Cybersécurité Les 3 incontournables en 2020 - Mieux gérer vos risques dans un environnement de plus en plus connecté - Pronto Marketing
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Cybersécurité
Les 3 incontournables en 2020
Devoirs et obligations des entreprises
Les 15 visages des cybercriminels
Démystifier l’hameçonnage
Et plus encore!
Mieux gérer vos risques dans un
environnement de plus en plus connecté.
ars-solutions.ca
Cybersécurité - Les 3 incontournables en 2020 2
Table des matières
La culture des entreprises face au phénomène de cybercriminalité 3
Aucun secteur n’est épargné 4
Revendiquer l’impuissance n’est pas une défense acceptable 5
La loi PIPEDA et la responsabilité des dirigeants 8
Devoirs et obligations en matière de TIC 9
Le cloud ne fait pas exception 12
De plus en plus d’entreprises poursuivies 12
Les 15 visages des cybercriminels 14
Les cas d’employés mécontents de plus en plus impliqués 18
Le SIEM améliore l’ensemble des activités des entreprises et aide les dirigeants à relever
leurs défis en matière de cybersécurité 19
Par où commencer - 3 incontournables en 2020 24
La cybersécurité devrait être sous-traitée à des spécialistes 25
Comment reconnaître et éviter les attaques par hameçonnage 27
Méthodes d’attaques par hameçonnage 28
© 2020 ARS Solu+ons affaires et technologies – TOUS DROITS RÉSERVÉS
Cybersécurité - Les 3 incontournables en 2020 3
La culture des entreprises face au phénomène de
cybercriminalité
Il est facile d’avancer que le vol de données est inévitable puisque, dans une certaine
mesure, c’est la vérité. La sécurité à 100 % n'existe pas. Cependant, ce n’est pas une
excuse qui doit servir à ignorer la situation et fuir d’importantes responsabilités, car les
conséquences sont lourdes pour les employés, les clients ainsi que les partenaires. Il
relève donc des dirigeants de mettre en place les mesures et outils nécessaires afin de
protéger leurs employés de toute violation de leur vie privée et leurs clients et partenaires
des impacts néfastes qui peuvent être causés à leur entreprise.
La culture d’une entreprise est au cœur même de CULTURE HUMAIN TECHNOLOGIES
sa posture en sécurité. Sur une vision globale de
360 degrés, elle représente 50 % de son risque en
regard à sa pérennité dans un contexte de 20 %
cyberattaques. La vision et l’implication de la haute
direction, les politiques en place, la formation
continue des employés, sont tous des éléments
faisant partie de la culture. Si la sphère culturelle est 50 %
la plus importante, elle est aussi la plus difficile à
gérer et celle qui représente aussi le plus de
lacunes. Elle est suivie de très près par le 30 %
comportement humain avec 30 %, l’un dictant
l’autre. Les employés prennent-ils vraiment la
cybersécurité au sérieux? L’entreprise s’investit-elle
à les sensibiliser?
Contrairement à la croyance populaire, les technologies en place – ordinateurs, antivirus,
pare-feux – ne représentent qu’une fraction du risque, soit environ 20 %. Bien qu'elle soit
inévitable, la sphère technologique est de plus faible importance. De plus, aucune des
technologies n’est parfaite. Depuis trop longtemps, la sécurité est laissée au
département des TI comme s’il s’agissait exclusivement d’un enjeu technologique,
alors qu’il appartient à la direction d’en assumer la gouvernance et d’élaborer sa
stratégie : bonnes pratiques, comportements humains, formation, technologies…
Dans ce rapport, nous vous partageons notre vision de la cybersécurité basée sur notre
expérience des 30 dernères années dans le domaine des TI et sur nos 500 000
interventions à travers le Québec. Quelle est votre responsabilité en tant qu’entreprise?
Quelles solutions s’offrent à vous? D’où proviennent les brèches dans votre organisation et
quels sont vos recours pour y remédier? Sous quelles formes les cybercriminels peuvent-ils
se manifester?
© 2020 ARS Solu+ons affaires et technologies – TOUS DROITS RÉSERVÉS
Cybersécurité - Les 3 incontournables en 2020 4
Aucun secteur n’est épargné
Chaque système utilisant des technologies numériques, qu’il s’agisse de serveurs
centralisés dotés d’une puissance de traitement et de capacités de stockage immenses, ou
d’informations que nous stockons et traitons sur nos smartphones, est associé à des
vulnérabilités. Certaines sont bien connues et comprises. D'autres émergent constamment.
Un système considéré comme sécurisé hier ne l’est plus nécessairement aujourd’hui,
de par le raffinement constant des méthodes d’attaques qui deviennent de plus en plus
sophistiquées.
Il existe des solutions accessibles aux PME, mais encore peu connues d’elles. Présentement,
le secteur manufacturier est la troisième industrie la plus visée par les cyberattaques.
Animés d’une motivation financière, les pirates informatiques privilégient l’espionnage
industriel en ciblant surtout la robotique et l’impression 3D. Ils profitent également de
failles de sécurité existantes dans des lignes de production qui, de surcroît, sont de plus en
plus connectées en raison de l’Internet des objets (IoT)1. De plus, la plupart des systèmes
manufacturiés ont été conçus pour être productifs d’abord et avant tout.
Des PME ayant subi une brèche estiment que l’attaque a impacté leur
97 %
réputation et ont mentionné avoir eu des difficultés à opérer.
Ont signalé des dommages à leur image de marque et ont mentionné
33 %
avoir pris plus de 6 mois à s’en remettre.
30 % Ont noté un ralentissement de leur croissance par rapport aux prévisions.
24 % Ont perdu des clients.
