Skip to main content

Se préparer à une attaque par rançongiciel

Ces quatre étapes peuvent atténuer votre risque et faire la différence entre une intervention rapide en cas de cyberattaque et une intervention de plus en plus ingérable.

La cybercriminalité reste un risque majeur pour les entreprises à l’échelle mondiale. Pour les organisations de toutes tailles, la menace ne cesse de croître et les attaques deviennent de plus en plus sophistiquées. Les rançongiciels, en particulier, sont devenus la plus grande menace cybernétique à laquelle les entreprises font face aujourd’hui[1] et s’avèrent extrêmement lucratifs pour les cybercriminels, de sorte que les entreprises doivent mettre en place des systèmes de précaution.

En 2021, les dommages engendrés par les attaques par rançongiciel coûteront environ 20 milliards de dollars aux organisations[2]. Bien sûr, les rançons ne sont pas le seul enjeu pour les entreprises. Le coût réel d’une attaque par rançongiciel peut comprendre des pertes d’exploitation, des coûts de services d’informatique judiciaire, des frais de défense, des frais de notification en cas d’atteinte à la confidentialité de renseignements personnels, des amendes et pénalités, ainsi que des préjudices à votre réputation commerciale.

D’un autre côté, il est difficile pour les leaders de bien appréhender toute l’étendue d’un sinistre. De nombreuses entreprises ne comprennent pas quelles seront les répercussions d’une attaque par rançongiciel sur leur bilan ou leurs activités.

Il n’existe aucune solution magique pour garantir une protection, mais si vous combinez la technologie aux personnes, aux processus et au soutien externe, vous serez dans la meilleure position possible. Voici nos recommandations afin de mieux vous préparer et d’atténuer les dommages causés par une attaque par rançongiciel.

 

1.Passage en revue de la boucle des cyber-risques

La stratégie de cybersécurité est de nature circulaire plutôt que linéaire; vous devez continuellement suivre les quatre étapes que sont l’évaluation, la quantification, l’assurance et la préparation aux interventions en cas d’incident[3].

Évaluation

Les résultats de l’évaluation permettent de prendre des décisions stratégiques dans le contexte de la culture de l’organisation, de sa tolérance aux risques et de l’atténuation des risques. Plusieurs services d’évaluation sont offerts, allant d’analyses générales des points faibles de votre système à des évaluations plus détaillées comme des évaluations externes de la vulnérabilité et des tests d’intrusion. Certains fournisseurs vous permettent de comparer votre état de préparation à celui d’organisations comparables et de recevoir des recommandations de mesures correctives personnalisées.

Quantification

Pour mieux comprendre l’incidence financière d’une attaque à la cybersécurité, envisagez de procéder à une étude de quantification des pertes. Il existe un certain nombre de méthodologies et d’outils différents, allant de références sophistiquées en matière de cyber-risques à des approches axées sur la gestion. En général, si les grandes organisations réussissent à mieux quantifier les cyber-risques, les petites entreprises doivent en faire une priorité, car elles sont souvent la cible de cyberattaques.

Assurance

Il est essentiel que l’assurance fasse partie de vos discussions sur l’état de préparation afin que vous puissiez recevoir une indemnisation en cas de sinistre potentiel. L’assurance cyber-risques est un outil précieux, et de nombreux assureurs offrent à leurs clients des services d’atténuation à valeur ajoutée.

 

2.Élaboration – et mise à l’épreuve – de votre plan d’intervention

Chaque organisation doit disposer d’un plan d’intervention en cas d’incident en vue de parer les attaques par rançongiciel ou tout autre cyberincident[4]. Le plan d’intervention en cas d’incident doit être établi, répété et mis à l’épreuve pour que votre organisation soit bien adaptée et qu’elle prenne les mesures essentielles pour atténuer les pertes liées aux rançongiciels en cas d’attaque. Pour prendre ces décisions, il n’est pas recommandé d’attendre qu’une attaque ait eu lieu, lorsque le stress est élevé et que chaque minute compte.

Le fait de disposer d’une stratégie d’intervention en cas d’incident bien établie, englobant le personnel, les processus et la technologie, peut faire la différence entre gérer une crise et perdre le combat contre les auteurs de menaces. Les services de conseillers en analyse statistique des données et en intervention en cas d’incident doivent être retenus avant un incident et doivent être validés par votre assurance cyber-risques – en fait, votre assureur aura préapprouvé des professionnels d’intervention tiers dans des domaines comme l’expertise judiciaire en cas d’incident, le conseils juridiques, les communications en cas de crise et les négociations et le paiement de rançons[5].

