Détecter, répondre et rétablir
La cybersécurité n’est pas un jeu.
Article paru initialement dans le magazine Canadian Gaming Business.
Nous sommes en 2017. Tout le monde devrait savoir maintenant qu’aucune industrie, qu’aucun organisme gouvernemental ou qu’aucun établissement n’est à l’abri des cyberattaques. Différentes formes d’attaques (les logiciels malveillants, les rançongiciels, les déversements de données, le piratage et l’hameçonnage) contribuent à façonner l’univers des menaces qui guettent les casinos, les fournisseurs de jeux en ligne et les loteries. Un univers qui est aussi vaste que complexe. IBM a déclaré que les menaces de type rançongiciel avaient augmenté de 6 000 % en 2016[1]. Cette augmentation substantielle sur le plan de la fréquence a de quoi faire peur à elle seule, mais lorsqu’elle s’applique à une industrie valant des centaines de milliards de dollars, comme l’industrie du jeu, il est facile de comprendre pourquoi de tels crimes attirent les pirates informatiques et constituent une énorme menace pour les exploitants d’entreprises.
Bien que les menaces énumérées plus haut ne soient pas propres à un secteur d’activité en particulier, il existe des types de menaces qui visent précisément certains aspects de l’industrie du jeu. S’il est évident que la protection des machines à sous et des systèmes de surveillance représente une priorité pour les casinos, d’autres zones sont exposées au piratage, tels les magasins, les hôtels et les restaurants que l’on retrouve souvent dans les casinos. En matière de loterie, les terminaux de distribution de billets peuvent être ciblés par un logiciel malveillant ou un rançongiciel qui les rendent inutilisables. Il est même possible que des pirates informatiques tentent de voler les algorithmes des billets à gratter. Au chapitre des jeux en ligne, ce sont les numéros de carte de crédit et les autres renseignements personnels que les clients fournissent lorsqu’ils ouvrent un compte ou font un paiement qui sont le plus convoités par les pirates informatiques.
Les professionnels dans le domaine de la cybersécurité répètent à tout vent que les mesures de sécurité de base peuvent contribuer à prévenir les attaques ou, à tout le moins, à réduire les conséquences d’une attaque s’il en est. Ces mesures de sécurité de base comprennent l’établissement d’un programme de sécurité, la mise en œuvre d’un processus de gestion du risque, l’identification des actifs qui doivent être protégés, et la mise en place et le maintien de paramètres de sécurité sur les systèmes, de processus efficaces de sauvegarde et de récupération des données, de contrôles appropriés à l’égard des logiciels malveillants aux points terminaux (portables, ordinateurs de bureau, serveurs) ainsi que de contrôles de sécurité efficaces aux périmètres du réseau. Le facteur humain constitue également un élément de vulnérabilité qui est souvent négligé. Une formation sur la sensibilisation à la sécurité permettant aux employés d’identifier les activités douteuses et d’en faire état est primordiale sur le plan de la sécurité.
Toutes les mesures de protection n’ont pas la même efficacité, et il n’existe pas de solution miracle pour prévenir les attaques. Chaque jour, les pirates deviennent plus avertis. Les mesures de sécurité avant-gardistes d’aujourd’hui pourraient très bien être contournées demain. Afin d’être munies d’une protection additionnelle, plusieurs entreprises se procurent une cyberassurance, mais est-ce suffisant pour protéger l’ensemble de l’entreprise? Bien qu’une telle mesure puisse contribuer à réduire l’incidence financière d’une cyberinfraction, elle ne réprime pas forcément les atteintes à la réputation ou la perte de confiance des consommateurs qui découle d’une infraction. Ces deux facteurs ne peuvent être quantifiés, mais ils sont extrêmement importants pour toutes les entreprises.
Avant qu’il ne soit trop tard…
D’abord et avant tout, le respect des meilleures pratiques et des meilleurs cadres devrait aller de soi. Le cadre de cybersécurité de la National Institute of Standards and Technology (NIST) est l’une des ressources utiles. On retrouve également des mesures de protection propres à l’industrie du jeu. La World Lottery Association a élaboré des normes de contrôle de sécurité fondées sur lSO 27001. L’association fournit un cadre de contrôles précisément pour l’industrie de la loterie, et les exploitants de ce milieu peuvent en obtenir la certification. Bien qu’il ne s’agisse que de deux exemples de mesures, nous vous recommandons d’en adopter au moins une ou d’appliquer un cadre similaire afin de vous tenir informé des dernières tendances et menaces. Qui plus est, vous montrerez au conseil d’administration, au personnel et aux clients que vous prenez la sécurité des renseignements au sérieux.
Pour faire un pas de plus en mesure de prévention, consultez des professionnels afin de vous assurer que vos activités ne font pas que répondent aux exigences, mais les dépassent. Par exemple, un examen de conformité légale effectué par des professionnels ayant une expertise sectorielle peut vous aider à examiner vos politiques, vos contrats et vos ententes sur les niveaux de service conclus avec des tiers. Nous vous recommandons fortement de procéder à l’examen du processus de sécurité et de la technologie afin de faire en sorte que vos processus de sécurité, vos systèmes, votre architecture de réseau et vos éléments de stockage des données répondent aux meilleures pratiques et aux normes réglementaires de l’industrie.
