Guide sur la cybersécurité pour les conseils d’administration

Table des matières

• Introduction
• Étendue des dommages liés à la cybersécurité
• Multiplication des points d’accès – votre propre système de sécurité peut poser un risque
• Possibilités liées aux données et à la vie privée pour les organisations
• Stratégies et interventions des conseils d’administration sensibilisés à la cybersécurité
• Stratégies des conseils d’administration axés sur la cybersécurité
• Interventions des conseils d’administration axés sur la cybersécurité
• Un aperçu de l’avenir?

Le progrès des risques émergents liés à la cybersécurité revient toujours parmi les préoccupations prioritaires des dirigeants d’entreprise. Pourquoi? On prévoit que le coût annuel du cybercrime à l’échelle mondiale devrait atteindre six mille milliards de dollars américains avant la fin de 2021, et ce, avant même que la pandémie de COVID-19 n’ouvre tout un horizon de nouvelles perspectives aux pirates informatiques. Selon les plus récentes prévisions, les ordinateurs et les réseaux des entreprises sont désormais la cible de cyberattaques toutes les 39 secondes.

Les dirigeants, en particulier les conseils d’administration, doivent mettre de côté la question à savoir si les cybercriminels tenteront de pirater leur organisation, car il s’agit maintenant d’une évidence. La question est maintenant de savoir quand attaqueront-ils et quelles sont leurs chances de réussite?

Les intrusions n’affectent pas seulement la capacité d’une organisation à exercer ses activités. Une attaque bien ciblée peut compromettre la propriété intellectuelle, les renseignements des employés et des clients, et même les installations physiques. Le cas échéant, les dommages financiers et juridiques ainsi que l’atteinte à la réputation peuvent être difficiles à surmonter. Il est même probable qu’ils éclipsent le coût et le temps requis pour rétablir les systèmes.

De plus, les cyberattaquants sont de plus en plus hardis et compétents, ce qui en fait un enjeu encore plus crucial. Pour chaque attaque repoussée et chaque faiblesse corrigée, au moins deux autres semblent ressurgir. La préparation ne cesse jamais; les organisations doivent constamment surveiller leurs systèmes, scruter les menaces potentielles et vérifier la répartition de leurs ressources simplement pour garder le rythme.

La sécurité et la vie privée sont des préoccupations fondamentales pour le déroulement des activités et la gouvernance d’une entreprise, peu importe sa taille. Même les entités d’envergure supérieure, qui semblent les mieux informées et les plus avancées sur le plan technologique, sont la proie d’intrusions. Il suffit de penser au propriétaire d’un véhicule électrique qui est récemment parvenu à accéder à des données pour ensuite prendre le contrôle d’une flotte entière de véhicules. Heureusement, il avait de bonnes intentions et a fait part de ses découvertes à l’organisation concernée¹. Cela dit, la situation aurait pu se révéler bien pire.

Si une entreprise convoitant une capitalisation boursière de mille milliards de dollars peut être la proie d’une telle attaque, qu’en est-il de celles disposant d’une fraction de ces ressources?

Il est important de ne pas oublier que la fréquence et le degré de complexité des cyberattaques ne sont pas les seuls facteurs dignes de mention; la multiplication rapide des points d’accès l’est également. La prolifération des systèmes intelligents et des technologies de l’Internet des objets dans les voitures, les immeubles, les résidences, les organisations et les services publics offre aux pirates informatiques une abondance de points d’entrée.

Comme le montre l’exemple que nous avons donné ci-dessus, les véhicules modernes, qui comportent une vaste gamme d’ordinateurs, de points d’accès sans fil, de technologies Bluetooth, d’outils de diagnostic, etc., sont plus susceptibles que jamais aux cybermenaces. Il y a quelque temps, l’Administration postale des États-Unis a annoncé son intention de moderniser ses véhicules de livraison, ce qui posera assurément un cyberrisque accru. Les avantages du service client et de l’efficacité sont évidents, mais ils sont aussi proportionnels aux efforts de la haute direction pour remédier aux faiblesses.

Même les dispositifs apparemment inoffensifs tels que les porte-clés, les ascenseurs et les systèmes de chauffage, de ventilation et de climatisation (CVC) sont de plus en plus vulnérables. Les fabricants de ces systèmes, connectés à Internet et Bluetooth, priorisent généralement le bon fonctionnement et l’aspect pratique, et considèrent la cybersécurité comme accessoire. Par conséquent, les pirates informatiques disposent d’une multitude de points d’accès vulnérables, et se servent souvent de ces systèmes pour s’introduire dans les réseaux, que ce soit afin de voler des données ou de rançonner les entités. Un casino a appris cette leçon à la dure, lorsque la compromission d’un simple thermomètre pour aquarium connecté à Internet a fourni à des pirates informatiques un accès direct à la base de données des grands parieurs².