1https://www.economie.gouv.qc.ca/objectifs/informer/vecteurs/revue-annuelle-des-tendances/2019/#c76941
© 2020 ARS Solu+ons affaires et technologies – TOUS DROITS RÉSERVÉSCybersécurité - Les 3 incontournables en 2020 5
En effet, à mesure que la technologie industrielle progresse, les fabricants utilisent de plus
en plus le cloud, les appareils mobiles, l’IoT et l’analyse de données pour améliorer leur
connectivité et leur infrastructure2.
Cela signifie de plus grandes possibilités d’attaques pour les cybercriminels. Avec le
passage à l’industrie 4.0, les mesures de protection contre la cybercriminalité seront
cruciales.
Bien que nous donnions ici en exemple le secteur manufacturier, tous les autres n’en sont
aucunement épargnés de par l’utilisation, par les cybercriminels, d’outils automatisés
cherchant aléatoirement des failles systèmes. Et au-delà des coûts engendrés et de votre
réputation qui en sera fortement entachée, c’est aussi la vie personnelle de vos employés
qui sera hypothéquée pour les années à venir.
Revendiquer l’impuissance n’est pas une défense
acceptable
Les cyberincidents sont devenus des sujets d’actualité très prisés puisque pratiquement
toutes les données personnelles de chacun d’entre nous ont été compromises lors des
milliers d’incidents survenus au cours des années. Et une partie seulement a été rendue
publique. C’est le cas notamment de Desjardins, Equifax et Capital One qui se sont fait
voler les données de plusieurs millions de clients.
Le plus grand défi auquel nous sommes confrontés est que la majorité des entreprises
persistent à croire qu’elles courent peu de risques parce qu’elles se considèrent « trop
petites » ou n’ayant « rien qui puisse intéresser les cybercriminels. » Maleureusement, les
attaques ne sont pas toujours consciemment ciblées vers une grande organisation.
Parce qu’elles sont souvent aléatoires et à partir d’outils automatisés, toute entreprise
en sera victime tôt ou tard.
Les entreprises manufacturières : une cible de choix
pour les malfaiteurs
Les grandes entreprises ne sont pas l’unique cible de ces attaques. Au contraire, les PME
sont plus vulnérables par leur faible niveau de sécurité bien connu des malfaiteurs. Il ne
suffit que d’un employé, malveillant ou non, pour mettre en péril vos données
confidentielles ainsi que votre crédibilité. Prenons aussi le cas d’Artopex dont les données
ont été prises en otage. Quatre de leurs cinq usines ont été paralysées pendant une
semaine.
2https://www.economie.gouv.qc.ca/objectifs/informer/vecteurs/revue-annuelle-des-tendances/2019/
© 2020 ARS Solu+ons affaires et technologies – TOUS DROITS RÉSERVÉSCybersécurité - Les 3 incontournables en 2020 6
Certains cybercriminels ne cryptent pas vos données pour obtenir une rançon ou voler de
l'argent. Souvent, ils utilisent votre serveur, votre site Web ou votre profil pour propager des
virus et/ou compromettre d'autres ordinateurs. S'ils piratent votre site Web, ils peuvent
l'utiliser pour propager du spam, exécuter des logiciels malveillants, porter atteinte à la
réputation de votre entreprise… Ils utilisent votre entreprise comme moyen d’infecter vos
clients. Vous pouvez alors vivre des lenteurs de systèmes sans en comprendre l’origine.
43 % En 2018, 43 % des infractions touchaient les petites entreprises.
34 % de toutes les attaques documentées visaient les entreprises
34 %
manufacturières.
Au total, 189 vulnérabilités dans les composants SCI (système de contrôle
189
industriel) ont été publiées en 2015, et 49 % d’entre elles sont critiques.
Pourcentage d'ordinateurs SCI attaqués dans le secteur manufacturier :
27,7 %
27,7 %.
76 % des gens utilisent le même mot de passe pour la plupart, sinon la
76 %
totalité, des sites Web.
Comment une PME peut parvenir à se protéger…
…alors que les grandes entreprises n’y arrivent pas, et ce, malgré leurs budgets et
ressources? Il s’agit là d’une question qu’on nous pose régulièrement en rencontres lors
d’exercices de planification stratégique ou de séminaires. En étant plus à risque et avec
moins de ressources budgétaires et humaines, comment les PME devraient-elles se
sécuriser? N’ayant pas les mêmes moyens que les grandes entreprises pour faire
face aux dommages, il est d’autant plus important pour elles de se doter d’un plan. Il
s’agit de la meilleure stratégie puisque, en période de crise, on gère plus efficacement et
on réduit les coûts ainsi que les dommages collatéraux. Il existe aujourd’hui des
solutions pour les PME tenant compte de leur réalité financière. Investir davantage
et autrement en sécurité est devenu un incontournable.
© 2020 ARS Solu+ons affaires et technologies – TOUS DROITS RÉSERVÉSCybersécurité - Les 3 incontournables en 2020 7
Des données maintes et maintes fois revendues
Une transaction peut rapporter aux cybercriminels des dizaines de milliers de dollars
provenant de plusieurs acheteurs. Les entreprises qui subissent une violation de leurs
informations peuvent donc facilement être attaquées par des dizaines, voire des
centaines de cybercriminels. L’information sera alors revendue à plusieurs reprises.
La question n’est donc plus de savoir « si » votre entreprise en sera victime, mais
plutôt « quand ».
Selon l’étude annuelle réalisée par IBM Security3 et
publiée en juillet 2019, l’impact financier d’une brèche
de données a augmenté de 12 % au cours des 5
Propulsé par
dernières années et coûte maintenant en moyenne
3.92 millions de dollars. Les conséquences peuvent
être particulièrement désastreuses pour les petites
et moyennes entreprises. L’étude révèle que les
entreprises de moins de 500 employés subissent un
impact financier de plus de 2.5 millions.
