Gérer une cybercrise : Guide de préparation en cas de sinistre informatique

Mois de la cybersécurité, Octobre 2017

Une cybercrise constitue un sinistre sans précédent. La résolution de ce type d’incidents requiert des procédures et des processus d’atténuation mûrement réfléchis, sinon les conséquences peuvent être graves.

Quel que soit le mode privilégié par les pirates informatiques, l’ingénierie sociale (hameçonnage, courriels malveillants, appels téléphoniques ou entrée sur les lieux physiques) ou les faiblesses de l’infrastructure (piratage, attaques par injections SQL ou exploitation de la vulnérabilité), ces derniers tentent sans cesse d’infiltrer les réseaux jusqu’à ce qu’ils y arrivent. Une fois dans le système, ils amorcent le processus d’infiltration. Ils récupèrent les renseignements d’identification personnels, les numéros de carte de crédit, les adresses courriel et d’autres renseignements pertinents, qui sont souvent confidentiels, et en font ce qu’ils veulent.

Faits (inquiétants) à noter concernant des données qui ont été compromises en 2016[1] : 

  • 3 776 738 dossiers sont perdus ou volés chaque jour, ce qui se traduit par :
  • 157 364 dossiers à l’heure;
  • 44 dossiers à la seconde.

Imaginez, pendant que vous lisiez l’article jusqu’à cette phrase, plus de 100 dossiers ont déjà été compromis. Selon un rapport publié par Gemalto, près de 68 % des incidents en matière d’atteinte à la sécurité sont perpétrés par un tiers malveillant. L’analyse des incidents par type a permis de démontrer que 59 % de ces derniers sont liés aux vols d’identité; 18 % à l’accès aux données financières; 11 % à l’accès aux comptes bancaires; 4 % à la recherche de données existentielles; et vous ne le croirez pas, mais 8 % des incidents ont pour seul but de « nuire » aux activités. Alors que 28 % des incidents visent le secteur des soins de santé, d’autres secteurs tels que le gouvernement, le commerce de détail, les finances, les technologies et l’éducation sont tout aussi à risque d’être victimes d’une cyberattaque, leurs statistiques ciblées variant entre 9 et 15 %. Peu importe le motif ou la méthode, les incidents en matière d’atteinte à la protection des données ou à la sécurité peuvent frapper n’importe quelle entreprise, n’importe où, n’importe quand.

Les statistiques concernant ce genre d’incident sont déconcertantes, et les entreprises canadiennes doivent dépenser de plus en plus d’argent pour atténuer ou résoudre les attaques criminelles ou malveillantes. Après avoir comparé les coûts associés à la détection et aux conséquences de ces incidents dans 12 pays similaires, force est de constater que c’est au Canada qu’ils sont les plus élevés.

L’outil du jour – ou du moins celui qui fait les manchettes ces temps-ci – semble être le rançongiciel (un logiciel malveillant utilisé pour infiltrer un système et tenant les fichiers en otage en échange d’une certaine somme d’argent). D’après différentes sources, les rançongiciels infectent 5 700 ordinateurs par jour et, en 2016, les coûts liés aux attaques par rançongiciel s’élevaient approximativement à 1 milliard de dollars. L’an dernier, 62 % de l’ensemble des pourriels contenaient un logiciel de rançon. Les statistiques européennes sur les réclamations liées aux cyberattaques, publiées par AIG, indiquent que l’extorsion par rançongiciel est l’une des sources de pertes de données cybernétiques qui connaît la plus forte croissance, représentant 16 % des réclamations de 2013 à 2016. La solution peut sembler simple, mais selon un sondage mené par Spiceworks, moins de la moitié des PME victimes d’une attaque par rançongiciel qui ont versé les sommes demandées n’ont jamais récupéré leurs données.

Anticiper une cybercrise

Le vieil adage est vrai : mieux vaut prévenir que guérir. Que pouvez-vous faire aujourd’hui pour vous prémunir, vous et votre entreprise, contre les incidents susceptibles de se produire ultérieurement? La solution se résume en un seul mot : simulations. Les simulations peuvent se révéler compliquées et, bien entendu, vous devrez y consacrer du temps et peut-être même de l’argent. Mais aimez-vous mieux vous exercer dans le cadre d’une situation fictive à faible coût ou faire face à une véritable situation mettant en jeu des heures réelles, votre argent et votre réputation, sans vous être exercé?

Nous ne soulignerons jamais assez l’importance de « simuler » ce genre de situations. Ces exercices vous permettent d’avoir une idée des réactions des membres de votre équipe, du type de message dont vous aurez besoin si les journalistes se manifestent et des joueurs qui joueront un rôle clé le moment venu (votre équipe des TI peut-elle s’occuper seule de cette situation?). À quel moment devez-vous faire appel à votre conseil de direction? Qu’en est-il des membres du conseil d’administration et des employés?)

Mettez à jour votre plan de gestion de crise (ou créez-le, si ce n’est pas déjà fait!)