Même les systèmes de sécurité, qui par leur nature sont censés permettre la détection précoce des menaces et assurer une tranquillité d’esprit incomparable, peuvent s’avérer le talon d’Achille d’une entité sans supervision ni contrôles adéquats. La preuve? Un groupe de pirates informatiques a récemment pu accéder au flux en direct de 150 000 caméras de sécurité situées dans des hôpitaux, des entreprises, des postes de police, des prisons, des écoles et des organisations d’envergure³. La longue chaîne d’approvisionnement et d’exploitation de ces appareils et de bien d’autres rend difficile la localisation du point faible, qui peut se trouver au sein de l’organisation ou d’un fournisseur de services éloigné. 

Les consommateurs sont de plus en plus inquiets de la façon dont les entités recueillent et utilisent leurs données personnelles, surtout depuis que la collecte de données est monnaie courante et que les intrusions continuent de faire les gros titres. Les organismes de réglementation rattrapent également leur retard. Cette attention accrue peut donner l’impression aux dirigeants d’être constamment scrutés au microscope; pourtant, il est judicieux de tenir compte des possibles avantages concurrentiels d’une position fortement axée sur la vie privée.

Les consommateurs sont plus informés que jamais, particulièrement en ce qui a trait au numérique, et la vie privée devient rapidement un critère d’achat déterminant pour eux. Les données que recueille une organisation sont un élément crucial, tout comme la façon dont elles sont recueillies, utilisées et protégées. Des politiques de protection des données fiables et transparentes ainsi qu’une gouvernance rigoureuse deviennent rapidement des propositions de valeur concurrentielles au même titre que le prix, la qualité et le service client.

Il est intéressant d’étudier le cas d’Apple Inc., multinationale spécialisée dans la technologie, qui prône le respect de la vie privée des utilisateurs et prend des mesures concrètes à cet égard. Plusieurs de ses concurrents esquivent les demandes pour obtenir une information plus exhaustive et un contrôle des utilisateurs sur leurs données, mais Apple privilégie une approche différente en défendant les préoccupations et les priorités de ses loyaux utilisateurs.

Évidemment, l’établissement d’une culture authentique, rigoureuse et honnête favorisant la vie privée entraîne plusieurs coûts initiaux. Toutefois, les possibilités et les avantages à long terme qui en découlent en valent largement la peine. 

Aujourd’hui, la vie privée et la sécurité ne sont plus des préoccupations purement technologiques. Nous avons déjà constaté le rôle déterminant que jouent la culture, la marque et les politiques dans l’atténuation des risques et la prévention des attaques. La haute direction (en particulier les administrateurs) doit par conséquent relever le défi d’établir une culture et un cadre stratégique qui contribuent réellement à gérer et à atténuer les risques liés à la cybersécurité et à la vie privée. Chaque membre d’une organisation a une part de responsabilité dans la prévention, le signalement et la gestion des incidents. Cela dit, tout commence à la table du conseil d’administration.

Stratégies des conseils d’administration axés sur la cybersécurité

Puisque les membres d’un conseil d’administration doivent donner l’exemple, les stratégies décrites ci-dessous peuvent influencer leurs discussions et les guider dans leur prise de décisions ainsi que dans la détermination de leurs priorités.

1. Le cyberrisque est un risque d’entreprise : La technologie et les affaires sont indissociables. Il y a donc lieu d’intégrer les questions de cybersécurité et de vie privée à votre stratégie de gestion des risques d’entreprise (c.-à-d. à votre registre des risques) pour comprendre la probabilité d’une intrusion, connaître son origine possible et déterminer les étapes à suivre afin de l’éviter (ou d’en réduire l’incidence).
2. La gestion du cyberrisque nécessite des connaissances spécialisées : Invitez des experts en cybersécurité à vos réunions et prévoyez des questions sur le cyberrisque et la vie privée à l’ordre du jour. Créez un comité des technologies qui discutera des priorités, des tendances, des préoccupations ainsi que des contrôles émergents.
3. La gestion du cyberrisque commence par des politiques : Établissez et encouragez une culture de prévention des cyberincidents en mettant l’accent sur la protection des renseignements personnels, de saines pratiques technologiques et la sensibilisation aux risques dans l’ensemble de l’organisation.
4. Les cyberrisques ont des répercussions juridiques : Demeurez au fait des changements législatifs, des exigences en matière de conformité et de réglementation, ainsi que des décisions que les tribunaux ont rendues sur la vie privée, la cybersécurité, les directives relatives au signalement et les répercussions pour les entreprises qui ont subi une cyberintrusion.
5. Les cyberrisques et les attaques sont en constante évolution : Concentrez-vous sur les principes de base en cybersécurité et visez l’excellence, tout en demeurant au fait des plus récentes techniques utilisées par les pirates ainsi que des incidents et des risques, plus particulièrement dans votre secteur.
6. Les cyberrisques ne sont pas tous égaux : Déterminez les cyberrisques que vous souhaitez éviter, ceux qu’il vous faut atténuer ou que vous êtes prêts à tolérer ou à transférer au moyen d’une assurance — ainsi que votre stratégie pour chacun d’eux.
7. Une politique sur la collecte de données et la vie privée est essentielle : Tenez-vous informé sur les données que vous recueillez et surveillez de près les nouvelles réglementations ainsi que celles qui existent déjà dans votre territoire. Demeurez au fait des connaissances et des exigences des parties prenantes, et investissez dans la mise en œuvre de politiques qui surpasseront sans cesse leurs attentes.

