Les pirates n’empêchent pas les patrons de dormir : 86 % des décideurs d’affaires pensent que leur entreprise est capable de faire face aux attaques informatiques. Cette confiance étonne certains experts en sécurité et contraste avec la fréquence des attaques.
Un tiers des entreprises canadiennes reconnaissent avoir déjà été victimes d’une attaque par rançongiciel (ransomware) ou d’une autre menace informatique. C’est un des résultats de l’édition 2018 du Portrait des TI dans les moyennes et grandes entreprises, une étude réalisée par Léger et NOVIPRO.
Mais ce taux de reconnaissance des attaques sous-estime probablement l’ampleur de la menace. Roger Ouellet, concepteur de solutions et responsable de la pratique Sécurité chez NOVIPRO, pense que la plupart des entreprises ignorent les attaques qui n’ont pas réussi ou qui ne se sont pas encore révélées. « Beaucoup de logiciels malfaisants et de virus sont en dormance, en attente d’une date ou d’une action pour se déclencher, explique-t-il. Lorsqu’on commence à surveiller attentivement ce qui circule sur le réseau d’une entreprise, on trouve presque toujours une menace ou un comportement suspect. »
Equifax, Yahoo, Uber : plusieurs grandes entreprises ont fait les manchettes par leur incapacité à protéger les données personnelles de leurs clients. « Les conséquences sont graves pour les usagers victimes de ces attaques, juge Cyrille Aubergier, responsable de la gestion de la sécurité pour l’entreprise SITAONAIR à Montréal, et chargé de cours en cybersécurité à Polytechnique. Les pirates peuvent accéder non seulement à leur mot de passe, nom, prénom, date de naissance ou numéro d’assurance sociale, mais aussi aux questions de sécurité qui sont posées pour modifier les mots de passe. Or, ces questions sont presque toujours les mêmes d’un service à l’autre. »
Cependant, la plupart des attaques contre les entreprises ne sont pas médiatisées. Elles visent le plus souvent à soutirer de l’argent à l’entreprise, notamment en cryptant des données et en exigeant une rançon pour les rendre accessibles.
Davantage d’appareils connectés... et de cibles pour les pirates
Aucune entreprise n’est à l’abri, parce que de plus en plus d’appareils sont connectés sur les réseaux. « Il y a 10 ou 15 ans, un réseau d’entreprise pouvait se résumer à un ou deux serveurs, à des ordinateurs de bureau et à des imprimantes, rappelle Roger Ouellet. S’y ajoutent aujourd’hui les ordinateurs portables, les tablettes et les téléphones intelligents, mais aussi d’autres objets connectés comme des thermostats ou des systèmes de vidéoconférence. La surface d’attaque, pour les pirates, a augmenté considérablement. »
Malgré ces menaces, les décideurs d’affaires au Canada sont confiants : 86 % affirment que leur entreprise est bien protégée, dont 40 % qui s’estiment très bien protégés.
Cette assurance surprend un peu Cyrille Aubergier. « Il y a peut-être un excès de confiance de la part des entreprises canadiennes, dit-il. Je remarque que les consommateurs canadiens semblent moins méfiants que les Américains et les Européens envers les menaces d’hameçonnage par courriel. Or, ces menaces sont aussi présentes dans les organisations, parce que beaucoup d’employés utilisent leur téléphone et leur portable à la fois pour des communications personnelles et professionnelles. »
L’utilité de mener des audits réguliers La confiance des décideurs d’affaires envers la sécurité contraste avec d’autres résultats du sondage : moins de 40 % des entreprises ont procédé à un audit de sécurité au cours de la dernière année. Et durant la même période, seulement 38 % ont effectué un test de relève pour vérifier qu’elles pourraient reprendre leurs activités rapidement après une attaque ou un désastre.
C’est trop peu, selon Roger Ouellet, de NOVIPRO. « Je crois que les entreprises devraient faire au minimum un audit de sécurité et un test de relève chaque année dit-il. Elles ne devraient pas se contenter d’espérer que les mises à jour des logiciels antivirus les protègent… »
Cyrille Aubergier, de SITAONAIR, pense aussi que les entreprises devraient mobiliser davantage leurs ressources pour mieux se protéger. « La confiance des dirigeants repose beaucoup sur des équipements et des solutions logicielles de sécurité, mais il ne faut pas oublier le facteur humain : la menace vient aussi des comportements insouciants et du manque de vigilance. En fin de compte, ce sont des humains, pas des machines, qui peuvent assurer la sécurité... »
Les entreprises et leurs dirigeants TI sont quand même conscients des menaces. À preuve, 44 % des entreprises prévoient de mener des projets TI consacrés à la sécurité au cours des deux prochaines années. La sécurité est d’ailleurs le domaine le plus souvent cité pour les projets TI à court terme.