Assurez-vous de choisir les meilleurs intervenants pour siéger à la table. Intégrez la gestion des cybercrises dans vos processus organisationnels et élaborez des scénarios de crises cybernétiques qui mettent au défi les modèles culturel, organisationnel et opérationnel actuellement en place. À partir de là, suivez les étapes suivantes :

  • Identifiez et officialisez les rôles et les responsabilités de tous les intervenants du processus de gestion de crise.
  • Mettez en place des « bases de connaissances communes ou par groupes » interentreprises et intraentreprises afin d’améliorer la réponse en matière de sécurité et documentez-les.
  • Mettez à jour les plans tels les processus de gestion des incidents informatiques et les plans de continuité et de relève.

Protégez vos données : faites des sauvegardes!

En utilisant des rançongiciels, les pirates informatiques misent sur le fait que vous n’avez pas d’autres moyens d’accéder à vos données et que, dans cette optique, vous payerez la rançon. Prouvez-leur qu’ils ont tort en effectuant des sauvegardes hors connexion. En fait, nous vous recommandons de conserver trois copies de vos données, une copie originale et deux copies de sauvegarde. Conservez une copie de vos données sur au moins deux types de supports de stockage différents (disques locaux ou réseaux partagés) et une copie hors connexion (c.-à-d. sur une plateforme nuagique).

Nous vous recommandons également de faire appel à des experts afin d’exécuter des exercices d’évaluation des répercussions, lesquels permettent d’obtenir une analyse objective de vos pratiques et de relever les secteurs où vous êtes le plus vulnérable. Voici d’autres moyens utiles pour protéger vos données : 

  1. Limitez l’accès au système afin de réduire les possibilités d’infiltration par le rançongiciel.
  2. Filtrez les courriels afin de dépister les messages malveillants et utilisez un logiciel conçu pour supprimer ces menaces de façon sécuritaire.
  3. Donnez uniquement accès à quelques sites Web ou applications, connus pour être sûrs.
  4. Utilisez des mots de passe dynamiques et des facteurs multiples d’authentification.
  5. Mettez en place des points de contrôle pour repérer les cybercrises le plus tôt possible.
  6. Mettez à jour vos systèmes d’exploitation et votre équipement; les appareils vieillissants sont plus vulnérables. N’oubliez pas, tout appareil considéré comme « intelligent » doit être à jour et protégé. 

Il est déjà trop tard, vous avez été touché!

Que faire maintenant? La situation pourrait se révéler compliquée si vous n’avez pas mis en place une stratégie adéquate. Bien qu’il ne s’agisse pas d’une solution ou d’une approche universelle, nous recommandons généralement de suivre les étapes suivantes : 

  1. Ne versez pas la rançon. Souvenez-vous que vous ne connaissez pas la pleine mesure du pouvoir du logiciel malveillant.
  2. Identifiez l’appareil qui a été infecté à l’origine.
  3. Déconnectez cet appareil du réseau immédiatement.
  4. Avertissez les experts afin de découvrir et de contrôler les dommages.
  5. Déterminez les répercussions sur vos fichiers.
  6. Vérifiez la disponibilité et l’intégrité des copies de sauvegarde.
  7. Restaurez uniquement le strict minimum.
  8. Conservez une copie des fichiers codés et des renseignements connexes sur un support externe doté d’une étiquette indiquant le mot « DANGER ».

Malheureusement, gardez en tête que le cybercrime n’est pas sur le point de disparaître. Soyez vigilant et soyez prêt. Tout comme vous ne laisseriez jamais la porte de votre bureau ou de votre usine grande ouverte, assurez-vous de soumettre vos actifs non matériels au même contrôle diligent. La cyberliquidation est un risque très réel.

Comment pouvons-nous aider

Nous croyons qu’il est plus efficace d’offrir à nos clients des occasions d’améliorer leurs propres compétences et de s’exercer de façon autonome plutôt que de gérer les réponses à leur place, s’ils ont été épargnés jusqu’ici. Mais un tel savoir-faire s’acquiert tout d’abord avec la pratique et l’apprentissage des étapes et des stratégies adéquates. Nos professionnels en matière de cybersécurité peuvent travailler avec vous afin de tester la réactivité de votre équipe dans le cadre de différents scénarios et organiser des exercices de simulation dans l’ensemble de l’entreprise, ou avec les membres de votre conseil d’administration, vos collègues ou votre équipe principale. Habituellement, les simulations comprennent une rencontre de démarrage, des ateliers qui durent une ou deux journées, une analyse rétrospective et une mise à jour de la documentation. Il est beaucoup plus facile d’améliorer votre documentation concernant les cybercrises lorsque la simulation a eu lieu. En conclusion, un investissement de quelques heures pourrait vous permettre de sauver l’avenir tout entier de votre entreprise.  



[1] « 2016 Mining for Database Gold: Findings from the 2016 Breach Level Index ». Gemalto. 2016 

Experts