canada. Par contre, malgré cette prise de conscience et ces investissements accrus, la plupart des organisations canadiennes n’évaluent toujours pas activement leurs systèmes de défense, avec seulement la moitié qui mènent des exercices annuels en prévision de cyberattaques. Ceux qui ne s’y préparent pas le font à leurs risques et périls.

Des pirates au chapeau blanc

L’année 2017 a fourni un bon exemple d’à quel point les attaques numériques se sont diversifiées et étendues au point d’en devenir profondément troublantes – souvenez-vous d’Equifax, Yahoo et WannaCry, pour n’en nommer que quelques-unes. La cybersécurité est un enjeu qui devrait être une priorité dans chaque organisation. Par contre, plusieurs peinent à comprendre et à gérer les cyberrisques en émergence.

Réduite à sa plus simple expression, la cybersécurité est une combinaison de matériel et de logiciels qui assurent l’intégrité, la confidentialité et la disponibilité de l’information d’une organisation, ce qui inclut les communications qui peuvent entrer et sortir de cet environnement sécuritaire.

« La cybersécurité n’est pas un produit », explique Catherine Lovrics, associée chez Bereskin & Parr LLP. « C’est un processus qui est itératif et qui est continu. Et comprendre que la cybersécurité est réellement passée d’une fermeture totale à une surveillance et à s’assurer que des systèmes rigoureux sont en vigueur pour identifier – et identifier rapidement – s’il y a des activités anormales. »

« Afin d’avoir un système solide de cybersécurité, vous avez aussi besoin d’un mécanisme de rétroaction qui évalue les forces et les faiblesses et les vulnérabilités du système que vous avez déployées », dit Me Spracklin. « Donc la cybersécurité n’est pas seulement une question de créer l’environnement et d’installer un moyen de détecter et d’incorporer les mesures préventives, c’est aussi les outils avec lesquels vous testez votre système et les paramètres de sécurité. »

Il y a plusieurs types de tests de pénétration que vous pouvez mener. Tester les processus de votre système et les politiques pour les vulnérabilités et les intrusions potentielles est un bon départ et devrait être fait sur une base régulière.

Cependant, les tests de pénétration doivent être plus qu’un tour d’horizon ou une liste de cases à cocher. Le faire de manière appropriée peut nécessiter l’embauche d’un ou de plusieurs pirates informatiques éthiques, ou white hat, pour tenter de contourner les protocoles et méthodologies et de s’introduire dans l’environnement sécuritaire. Cela peut signifier d’avoir recours à des logiciels malveillants pour faire tomber les serveurs en panne ou avoir accès à divers renseignements. Le pirate vous dit ensuite ce qu’il a fait, ce qu’il a été capable de faire et ce que vous devez faire pour y remédier.

« Il y a 20 ans, quand quelqu’un avait besoin d’une réelle vérification de sécurité, ils embauchaient quelqu’un pour faire ce travail de piratage éthique, ou ils le faisaient eux-mêmes », explique M. Tobok. « Les gens ont pris leurs distances parce qu’il y avait une conception que c’était trop cher, mais aussi une partie du problème est que la communauté de vendeurs a réalisé qu’il n’y avait qu’une poignée de gens assez intelligents pour faire ce type de travail, donc on ne peut s’y fier; on doit le transformer en marchandise. »

« Le piratage éthique fait partie de la solution/prévention », dit Christine Holmes, directrice régionale chez AlertEnterprise et ancienne conseillère juridique d’entreprise. « C’est une partie importante du casse-tête, de la liste de choses que vous devriez faire. »

Me Spracklin ajoute une mise en garde en ce qui concerne les tests de pénétration : « Vous devriez vous assurer que vous avez la propriété intellectuelle du contenu des rapports. L’une des choses qui sont âprement contestées est la capacité de la tierce partie d’utiliser ces données concernant les vulnérabilités de votre système pour d’autres engagements. »

Ça prend un village

Il est par contre impossible de créer une forteresse numérique sans engagement à tous les niveaux, et une coopération entre toutes les unités d’affaires. Les hauts dirigeants doivent prendre la responsabilité de la cybersécurité et l’intégrer dans les opérations, mais la formation de tous les employés est aussi importante.

« C’est le facteur humain qui fait toute la différence dans toutes ces intrusions parce que 50 % commencent par de l’hameçonnage, explique M. Tobok. Les gens cliquent sur des choses sur lesquels ils ne doivent pas cliquer et leurs accréditations sont compromises. »

« Ce n’est pas seulement la haute direction et votre département des TI qui doivent s’engager au niveau de la cybersécurité; c’est toute l’organisation », ajoute Me Lovrics.

Les organisations doivent créer une culture de gestion des risques numériques, et c’est là que le département juridique a un rôle à jouer.

Le rôle du conseiller juridique interne

« Je crois que ça revient vraiment au rôle clé de l’équipe juridique, qui est de gérer le risque », dit Yasmin Visram, conseiller juridique directeur chez Industrielle Alliance, Assurance et services financiers inc. « Et je ne crois pas que vous pouvez gérer le risque de manière efficace si vous ne comprenez pas le risque. Donc je pense que [la relation entre le juridique et les TI] est un dialogue important. »

Il est crucial que le conseiller juridique interne prenne part aux discussions. Il doit mieux comprendre le terrain des TI, où les données sont conservées, comment elles sont protégées et quel est le plan de gestion de crise si les choses tournent mal.

Avec leur point de vue sur toute l’organisation, les conseillers juridiques internes sont bien positionnés pour faire les liens et tirer des conclusions qui s’imposent. Utilisez votre position de manière stratégique. Parlez aux gens des unités d’affaire et aux gens à travers l’organisation, en particulier aux TI, parce que vous apportez une perspective différente. Saisissez l’occasion pour à la fois apprendre et éduquer.

« Pendant une crise, ce sont ces conseils et ce travail en amont qui seront d’une importance critique pour la haute direction », souligne Me Visram.

Menez la charge

Des fuites massives de données et la collecte constante de renseignements personnels peuplent les manchettes et les ordres du jour des conseils d’administration. « Préparer l’organisation au fait que vous pourriez être la cible d’une fuite à l’avenir et préparer les systèmes et les sécuriser et faire des choses comme [du piratage éthique] de manière proactive, dit M. Tobok, c’est absolument ce qui fera une grande différence si vous devenez une victime. »

Même sans expérience dans les TI, les conseillers juridiques internes peuvent jouer un rôle vraiment très important s'ils prennent le temps de bâtir leur expertise et de se préparer. Si vous attendez qu'une attaque se produise, il sera trop tard.

« Si vous êtes quelqu’un qui demande : “Quel est notre plan par rapport au risque? Qu’avons-nous en vigueur du point de vue de la sécurité? Comment abordons-nous cette question, afin que j’aie une certaine compréhension?” souligne Christine Holmes, cela démontrera que vous n’êtes pas juste un poste de dépenses. Vous êtes activement impliqué en tant que partie prenante de l’entreprise, et vous apportez une plus-value. »

Cet article a paru dans le numéro d’été 2018 du Magazine ACCJE.

Catégories:
Comments
No comments


Leave message



 
 Security code