La mise à l’essai du plan d’intervention en cas d’incident est essentielle. Prévoyez au moins une ou deux mises à l’essai par année et respectez ce calendrier. Les organisations ont tendance à négliger cette étape, mais il ne sert à rien d’avoir un plan solide si vous ne l’avez pas testé pour en évaluer l’efficacité. Les meilleurs conseillers en cybersécurité recommandent de retenir les services d’un fournisseur externe pour vous aider à exécuter des simulations sur maquette; il peut s’agir d’un cabinet d’avocats, d’un cabinet d’expertise judiciaire ou des deux[6].

 

3.Intégration de la cyberpréparation à votre culture

Les employés subalternes, ainsi que les cadres supérieurs, sont en première ligne pour protéger votre entreprise contre les attaques par rançongiciel et tous les autres cyberincidents. Pour veiller à ce que les employés demeurent vigilants, un changement culturel concernant l’approche en matière de cybersécurité doit avoir lieu.

Par le passé, les cyber-risques étaient considérés comme relevant du seul domaine des TI. Aujourd’hui toutefois, les risques sont trop grands pour qu’une seule équipe puisse les gérer. Les leaders et les employés doivent adopter une mentalité de contrôle des risques dans leur travail quotidien, ce qui signifie souvent de ralentir et de réfléchir davantage avant d’ouvrir un courriel ou une pièce jointe, afin de s’assurer que cela est sécuritaire.

La formation sur la cybersécurité et l’hameçonnage doit également être créative, intéressante et attrayante, et non punitive. Une telle formation revient trop souvent à un événement unique lors de l’intégration des nouvelles recrues, au lieu d’être donnée plusieurs fois par année à l’ensemble de l’effectif. Les organisations les mieux préparées utilisent une plateforme en ligne ludique pour inciter les employés à se renseigner sur les secteurs à risque élevé et sur ce qui se produit s’ils cliquent sur certains liens. L’entraînement est essentiel : comme pour toute autre compétence, la capacité des employés à cerner les risques (et l’attention accordée à la cybersécurité en général) diminue avec le temps qui s’écoule entre les formations.

Les formations sont importantes pour des raisons autres que les attaques elles-mêmes. Les assureurs en cyber-risques veulent être rassurés : votre cyberstratégie comprend-elle les politiques et procédures appropriées, et prenez-vous des mesures culturelles pour atténuer vos risques?

 

4.L’assurance cyber-risques est indispensable, mais elle ne suffit pas

L’assurances cyber-risques et les solutions de transfert du risque sont essentielles pour n’importe quelle entreprise, mais elles représentent seulement l’une des variables de l’équation de la cybersécurité. La résilience de votre organisation à une attaque par rançongiciel dépend de votre capacité à mettre en place les services de fournisseurs tiers d’intervention en cas d’incident en vue d’atténuer les coûts d’interruption des activités et la perte critique de réputation lorsque chaque minute compte. Si vous subissez une attaque, vous n’aurez pas le temps ni la présence d’esprit de rechercher des fournisseurs et de négocier des contrats. Votre assureur en cyber-risques peut vous fournir une liste de ces personnes-ressources et mettra à votre disposition un réseau de professionnels et de services en cybersécurité préqualifiés.


Ce document a été préparé à des fins d’information seulement et ne doit pas être considéré pour toute autre fin. Vous devez consulter vos propres conseillers juridiques et responsables des technologies et de la sécurité de l’information avant de mettre en œuvre toute recommandation ou orientation fournie dans les présentes.

[1] Aon. Consider these 10 critical steps to prevent, detect ransomware threats (Dix étapes à mettre en place pour prévenir et détecter les menaces de rançongiciel, en anglais)

[2] Statistiques sur les rançongiciels (en anglais)

[3] Cyber Loop: Managing Cyber Risk Requires Circular Strategy (Boucle des cyber-risques : la gestion des cyber-risques exige une stratégie circulaire, en anglais)

[4] Five Steps to Help Get Cyber Incident Response Right for Your Business (Cinq étapes pour que votre entreprise soit prête à intervenir en cas de cyberincident, en anglais)

[5] Three steps to building an effecting cyber incident response plan (Trois étapes pour élaborer un plan d’intervention efficace en cas de cyberincident, en anglais)

[6] CNA CyberPrep (Cyberpréparation de CNA, en anglais)