Les cyberattaques coûtent cher, autant en temps qu’en argent. On évalue que les entreprises mettent en moyenne de deux à trois semaines pour se remettre sur pied après une attaque par rançongiciel. Le coût moyen d’une rançon est de 5,2 millions de dollars. Mais la donne est en train de changer. De plus en plus d’attaques sont purement malveillantes, réalisées avec des logiciels de type militaire, conçus pour détruire les données plutôt que pour exiger une rançon.
Quelles sont les bonnes pratiques à mettre en place maintenant afin de réduire les risques et de minimiser les impacts d’une cyberattaque? Nous avons posé la question à François Morin, spécialiste principal des ventes, stockage chez IBM Canada.
On dit que la question à poser n’est plus de savoir si notre entreprise sera attaquée, mais bien quand elle le sera. Est-ce vrai?
Oui, tout à fait. Aucune entreprise, quelle que soit sa taille, n’est à l’abri. Même avec les meilleures pratiques et une extrême vigilance, on ne sera jamais en mesure de fermer complètement la porte aux attaques. Il faudrait travailler en vase clos, sans aucun accès à Internet. Ce n’est pas réaliste.
Comment faire alors pour réduire les risques d’être attaqués?
Chez IBM, nous parlons de l’avant et de l’après-boum, le boum étant l’attaque. Le volet prévention demeure crucial. Cela passe par la mise en place des meilleures pratiques en matière de chiffrement, de gestion des accès, de mise à jour des systèmes et d’utilisation de logiciels de détection avancés. Et, bien sûr, on doit aussi s’assurer de bien sensibiliser et de former les employés aux pratiques frauduleuses, pour éviter qu’ils ne deviennent la porte d’accès aux attaques.
Et quand, malgré tout, une attaque survient, que peut-on faire pour minimiser les dommages?
Une bonne préparation est importante. Idéalement, l’entreprise a un plan de match qui décrit comment elle réagira selon le type d’attaque. L’erreur, cependant, est de viser un retour complet à la normale, ce qui est presque impossible. Des systèmes ont été attaqués, il manque peut-être des données. Remonter l’ensemble des systèmes à partir de sauvegardes requiert énormément de temps et de travail. Selon nos études, les organisations mettent en moyenne 23 jours pour redevenir fonctionnelles, c’est-à-dire que les systèmes prioritaires sont de nouveau opérationnels. Cette paralysie qui perdure coûte cher en plus d’être très dommageable pour la marque.
Que faut-il viser alors?
Notre stratégie chez IBM diffère un peu de ce qui se fait présentement et permet de remonter les systèmes beaucoup plus rapidement, c’est-à-dire en quelques heures. C’est une approche différente en matière de protection : on se sert de copies immuables en prioritisant les serveurs les plus critiques initialement. Ces sauvegardes sont automatisées et entreposées dans des chambres fortes non atteignables. Lors d’une attaque, on récupère ces copies qu’on déploie sur des environnements de test pour fin de validation avant de remettre les systèmes en production de manière ultrarapide.
Dans un monde idéal, on voudrait tout récupérer, et il sera toujours possible de remonter les autres systèmes par la suite. Mais le nerf de la guerre, c’est redevenir opérationnel rapidement. La priorité va aux serveurs transactionnels, à notre site Web, à notre site transactionnel, aux bases de données liées à la marchandise, à nos clients. Bref : au cœur de métier de l’entreprise.
Cela dit, il ne faut pas faire l’erreur de se croire à l’abri, même si on met en place toutes les stratégies de prévention et de réaction. Les choses évoluent très rapidement. Qui sait où nous en serons dans six mois? La gouvernance en matière de cybersécurité doit être renouvelée constamment afin de devenir cyberrésiliente.