Nul n’est censé ignorer la loi
Les entreprises stockent une quantité importante d’informations sensibles. Connaître vos
responsabilités en tant qu’entreprise et entamer les mesures préventives bien avant qu’un
tel événement ne se produise devient un incontournable. Il est d’ailleurs dans l’intérêt de
toute entreprise de protéger l’information de ses clients non seulement pour son image,
mais aussi parce que cette initiative peut devenir un atout de fidélisation suscitant
l’attraction et la confiance des clients. L’entreprise s’engage à faire en sorte que les données
soient sécurisées. On parle ici d’une culture. Il s’agit là d’une tendance que l’on verra
prendre place en 2020.
La collecte systématique d’informations personnelles auprès des consommateurs
nécessite un traitement conforme à la Loi sur la protection des renseignements
personnels et les documents électroniques (LPRPDE) :
Les renseignements personnels ne peuvent être utilisés qu’aux fins auxquelles ils ont été
recueillis. L’organisation qui entend les utiliser à d’autres fins doit, de nouveau, obtenir le
consentement de le faire. Les renseignements personnels doivent être protégés par des
mesures appropriées. Le non-respect de cette loi pourrait entraîner la poursuite en justice
de l’entreprise responsable, des recours collectifs très salés, la perte de nombreux
clients et parfois même la faillite. Voilà pourquoi on doit prendre au sérieux la sécurité des
données et en faire une priorité.
3 https://newsroom.ibm.com/2019-07-23-IBM-Study-Shows-Data-Breach-Costs-on-the-Rise-Financial-Impact-Felt-for-Years
© 2020 ARS Solu+ons affaires et technologies – TOUS DROITS RÉSERVÉSCybersécurité - Les 3 incontournables en 2020 8
La loi PIPEDA et la responsabilité des dirigeants
Vous êtes contraint de vous conformer à certaines lois. Sans quoi, vous serez passible de
poursuites et d’amendes très élevées selon la loi PIPEDA (Personal Information Protection
and Electronics Documents Act) dont d’importants changements sont entrés en vigueur le
1er novembre 2018.
La Loi sur la protection des renseignements personnels et les documents
électroniques (LPRPDE ou PIPEDA) oblige désormais les organisations de toutes
envergures du Canada, à :
Toute violation de données doit être signalée au Commissariat
à la protection de la vie privée.
Les personnes concernées doivent également être avisées
puisqu’elles risquent un préjudice.
Des enregistrements de toutes les violations doivent être
conservés par l’entreprise.
Les violations de données ne concernent plus uniquement les grandes entreprises en ligne.
Si votre entreprise conserve des données de clients pouvant être utilisées à des fins
d’identification, la LPRPDE individuelle s'applique. Cela concerne les numéros de carte
de crédit, les données GPS, les adresses civiques et les adresses électroniques.
Les modifications à la LPRPDE s'accompagnent d'amendes pouvant aller jusqu'à 100 000
dollars pour non-conformité. Bien que cela ne soit pas aussi onéreux que le GDPR (General
Data Protection Regulation) de l’Union européenne, ce n’est probablement que le début.
Vous devez être proactif. Les modifications apportées à la LPRPDE exigent que les
entreprises mettent en œuvre des mesures de protection pour protéger leurs données.
Cela peut s'appliquer pour tout; des verrous sur les classeurs au cryptage des données en
passant par les pare-feu.
© 2020 ARS Solu+ons affaires et technologies – TOUS DROITS RÉSERVÉSCybersécurité - Les 3 incontournables en 2020 9
La cybersécurité est désormais un devoir important envers vos employés, clients et
partenaires. Vous devez notamment vous assurer que tout employé ayant accès à des
données personnelles comprend sa responsabilité (pas de fichier de numéros
d’assurance sociale enregistrés sur le bureau, pas de mot de passe « Fido123 »...).
Les petites et moyennes entreprises sont particulièrement exposées au risque de violation
de données. Maintenant que les outils du commerce du piratage sont accessibles à toute
personne disposant d'une connexion Internet, les PME, disposant de moins de ressources,
sont des proies plus faciles. Elles doivent dès maintenant prévoir au budget des
investissements en cybersécurité.
Devoirs et obligations en matière de TIC
Ce que vous devez savoir en tant que dirigeant ou
administrateur - point de vue de Jolicoeur
Lacasse Avocats
Grand nombre d’activités commerciales sont affectées par les technologies de
l’information et des communications (TIC). Dans les entreprises, on les retrouve
notamment dans les ser vices financiers, dans les dépar tements des
communications et des ventes ainsi que dans les départements de R&D. Leur
importance varie selon les activités de l’entreprise. Mais, au minimum, quelle
entreprise n’a pas son site Web aujourd’hui?
Les TIC sont génératrices de croissance et de création de valeur pour
l’entreprise, mais leur utilisation peut aussi comporter des risques et des
coûts. Et pas seulement lors de leur implantation. Les cyberattaques et la
cybercriminalité, les problèmes de systèmes et les erreurs humaines en sont
les principales causes. Le rapport 2019 de IBM Security et du Ponemon
Institute sur les coûts des atteintes aux mesures de sécurité informatique
estime que le coût moyen d’une faille informatique au Canada s’élève à
près de 5.86M $.
Ces coûts d’une cyberattaque incluent les frais rattachés au « colmatage »
de la fuite, la reconstruction des systèmes attaqués et, évidemment, la perte
de clients dont la confiance aura été ébranlée.
En 2019, les cyberattaques malicieuses et la cybercriminalité
ont été la cause de 51 % des failles informatiques. La perte de clients
représente 36.2 % des coûts totaux d’une faille informatique.
