Les menaces à la cybersécurité pour les entreprises enregistrées continuent d’augmenter, mais les efforts pour se protéger contre ces menaces et planifier l’attaque inévitable ne tiennent pas le pas.
Les Autorités canadiennes en valeurs mobilières (ACVM) ont publié la semaine dernière un Avis du personnel qui souligne les risques croissants pour la cybersécurité pour les entreprises et les lacunes dans leurs efforts pour prévenir les cyberincidents. L’avis du personnel fournit des conseils de haut niveau aux entreprises sur des questions telles que les politiques et les procédures de protection contre les cybermenaces, la formation des employés, les évaluations régulières des risques, les plans d’intervention en cas d’incident, la diligence raisonnable avec des fournisseurs tiers, l’assurance et les médias sociaux.
L’avis du personnel a rendu compte des résultats d’un sondage mené à la fin de 2016 auprès de plus d’un millier d’entreprises inscrites avec un taux de réponse de 63 %. La constatation la plus frappante de l’ASC est que plus de la moitié des entreprises répondantes ont déclaré avoir été victimes d’un incident de cybersécurité en 2016. Le cyberincident le plus courant était l’hameçonnage à 43%, suivi des logiciels malveillants à 18% et de l’usurpation d’identité par e-mail frauduleux à 15%.
L’hameçonnage, les logiciels malveillants et l’usurpation d’identité par le biais d’e-mails frauduleux sont des vecteurs d’attaque qui utilisent souvent les employés comme point faible pour entrer dans un système. Le rapport de l’ASC souligne en particulier les risques liés aux sites de médias sociaux utilisés pour lancer des courriels d’hameçonnage ou contenant des liens qui entraînent l’installation de logiciels malveillants. La formation proactive des employés pour identifier et répondre à ces menaces de cybersécurité est l’une des premières mesures qu’une entreprise devrait prendre pour prévenir les cyberattaques. Cependant, seulement 56 % des entreprises interrogées ont mis en place des politiques et des procédures pour former leurs employés à la cybersécurité, selon l’ASC.
Un autre point faible d’entrée dans une entreprise est celui des tiers fournisseurs de services. Les ACVM ont constaté que plus de 90 % des entreprises ont des services fournis par des fournisseurs tiers, mais seulement 57 % d’entre elles ont abordé la question de la cybersécurité avec elles dans l’entente écrite. Les ACVM suggèrent que les entreprises devraient limiter l’accès des tiers fournisseurs à leurs systèmes et à leurs données. Tout accès accordé ne devrait se faire qu’avec des mesures de protection et des plans d’intervention en cas d’incident en place.
Une fois qu’une attaque s’est produite, seulement 57 % des entreprises ont mis en place des politiques et des procédures spécifiques pour assurer la poursuite des activités de l’entreprise lors d’un incident de cybersécurité. Soixante-six pour cent des entreprises ont un plan d’intervention en cas d’incident, mais un quart d’entre elles ne l’ont pas testé.
Un solide plan de rapport d’incident a été
Lorsque la poussière est retombée et que la cyberattaque a été traitée, les ACVM notent que seulement 41 % des entreprises ont des polices d’assurance cybersécurité spécifiques pour demander de l’aide pour la reconstruction. Pour la plupart des entreprises, il s’agit d’une entreprise importante nécessitant un capital important. Le rapport 2017 du Ponemon Institute a révélé qu’au niveau mondial, les violations de données sont les plus coûteuses aux États-Unis et au Canada. Cela est particulièrement remarquable puisque la même étude a révélé que le coût total mondial moyen d’une atteinte à la protection des données est de 3,62 millions de dollars2.
L’avis du personnel des ACVM souligne le risque omniprésent de cyberattaques pour les entreprises inscrites ainsi que la nécessité (1) d’un plan de protection contre les cybermenaces et (2) d’un plan qui définit précisément comment l’organisation réagira à la connaissance d’un cyberincident. Un conseiller juridique et d’autres experts peuvent aider à la conception et à la mise en œuvre de ces plans.