Les cyberincidents ont considérablement augmenté pendant la pandémie de COVID-19. Les criminels ont profité de la vulnérabilité des systèmes et des processus des entreprises (et des individus), révélée par le télétravail et d’autres modes de travail non traditionnels. Loin de ralentir, cette tendance pourrait même s’accentuer.
Ainsi, les propriétaires d’entreprise qui savent comment réagir rapidement et efficacement à un cyberincident :
- S’assurent de pouvoir offrir des produits et services aux clients
- Favorisent une sécurité accrue (leçons tirées des incidents)
- Minimisent les répercussions de l’incident, à court et à long terme
- Protègent la réputation de l’entreprise et sa position sur le marché
4 étapes essentielles à toute intervention
Lorsque vous réagissez à un cyberincident et que vous tentez de reprendre vos activités normales, les cyberprofessionnels et les organisations telles que le Centre canadien pour la cybersécurité recommandent d’adopter une démarche en quatre étapes :
- Préparation
- Observation
- Résolution
- Compréhension
Étape 1 – Préparation
Il est essentiel de planifier et de vous préparer à toute éventualité pour réduire autant que possible les risques d’incident et, s’il y a lieu, minimiser les répercussions sur votre entreprise.
D’abord et avant tout, vous devez obtenir l’appui de la haute direction pour que la cybersécurité figure à l’ordre du jour des réunions d’équipe et de direction.
Il faut aussi savoir en quoi consistent les données essentielles, où elles sont stockées, quels systèmes, logiciels, processus utilise votre entreprise, et les accès qui y sont accordés pour comprendre les mesures qui doivent être prises à ce stade.
Il est essentiel de sauvegarder les données clés au moins une fois par jour et, dans la mesure du possible, d’en conserver au moins une copie à l’extérieur du bureau. La « mise en miroir » des données consiste à avoir deux bases de données en temps réel en deux endroits différents.
La priorité devrait être accordée à la formation afin que des employés soient conscients des dangers et des différents types de cybercrimes.
En guise de préparation, vous devriez discuter des mesures à prendre en cas de cyberincident avec vos partenaires commerciaux, vos fournisseurs et vos principaux clients. Ces mesures pourront être prises plus rapidement si vous désignez une personne-ressource pour chaque domaine. Vous devriez aussi inclure au plan d’intervention les coordonnées des personnes ou des entreprises auxquelles vous pourriez avoir recours en cas de cyberincident.
Le plan d’intervention de votre entreprise doit être régulièrement vérifié et testé. Il faut aussi l’actualiser au besoin.
Étape 2 - Observation
Surveillez les réseaux, les systèmes et les dispositifs connectés de votre entreprise pour repérer les menaces antérieures ou actuelles. Certains signes indiquent que des systèmes ont été infiltrés, notamment :
- Ordinateurs lents
- Recherches internet redirigées
- Paiements non autorisés
- Documents verrouillés
- Rançons exigées
Analysez les événements et déterminez si vous devez exécuter le plan d’intervention en cas d’incident.
Ajustez la fréquence et l’intensité de la surveillance en fonction de vos activités. Vous pouvez assurer la surveillance des réseaux en permanence ou de façon aléatoire.
Étape 3 – Résolution
La résolution peut varier en fonction du cyberincident, mais la reprise des activités de votre entreprise peut prévoir des étapes telles que le remplacement des appareils et des logiciels touchés, la mise en place de nouvelles mesures de sécurité et d’atténuation, et la restauration des données de l’entreprise à partir des sauvegardes.
Une partie de l’examen de la sécurité consiste à s’assurer que toutes les mises à jour et tous les correctifs sont effectués, et que les mots de passe sont modifiés.
Étape 4 - Compréhension
Après l’incident, il est très important de revenir sur ce qui s’est passé, d’en évaluer la portée, les pertes, les répercussions sur les clients et toute autre information clé afin d’assurer la protection de votre entreprise en continu.
Votre entreprise peut tirer des leçons des activités menées dans le cadre du processus d’intervention, notamment ce qui s’est bien passé et ce qui doit être amélioré.
Vous retiendrez probablement des éléments liés à la prévention, dont l’importance de former les employés. Vous pourriez ainsi planifier un exercice d’hameçonnage ou une séance de sensibilisation.
Vous devrez revoir vos mesures de sécurité physique et électronique; vous pourriez en outre contrôler les accès ou interdire l’accès aux ports USB pour prévenir un autre incident du genre.
Si vous révisez votre plan d’intervention en fonction des leçons apprises et des changements survenus, vous pourrez vous concentrer sur vos activités.
Signalez l’incident
Vous devez absolument signaler les cyberincidents à la police et au Centre antifraude du Canada (CAFC) dans les plus brefs délais. On vous invitera peut-être aussi à le signaler au Commissariat à la protection de la vie privée du Canada ou à un autre organisme de réglementation pertinent.
Le signalement rapide des incidents aide d’autres organisations à se préparer et fournit à la police des renseignements qui lui permettront d’appréhender les criminels. La police locale est en mesure d’enquêter sur les incidents, et le CAFC favorise le respect des lois en diffusant l’information recueillie dans des rapports.
Le délai d’intervention est déterminant
Chaque minute compte lorsque votre entreprise est la proie d’une cyberattaque. C’est pourquoi vous devez faire appel à des professionnels de la sécurité dès que possible, soit dans les 72 heures suivant l’incident.
Si vous avez souscrit une assurance cyberrisques, telle que l’Assurance contre les cyberrisques pour entreprises d'Aviva, contactez votre assureur dès que possible pour obtenir de l’aide. Si votre assurance inclut les services d’assistance d’un partenaire comme CyberScout, vous devriez les contacter immédiatement.