© 2020 ARS Solu+ons affaires et technologies – TOUS DROITS RÉSERVÉSCybersécurité - Les 3 incontournables en 2020 10
Comme administrateur d’entreprise, les questions d’ordre technologique devraient vous
amener à vous questionner de temps en temps, sur les stratégies de développement et
d’utilisation des TIC et sur la gestion des risques qu’elles comportent. Il s’agit d’être
capable de prévenir les risques par la mise en place de mécanismes de protection, tout en
s’assurant que l’entreprise maintienne son avantage stratégique à l’égard de ses
compétiteurs par une utilisation optimale des TIC disponibles. Votre capacité à bien le faire
pourrait éviter les poursuites contre l’entreprise ou, le cas échéant, vous fournir des moyens
de défense plus efficaces.
La probabilité qu’une organisation ayant subi un incident de sécurité en subisse un
autre dans les 2 prochaines années est de 29.6 %.
Vous devez également vous préoccuper de certains aspects légaux rattachés à
l’utilisation des TIC. Ainsi, lorsque votre entreprise effectue de la vente par Internet, les
informations que vous obtiendrez de vos clients doivent être protégées. Vous devez vous
assurer d’obtenir les consentements adéquats à l’utilisation que vous faites des
renseignements de nature personnelle. Les législations applicables à une telle protection
varient d’un endroit à un autre. Le Règlement général européen sur la protection des
données peut s’appliquer à votre entreprise.
Des modifications à la Loi canadienne sur la protection des renseignements
personnels et les documents électroniques sont entrées en vigueur le 1er novembre
2018. Ces modifications ajoutent notamment de nouvelles exigences relatives au
signalement obligatoire d’atteintes à la protection des données.
Le défaut de ne pas respecter ces obligations peut entraîner des frais importants pour
votre entreprise, mais aussi, dans certains cas, pour ses administrateurs et dirigeants.
Comme administrateur ou dirigeant, vous avez des devoirs et responsabilités à
rencontrer. Vous devez, entre autres, vous tenir informé des activités de l’entreprise.
Vous avez également le devoir d’agir de bonne foi, avec compétence et diligence.
Personne ne s’attend à ce que vous soyez un expert en technologie. Cependant,
en vous référant aux connaissances réelles d’un expert, vous pourrez
démontrer, si besoin était, que vous avez rempli ces devoirs qui vous
incombent.
© 2020 ARS Solu+ons affaires et technologies – TOUS DROITS RÉSERVÉSCybersécurité - Les 3 incontournables en 2020 11
Voici quelques suggestions qui vous permettront
de remplir vos obligations d’administrateur
prudent en matière de TIC :
Intégrer, si possible, au conseil d’administration, une ou des
personnes ayant des connaissances technologiques qui vous
aideront à mieux comprendre les enjeux, les risques et les
solutions.
À défaut d’intégration d’un administrateur au conseil,
s’adjoindre des consultants fiables qui sauront vous conseiller
adéquatement.
Ramener les questions technologiques au conseil
? d’administration de façon assez régulière afin d’en évaluer
l’utilisation, la sécurité et prévenir les ennuis.
Déléguer une personne qui assurera le suivi de la sécurité
informatique.
Réviser périodiquement les TIC utilisées par l’entreprise afin
que celles-ci demeurent concurrentielles.
Se doter de règles de gouvernance en matière de TIC qui
seront adaptées à votre entreprise.
Vous avez une responsabilité de comprendre et gérer les technologies
qui ne cessent d’évoluer et de prendre de la place. Plus vous
connaîtrez les TIC de votre entreprise, mieux vous arriverez à les
contrôler.
© 2020 ARS Solu+ons affaires et technologies – TOUS DROITS RÉSERVÉSCybersécurité - Les 3 incontournables en 2020 12
Le cloud ne fait pas exception
La responsabilité des entreprises face à la
protection des données confidentielles
qu’elles collectent leur incombe, peu
importe où elles les conservent.
De plus en plus d’entreprises se tournent
vers le cloud, mais plusieurs ont des
environnements mixtes. Dans les deux cas,
les mêmes soins sont requis en termes de
maintenances, de mises à jour et de
sécurité.
Les installations de votre hébergeur ont
sûrement motivé votre choix, ce qui est
tout à fait légitime. Cependant, il faut vous
assurer que le contrat inclut un programme
global d’entretien structuré – comprenant la sécurité – et valider qu’il est mis en
application de manière disciplinée.
Si le cloud vous évite des investissements majeurs en termes d’équipements et
d’infrastructure, il ne vous économise en rien les coûts de maintenance de vos systèmes
hébergés. Ces derniers devraient, normalement, faire partie de vos mensualités. La sécurité
doit également être adressée au même titre que si vos installations étaient à vos bureaux.
De plus en plus d’entreprises poursuivies
Selon le cabinet juridique McMillan, une firme d’avocats d’envergure internationale de
Montréal spécialisée en droit des affaires, « les tribunaux canadiens ont constaté un
accroissement des poursuites intentées par les clients, employés et actionnaires
relativement aux pratiques organisationnelles de gestion des données.
Les actions en justice fondées sur l'utilisation abusive de données personnelles ainsi que les
atteintes à la vie privée et à la protection des données personnelles occasionnées par des
cyberattaques font leur apparition.
© 2020 ARS Solu+ons affaires et technologies – TOUS DROITS RÉSERVÉSCybersécurité - Les 3 incontournables en 2020 13
Ces réclamations reposent souvent sur des allégations de négligence, de rupture de
contrat, d'infraction prévue par la loi et de délits liés à la vie privée comme ceux d'intrusion
dans l'intimité et de violation de la vie privée.
Dans certains territoires, il arrive que des sociétés soient désignées dans des actions
dérivées que les actionnaires intentent afin d’alléguer que les administrateurs et les
dirigeants ont omis de prendre les mesures adéquates pour assurer la sécurité des
données.