Nous avons pu constater récemment que même les infrastructures les plus sophistiquées ne sont pas à l’abri des attaques. L’étendue des dommages, par contre, est souvent tributaire de la façon dont la menace initiale a été traitée. Il est dans notre nature de paniquer ou de succomber à la menace (ce qui explique en grande partie pourquoi le rançongiciel est devenu un outil aussi efficace pour les pirates informatiques). L’élaboration d’un processus de gestion des incidents ou d’un plan d’intervention en cas de violation est importante afin que tous les intervenants restent calmes et concentrés sur l’incident. De tels plans peuvent servir de guide sur la façon de traiter les incidents de sécurité sans perdre la tête dans le processus. À l’instar des plans de communication ou des plans stratégiques, les plans d’intervention en cas de violation doivent être élaborés et testés au préalable. Ainsi, ils peuvent être soigneusement élaborés. De plus, les groupes d’intervenants concernés sont pris en considération et peuvent prendre part au processus.
Détecter. Répondre. Rétablir.
Alors que « réduire, réutiliser et recycler » est le mantra des mesures environnementales, « détecter, répondre et rétablir » devrait être le slogan lorsqu’il est question des incidents de cybersécurité. Vous devriez être à l’affût de nombreux signes lorsqu’il s’agit de cyberattaques, notamment :
- les signes évidents: lorsqu’une fenêtre de rançongiciel apparaît sur un système infecté indiquant que les fichiers sont pris en otage et qu’une rançon est demandée;
- les signes moins évidents :
- lorsque les systèmes se comportent de façon erratique, allant même jusqu’à cesser de fonctionner;
- lorsque vous enregistrez un volume anormalement élevé de trafic réseau sur vos serveurs connectés à Internet;
- lorsque vous enregistrez un nombre anormalement élevé d’échecs de connexion aux serveurs ou aux dispositifs de réseau.
Vous avez été piraté. Que faire maintenant?
Il est impossible d’affronter de telles situations par vous-même. En termes simples : vous devriez être accompagné de trois équipes de professionnels en cas d’attaque : une équipe juridique, une équipe de relations publiques et une équipe de cybersécurité. Dotez-vous dès maintenant de ces trois équipes et assurez-vous qu’elles connaissent vos pratiques, votre équipe de gestion et votre tolérance au risque actuelles. Nous voulons souligner l’importance du terme « maintenant », car si vous mettez ces professionnels au courant de votre entreprise, puis donnez des précisions sur la menace lorsque la menace s’est déjà faufilée dans vos systèmes, il sera peut-être trop tard. Vous pouvez perdre un temps précieux à expliquer des détails; un temps qui peut être consacré à enrayer l’attaque.
Les cabinets d’avocats sont une ressource inestimable quand vient le temps de maintenir votre privilège client-avocat. Le bon cabinet d’avocats peut travailler en votre nom auprès de vos compagnies d’assurance pour s’assurer que la gestion des violations satisfait aux exigences de la police d’assurance. De même, il peut vous défendre en cas de litige s’il y a lieu.
De toute évidence, une atteinte à la réputation peut se révéler irréversible dans de tels cas. Inutile de préciser que les professionnels en relations publiques peuvent vous aider à élaborer vos messages, à communiquer les points nécessaires à qui de droit au moment opportun et ils peuvent gérer votre image de marque tout au long de cet épisode. Il a été démontré que les événements négatifs peuvent, s’ils sont gérés correctement, ultimement améliorer la réputation d’un client si la réponse est traitée de façon appropriée (non pas que nous recommandions ce moyen pour améliorer votre image de marque).
Le plus important de tout, par contre, consiste à s’occuper de la menace réelle. La coordination en matière de gestion de crise et la prise de mesures légales permettent de détecter et d’éliminer les agents externes nuisibles susceptibles de demeurer dans vos systèmes.
Nous avons entendu bon nombre de leaders de l’industrie et d’experts en sécurité déclarer que, par les temps qui courent, les attaques sont malheureusement des menaces imminentes. Il ne s’agit pas de savoir « si », mais plutôt « quand » elles vont se produire, compte tenu des connaissances avancées de ces criminels et des perspectives lucratives que de telles attaques présentent. Alors, discutez-en avec les principaux intéressés, mettez en place des mesures préventives et ayez une équipe de professionnels à votre disposition. Laissez les jeux de hasard à vos clients, mais pas vos procédures de sécurité.
Nous aimerions remercier Peter Czeglady d’Aird & Berlis, et David Greenham, de Richter Groupe Conseil, d’avoir collaboré au présent article.
[1] http://www.cnbc.com/2016/12/13/ransomware-spiked-6000-in-2016-and-most-victims-paid-the-hackers-ibm-finds.html