En raison de la pandémie de COVID-19, bien des entreprises ont rapidement dû déplacer leurs employés, en plus de transformer leurs infrastructures informatiques pour poursuivre leurs activités. Mais ont-elles réfléchi aux risques de cyberattaques ?
La Société de transport de Montréal, l’Hôpital général juif, le CIUSSS du Centre-Ouest-de-l’Île-de-Montréal : les attaques informatiques ont régulièrement fait les manchettes pendant la crise sanitaire. Et ce n’est que la pointe de l’iceberg, d’après Yves Paquette, le fondateur et président de NOVIPRO, une firme spécialisée dans les solutions d’affaires technologiques et infonuagiques.
« Personne n’est à l’abri, avance-t-il. Et personne ne peut dire que ça ne lui arrivera jamais, que ça n’arrive qu’aux autres. »
Or, dans la réorganisation précipitée effectuée au début de la crise sanitaire, plusieurs entreprises n’ont pas révisé leurs pratiques en matière de cybersécurité.
« L’informatique, c’est quand elle plante qu’on réalise qu’elle est essentielle », souligne le chef de la sécurité de l’information (CISO) chez NOVIPRO, Dominique Derrier. Pour lui, une cyberattaque dans une entreprise est comparable à un incendie : tout est détruit, et des experts doivent éteindre le feu vérifier le bâtiment, nettoyer et rebâtir la structure. C’est humainement et économiquement dévastateur.
Identifier les actifs de valeur
Une organisation qui souhaite améliorer la cybersécurité de ses installations et limiter les risques doit avant tout identifier les actifs essentiels au maintien de ses activités. Qu’est-ce qui lui assure des revenus ? Ses employés ? Sa plateforme de commerce électronique ? Ses équipements manufacturiers ? Ses données ?
« Il faut aussi protéger sa capacité à générer de la valeur », explique Dominique Derrier, en donnant l’exemple d’une entreprise dont la survie dépend du commerce en ligne pendant la pandémie de COVID- 19.
« Pour prévenir les cyberattaques, on va réviser les processus de gestion du site Internet transactionnel, former les employés qui assurent son fonctionnement, mettre à jour les outils qui le prennent en charge et revoir les contrôles qui doivent être effectués régulièrement », mentionne Dominique Derrier.
Autrement dit, toutes les portes par lesquelles des cyberpirates peuvent passer pour accéder à l’actif stratégique de l’entreprise doivent être verrouillées. « Il suffit d’une petite fenêtre pour pouvoir entrer », prévient Dominique Derrier. Un seul courriel contenant un lien frauduleux, par exemple, peut donner la clé de l’entreprise aux escrocs.
Le télétravail, plus risqué
Le télétravail, qui a été adopté en catastrophe par de nombreuses entreprises dès le début de la pandémie, a augmenté leur vulnérabilité aux attaques informatiques puisqu’il a multiplié les portes d’entrée. Une augmentation de la surface d’attaque (et du risque) difficile à mesurer pour les entreprises qui n’ont pas encore intégré la sécurité.
« Les technologies évoluent à vitesse grand V et les règles de cybersécurité aussi, insiste Yves Paquette. Une entreprise doit évaluer constamment les risques. »
Pour ce faire, une organisation a avantage à recourir aux services d’experts qui sont à l’affût des nouvelles menaces et qui sont en mesure de déterminer les faiblesses des cyberprotections qu’elle met en place. Selon le président de NOVIPRO, trop de décisions en matière de cybersécurité sont prises dans les entreprises sans l’avis d’un spécialiste, ce qui fait que les moyens utilisés pour faire reculer les escrocs en ligne sont insuffisants, voire inefficaces.
Yves Paquette donne l’exemple d’une usine qui acquiert un équipement pouvant contrôler la chaîne de production à distance, mais qui ne change pas les mots de passe de base. Selon lui, elle s’expose ainsi aux risques qu’un cyberpirate accède à ses données et, qui sait, fasse fonctionner lui-même la machine.
Une gestion en continu
Même quand les risques sont bien cernés et que des barrières sont érigées pour empêcher les cyberpirates de semer la pagaille, une entreprise doit demeurer aux aguets.
« Le défi, c’est de gérer les risques en permanence. Il faut s’adapter au risque », note Dominique Derrier, qui souligne la nécessité de rester zen malgré tout.
Pour aller plus loin, découvrez nos autres articles sur la cybersécurité :