On prévoit une recrudescence des litiges en matière d'atteinte à la vie privée et à la
protection des données personnelles ».4
4McMillan : https://mcmillan.ca/Litige-en-matiere-datteinte-a-la-protection-des-donnees-personnelles-et-a-la-vie-privee?
parentid=98778
© 2020 ARS Solu+ons affaires et technologies – TOUS DROITS RÉSERVÉSCybersécurité - Les 3 incontournables en 2020 14
Les 15 visages des cybercriminels
Qu’ils se manifestent de l’interne ou de l’externe, que ce soit ou non intentionnel, le résultat
demeure le même. Voici comment peuvent se manifester les cybercriminels à travers votre
organisation.
De l’interne
1. Les voleurs de propriété industrielle (PI)
Certains ont pour mission de voler la propriété intellectuelle d’une entreprise. La PI
peut être évaluée à des millions, voire des milliards de dollars. Voler un code source
d’un logiciel, par exemple, peut relancer un concurrent.
2. Les voleurs de données
Tout comme les voleurs de PI, les voleurs de données ont pour but de faire de
l’argent ou de mettre une organisation dans l’embarras en mettant la main sur des
numéros de cartes de crédit, d’assurance sociale, etc.
3. Les erreurs de parcours
Parfois, une personne fait simplement une erreur qui compromet des données. Par
exemple, un développeur de systèmes peut, par inadvertance, mal configurer un
conteneur de stockage basé sur le cloud et laisser libre cours à l'accès par Internet, ce
qui conduit à une brèche… De même, quelque chose d'aussi simple qu'un e-mail
envoyé à une adresse incorrecte (ou un fax envoyé au mauvais numéro de
télécopieur) peut compromettre des informations sensibles. Cela peut être causé par
l'entrée accidentelle de la mauvaise adresse e-mail, ou délibérément (mais sans le
savoir) diriger un e-mail vers une adresse mise en place par un adversaire avec un
nom similaire à celui de la véritable organisation.
4. Les incidents non intentionnels
Le personnel interne peut aussi être la source d’incidents non intentionnels et être à
la fois victime et responsable. Il peut être pris pour cible par des externes.
➢ Pensons par exemple aux e-mails d’hameçonnage qui sont devenus
omniprésents. Ils ont pour objectif de faire en sorte que le destinataire clique
sur un lien conduisant au déploiement de logiciels malveillants ou encore
divulgue des identifiants, numéros de cartes de crédit ou toute autre
information de valeur.
➢ Il y a aussi les attaques par ingénierie sociale qui visent à inciter les
personnes visées à révéler des renseignements. Les criminels utilisent alors
© 2020 ARS Solu+ons affaires et technologies – TOUS DROITS RÉSERVÉSCybersécurité - Les 3 incontournables en 2020 15
différents subterfuges, incluant le téléphone, pour obtenir par exemple des
identifiants et des mots de passe. L’une des méthodes consiste pour
l’appelant à se faire passer pour quelqu’un du service informatique de
l'entreprise qui doit se connecter à distance pour résoudre un problème et qui
a donc besoin des informations de connexion de l’employé. Plusieurs tombent
dans le panneau.
➢ Les criminels peuvent aussi envoyer un courriel à un employé en utilisant une
adresse très semblable à celle de l’entreprise et se faire passer pour un
cadre supérieur. Le faux cadre supérieur demande alors l’aide de l’employé
pour un transfert confidentiel de fonds dans un compte spécifique, souvent
des miliers de dollars.
➢ Une personne peut aussi être amenée à participer à ce qu'elle croit être une
opportunité de travail à domicile, mais s’avère en fait faire partie d'un
système sophistiqué de vol. Le travailleur se retrouve donc à soutenir des
activités comme le blanchiment d'argent, la fraude ou autres crimes.
5. Les perturbateurs
Ce sont ceux qui ont pour mission de causer des problèmes dans une entreprise. Il
peut s’agir d'un employé – actuel ou ancien – qui est mécontent ou encore de
quelqu’un qui se fait embaucher dans le but de causer des problèmes. Un
perturbateur motivé avec un accès approprié peut causer d'énormes dommages,
par exemple faire en sorte que des fichiers sauvegardés soient remplacés par des
fichiers inutiles et endommager ensuite les fichiers qui n’ont plus de sauvegarde
utilisable.
C'est pourquoi l’utilisation d’un SIEM, qui détecte les activités suspectes ou non
autorisées, est si importante (voir la section Le SIEM améliore l’ensemble des
activités des entreprises et aide les dirigeants à relever leurs défis en matière de
cybersécurité en page 15).
De l’externe
6. Les cybercriminels individuels
Les acteurs criminels individuels peuvent commettre des attaques très semblables à
celles des groupes organisés. Ils peuvent également offrir leurs services à d'autres et
en tirer un revenu : MaaS (Malware-as-a-service), DDoS-as-a-service… L’accessibilité à
des packages de logiciels d’attaques prêts à l’emploi rend les cybercriminels
d'aujourd'hui beaucoup plus dangereux que par les années passées.
© 2020 ARS Solu+ons affaires et technologies – TOUS DROITS RÉSERVÉSCybersécurité - Les 3 incontournables en 2020 16
7. Les outils automatisés
Il est important de souligner que les cybercriminels peuvent également utiliser des
outils automatisés recherchant des entreprises dont les systèmes présentent des
vulnérabilités particulières les exposant à des attaques. Ainsi, une entreprise peut
être ciblée simplement parce que l’attaquant a la possibilité de mener une attaque
avec succès. Ces outils scannent les sites à la recherche de faiblesses spécifiques
qui rendent le site vulnérable à la pénétration.
8. Organisations cybercriminelles organisées
Les organisations cybercriminelles organisées peuvent, en dehors de leurs propres
opérations à but lucratif – vol de renseignements personnels sensibles, données de
carte de crédit, données d'assurance maladie – être à la source de logiciels
malveillants ou fournir des logiciels malveillants comme une offre de service. Ils
peuvent également s'engager dans d'autres formes d'attaques comme les attaques
par déni de services (DDoS). Ils fourniront leurs services à toute personne ou
organisation qui les paie.
9. Les anarchistes de l'information
Nous avons vu la croissance d'organisations (certaines vaguement organisées) qui
croient qu’aucune information ne devrait demeurer secrète, ou du moins pas celle
de leurs cibles… Ils peuvent par conséquent voler des adresses courriels ou d'autres
informations et les poster publiquement. Ils peuvent frapper de diverses façons
incluant les DDoS visant à mettre un site web inopérant.
10. Les activités terroristes
Les groupes terroristes sont devenus des utilisateurs sophistiqués ayant des
capacités cybernétiques. Ils utilisent Internet pour le recrutement, le financement, le
vol d'informations ou la distribution. Ils peuvent effectuer des manœuvres servant à
confondre leur ennemi, par exemple en paraissant avoir plus de ressources qu’ils en
ont réellement. Le cyberterrorisme est devenu un domaine d'étude en soi.
11. Les acteurs États-nations5
Les États-nations ont reconnu que le cyber est un domaine de guerre naturellement
asymétrique, c’est-à-dire non linéaire et donc imprévisible. Un petit nombre de
personnes talentueuses peuvent avoir un effet énorme. En Ukraine, par exemple, le
piratage russe était soupçonné d'être responsable d'importantes pannes
d'électricité. Un État-nation peut agir directement ou indirectement.
5Un État-nation est un concept théorique, politique et historique, désignant la juxtaposition d'un État, en tant
qu'organisation politique, à une nation, c'est-à-dire des individus qui se considèrent comme liés et appartenant à un
même groupe. C'est donc la coïncidence entre une notion d'ordre identitaire, l'appartenance à un groupe, la nation,
et une notion d'ordre juridique, l'existence d'une forme de souveraineté et d'institutions politiques et administratives
qui l'exercent, l'État (Wikipedia).
© 2020 ARS Solu+ons affaires et technologies – TOUS DROITS RÉSERVÉSCybersécurité - Les 3 incontournables en 2020 17
12. Actions directes des États-nations
C'est le cas lorsqu'un gouvernement dirige les actions des cybercriminels. Parmi les
exemples d'organismes soupçonnés d'avoir des capacités cybernétiques offensives,
mentionnons la NSA (US National Security Agency), la Direction principale du
renseignement russe (GRU) qui représente le service d’information des forces
armées russes, l’Armée populaire de libération de la Chine et des gouvernements
aussi divers que la Corée du Nord et d'Israël. Ils ont employé des cyberopérateurs
qui agissent pour l'État-nation sous la direction de leurs supérieurs.
13. Actions externalisées des États-nations
Il a été signalé que, lors de la campagne présidentielle américaine de 2016, des
organisations russes ont piraté le Comité national démocrate, mais ont utilisé
l'organisation WikiLeaks pour libérer et distribuer le matériel volé. Un État-nation
peut manquer de capacité en termes de pirates qualifiés et décider d'externaliser le
travail à une gamme diverses d’acteurs possibles : groupes de criminels civils ayant
les capacités requises, pays allié… Ils peuvent également agir par l'intermédiaire d'un
groupe non gouvernemental.
14. Acteurs non étatiques ou quasi-étatiques
Se cachent également derrière les attaques un éventail d'organisations non
gouvernementales (ONG). Ce sont des personnes, groupes ou institutions
intervenant dans la vie nationale ou internationale sans être officiellement mandaté
par un État.
15. Les ONG qui partagent une cause commune avec les acteurs de l'État
Ne pensez pas que chaque attaque peut être attribuée à l'un des types d'opérateurs
susmentionnés. Tout comme les menaces peuvent comporter de multiples risques,
plusieurs acteurs peuvent opérer de concert (soit formellement ou officieusement).
Ils peuvent partager une cible (mais opérer de façon indépendante) ou coordonner
leurs efforts; par exemple, un acteur d'État-nation vole les données, mais une ONG
les distribue.
© 2020 ARS Solu+ons affaires et technologies – TOUS DROITS RÉSERVÉSCybersécurité - Les 3 incontournables en 2020 18
Les cas d’employés mécontents de plus en plus
impliqués
Les employés mécontents représentent des cas de plus en plus fréquents de pertes
importantes en raison de leur connaissance de l’organisation pour laquelle ils travaillent. Ils
peuvent facilement accéder aux données et systèmes. Quels dommages peuvent-ils faire?
▪ Partir avec vos fichiers, données clients et informations confidentielles
d’entreprise archivées sur des appareils personnels, tout en conservant l'accès aux
applications cloud telles que les sites de médias sociaux et les sites de partage de
fichiers (Dropbox ou OneDrive par exemple) qu’ils utilisaient sans que vous ne soyez
au courant.
En fait, selon une étude approfondie menée par Osterman Research, 69 % des
entreprises subissent des pertes de données dues au roulement du personnel et
87 % des employés qui partent emportent des données avec eux. Que font-ils
avec cette information? Ils l’a vendent à des concurrents, deviennent un concurrent
ou les conservent pour les utiliser dans leur prochain emploi.
▪ Fonds, inventaire, secrets commerciaux, listes de clients, heures… Il y a des
dizaines de manières pour des employés de voler de l’information et cela se produit
beaucoup plus souvent qu’on voudrait bien le croire. Nous préférons toujours partir
de la prémisse que les membres de notre équipe sont honnêtes et intègres. Or,
selon le site Web Statistic Brain, 75 % des employés ont volé leurs
employeurs à un moment donné.
▪Vol de temps; que ce soit aller sur les médias sociaux comme LinkedIn et
Facebook, consulter les nouvelles, télécharger de la musique et des vidéos,
visiter des sites Web pour adultes, etc. Il existe des solutions spécialisées
pour se prémunir des activités hors contexte professionnel dont les
employeurs ne sont pas au courant. Ce sont toutes des activités qui mettent
les entreprises à risque de virus et de fraude par hameçonnage.
▪Scénario courant : un employé est congédié ou quitte parce qu'il est
insatisfait de la façon dont il est traité. Avant de partir, il supprime
définitivement tous ses courriels et tous les fichiers critiques auxquels il
peut avoir accès. Si ces données ne sont pas sauvegardées, elles sont
perdues. Même si vous poursuivez l’employé en question et gagnez, les frais
juridiques, le temps perdu avec le procès et la récupération des données
impliqueront un coût beaucoup plus élevé que ce que vous pourriez
récupérer en dommages.
© 2020 ARS Solu+ons affaires et technologies – TOUS DROITS RÉSERVÉSCybersécurité - Les 3 incontournables en 2020 19
Ensuite, si l’un de vos fournisseurs est victime de cybercriminalité – par exemple Bell
Canada en janvier 2018 – les données de tous ses clients peuvent se retrouver sur le Dark
Web à son insu. Par conséquent, par l’intermédiaire de vos fournisseurs, vous êtes aussi à
risque. Actuellement, 4,2 milliards d'identifiants de comptes de messagerie et 85 millions
d'enregistrements PII volés (permis de conduire, SSN, DOB, etc.) sont en vente sur le Dark
Web.
Vos firmes externes de gestion des paies et de comptabilité, par exemple, ont un accès
direct à vos informations hautement confidentielles. Ceci représente une opportunité en or,
pour les cybercriminels, de vous frauder par l’intermédiaire de ces fournisseurs.
Vous pouvez désormais mettre en place une stratégie efficace et
accessible pour vous protéger.
Le SIEM améliore l’ensemble des activités des
entreprises et aide les dirigeants à relever leurs
défis en matière de cybersécurité
Qu’est-ce qu’un SIEM
Au-delà d’amener un meilleur contrôle en regard à la cybersécurité, le SIEM (Security
Information and Event Management OU Gestion de l’information et des évènements de
sécurité) a une portée beaucoup plus grande en entreprise dans l’ensemble de ses
opérations : soutien légal par la traçabilité des informations et la transmission de
preuves, gain de temps par des rapports de conformité automatisés prouvant votre
bonne foi lors d’audits, outils d’appui
aux ressources humaines en situations
de litiges… Le SIEM permet de limiter
les dommages financiers et le déficit
d’image de marque et d’éviter que
cette dernière ne soit ternie.
Les dirigeants sont maintenant concernés
face aux risques d’attaques qui deviennent
de plus en plus importantes et de plus en
plus dommageables.
© 2020 ARS Solu+ons affaires et technologies – TOUS DROITS RÉSERVÉSCybersécurité - Les 3 incontournables en 2020 20
À l’ère où les entreprises de toutes tailles font face aux mêmes enjeux et défis, s’adapter est
un passage obligé. Un grand nombre adoptent les nouvelles technologies comme le
cloud et la mobilité sans compter qu’on encourage l’accélération de la transformation
numérique au Québec. Il en résulte un environnement informatique hybride, divers et
complexe, jamais vu auparavant et où se côtoient plusieurs technologies. D’où
l’importance grandissante d’avoir des outils adaptés à cette nouvelle réalité.
Basées sur l’intelligence artificielle, les solutions SIEM d’aujourd’hui permettent à votre
entreprise de réagir rapidement et avec précision en cas de menace ou de fuite de
données. Elles donnent en temps réel l’information pertinente et essentielle. Elles
permettent de détecter les anomalies de comportement et les attaques qui seraient
normalement passées inaperçues, grâce à leur capacité de faire des liens entre les
événements. Elles permettent non seulement de détecter, mais aussi de diagnostiquer et
de prendre action beaucoup plus rapidement afin de limiter les dommages.
Les services amenés par le SIEM deviennent
incontournables et apportent 4 principaux
bénéfices aux entreprises :
1
Soutien légal, traçabilité des informations &
preuves
Avec le SIEM, vous avez en place des outils automatisés vous permettant de fournir sur
demande les documents lorsque demandés par les autorités légales, règlementaires, ou
commerciales – bureaux d’avocats, compagnies d’assurances, banques – ou requis lors
d’audits :
▪ Capture de fichiers en vue d’analyse pour preuves légales;
▪ Historique des permissions de vos usagers en termes d’accès réseau;
▪ Qui a donné des accès non autorisés à un employé;
▪ Qui était et qui est toujours administrateur de vos systèmes;
▪ L’utilisation subversive de comptes de services et autres stratagèmes afin d’opérer
incognito sur le réseau;
▪ Détection d’activités suspectes grâce à la corrélation de plusieurs métriques.
© 2020 ARS Solu+ons affaires et technologies – TOUS DROITS RÉSERVÉSCybersécurité - Les 3 incontournables en 2020 21
À partir d’une console centralisant les informations, le SIEM apporte une vue globale sur
l’ensemble du réseau, autant pour les activités que les permissions : qui fait quoi et quand
sur les serveurs, qui accède à quoi sur le réseau et particulièrement sur les serveurs, qui a
modifié les configurations, les permissions des usagers telles que l’accès aux répertoires
de l’entreprise, etc.
Le SIEM amène également une assurance de traçabilité vous permettant d’extraire des
rapports : journaux d’évènements en cas de litige, appui aux suivis des audits, etc. Il vous
permet de prendre des décisions fondées sur des preuves.
2 Support à la conformité des normes
Le SIEM permet de satisfaire aux exigences légales de conformité de votre entreprise. Il
collecte des données et les place dans un référentiel central à des fins d’analyse de
tendances. La génération de rapports de conformité est ainsi automatisée et centralisée.
Les opérateurs, comme les dirigeants, ont accès à des indicateurs personnalisés et peuvent
alléger la charge des audits en générant eux-mêmes des rapports.
Le SIEM répond donc à plusieurs exigences de sécurité (historiques, rapports de sécurité)
pouvant générer sans effort des rapports hautement personnalisables selon les
exigences des différentes règlementations.
3 Assistance aux ressources humaines
Le SIEM constitue un outil de gestion puissant qui apporte aux ressources humaines de
l’information essentielle en situations de litiges ou de résolutions de crises. Il réduit la
pression et favorise ainsi la rétention des employés.
Grâce à l’intelligence artificielle amenant une capacité d’apprentissage constant, le SIEM
en vient à connaître les comportements habituels de vos usagers et détecte les
changements d’habitudes et activités suspectes. Ceci devient encore plus intéressant
dans un contexte où le travail à distance est de plus en plus fréquent.
Lors de vos rencontres de ressources humaines, vous avez donc des écrits appuyant
votre démarche – avis et congédiement – et vous permettant :
© 2020 ARS Solu+ons affaires et technologies – TOUS DROITS RÉSERVÉSCybersécurité - Les 3 incontournables en 2020 22
▪ L’assainissement de la gestion de vos ressources matérielles et humaines;
o Mauvaise utilisation du matériel informatique de votre organisation : mobiles,
utilisation d’Internet à des fins personnelles (recherche d’emploi, Facebook,
SMS), installation de logiciels non autorisés mettant à risque l’entreprise;
o Vous savez ainsi comment vos employés utilisent les ressources matérielles et
logicielles de votre réseau et pouvez intervenir au bon moment;
▪ Un meilleur contrôle des accès Internet : qui accède à des sites non productifs –
pornographie, Facebook, Instagram, etc. – et à quelle fréquence;
▪ De savoir si vos télétravailleurs sont vraiment branchés comme convenu et à quels
fichiers ils ont accédés.
4 Outil de contrôle financier
Le SIEM permet de limiter les dommages financiers, le déficit d’image de marque ainsi
que les impacts sur les opérations, les clients et les employés.
Dans un contexte où la majorité des entreprises ont d’importants défis de recrutement
et doivent fonctionner à ressources réduites, le SIEM amène l’assurance d’identifier
rapidement des menaces et de réduire le délai de réaction. En accélérant l’identification et
l’analyse des événements de sécurité, il atténue les conséquences d’attaques et facilite la
restauration qui s’ensuit.
Un SIEM s’avère capable de détecter des incidents de sécurité qui seraient passés
inaperçus et d’en identifier précisément l’origine afin de mettre en place un plan
correctif et préventif plus efficace :
▪ Détection d’attaques de logiciels malveillants tels que les virus et les rançongiciels;
▪ Vol d’informations sensibles;
▪ Trafic anormal sur le réseau, transfert de données non autorisé, par exemple : informations
sensibles envoyées à l’extérieur vers des sites douteux en Chine, Russie, etc.;
▪ Destruction d’informations sensibles par un employé ou un externe telles que des listes de
clients;
▪ Exfiltration de données, comme une copie de données sur une clé USB;
▪ Mauvaises configurations favorisant une faille de sécurité, par exemple lorsque le système
de caméra envoie des informations non autorisées à l’extérieur;
▪ Perte de productivité par consommation des réseaux sociaux ou autres sites non productifs
(vol de temps : LinkedIn, Facebook, Indeed, Jobillico).
© 2020 ARS Solu+ons affaires et technologies – TOUS DROITS RÉSERVÉSCybersécurité - Les 3 incontournables en 2020 23
L’intelligence artificielle au service de la détection
de pannes
Le SIEM permet donc une meilleure anticipation des incidents aux prémices d’une
attaque d’envergure et de remonter à la source de vos problèmes de sécurité AVANT que
vos équipements ne tombent en panne. Vous évitez donc les temps d’arrêts coûteux
associés aux failles :
▪ En détectant des logiciels malicieux ou non autorisés installés sur le réseau
▪ En interceptant des tentatives d’intrusions et les attaques
Réduction des coûts d’assurance en cybersécurité
Le SIEM d’ARS couvrant les volets exigés par les assurances en cybersécurité, il permet de
réduire les coûts. L’évaluation de vos cyberrisques est en fonction des menaces émergentes
et d’autres variables en évolution. De par le SIEM, le rapport de risques et de menaces aide
à anticiper ces menaces et permet de mettre en place un plan correctif et d’amélioration
continue.
Le SIEM, un outil à l’ère de son temps
Le SIEM améliore l’ensemble des activités des entreprises et aide les dirigeants à
relever leurs défis concernant la cybersécurité. Son impact positif sur les affaires le
positionne aujourd’hui comme un allié indispensable dans la conjoncture actuelle.
Il devient un outil de gestion pour la haute direction qui doit désormais prendre
pleinement part à la gouvernance de la sécurité globale de l’organisation, en
équipe avec son département des TI, afin d’en assurer la viabilité financière
et de veiller à ce que les intérêts des actionnaires, des clients et des
employés soient protégés.
Avec le SIEM, vous minimisez les dommages et avez la preuve que
vous avez mis en place ce qu’il faut pour prévenir le vol
d’information.
© 2020 ARS Solu+ons affaires et technologies – TOUS DROITS RÉSERVÉSVous pouvez aussi lire