Bonnes habitudes des conseils d’administration soucieux de la cybersécurité

Les membres du conseil d’administration sont les mieux placés pour influencer et remodeler la culture d’une organisation de haut en bas. Tout comme les sept stratégies précédentes peuvent contribuer à définir les attitudes et les objectifs du conseil en lui-même, les six étapes qui suivent peuvent jeter les bases d’une culture durable et résistante en matière de cybersécurité.

1. Établir des politiques et des procédures efficaces : Faites que votre organisation respecte les lois sur la protection des renseignements personnels qui s’appliquent, tout en mettant à la disposition de votre équipe un ensemble de règles et de pratiques exemplaires à cet effet.
2. Créer (et tester) un plan d’intervention en cas d’incident : Veillez à ce que chacun comprenne comment reconnaître une intrusion et la contenir, avec qui communiquer en cas d’intrusion connue ou suspectée, et quoi faire par la suite.
3. Procéder à une analyse de la préparation et des menaces : Revoyez périodiquement les contrôles (c.-à-d. les politiques, la technologie) pour déterminer s’ils répondent de manière convenable et efficace au profil de risque de votre entreprise.
4. Revoir votre infrastructure technologique : Évaluez périodiquement votre cadre technologique (pare-feu, anti-maliciel, versions logicielles, etc.) pour déterminer s’il vous protégera contre une intrusion.
5. Soumettre vos systèmes à un test d’intrusion : Soyez proactif dans la détection des vulnérabilités de vos systèmes technologiques; vous pourrez ainsi évaluer l’efficacité de vos contrôles informatiques et les dommages potentiels d’une intrusion.
6. Gérer vos fournisseurs externes : Informez-vous des précautions prises par les organisations avec lesquelles vous collaborez afin d’assurer l’intégrité de vos données, de la façon dont elles vous protégeront en cas d’intrusion dans leurs systèmes, et de vos responsabilités afférentes. 

La pandémie de COVID-19 a donné lieu à une profusion d’escroqueries, de fraudes et de demandes trompeuses provenant d’acteurs malveillants et opportunistes. Selon le gouvernement du Canada, le volume cumulatif de courriels et de menaces connexes pourrait constituer la plus vaste série d’attaques jamais menée exploitant une seule et même situation. La pandémie a créé la parfaite combinaison de peur, d’incertitude, de doute et de chaos, dont les fraudeurs se sont empressés de tirer profit. Les organisations, plus précisément les conseils d’administration, doivent en faire de même.

Considérer la crise actuelle comme une situation passagère et s’attendre à un retour à la normale une fois les principaux problèmes réglés tiendrait de la négligence. La normalité qui s’ensuivra posera de nouveaux défis; les organisations doivent s’adapter à des modèles d’exploitation hybrides, l’écart se creuse entre les ressources en télétravail et celles au bureau, et les investissements dans les initiatives numériques qui avaient temporairement été mis de côté en raison de besoins plus urgents doivent maintenant être réalisés.

Les préoccupations et les vulnérabilités découlant de la pandémie ont été particulièrement évidentes au cours de la dernière année, ce qui présente des avantages, mais aussi des inconvénients pour les criminels. Ils peuvent bien sûr exploiter ces points faibles, mais les gens sont plus informés et peuvent déjouer leurs tactiques. La question qui se pose dorénavant est la suivante : serez-vous prêt quand les pirates informatiques changeront leur façon de procéder?

C’est déjà arrivé et ça se reproduira assurément. Une approche de haut en bas en matière de gestion des risques et de résilience est le seul moyen de répondre à cette question avec une quelconque assurance.

[1] LAMBERT, F. The Big Tesla Hack: A hacker gained control over the entire fleet, but fortunately he’s a good guy (en ligne), Elektrek, 27 août 2020 (consulté le 25 mars 2021). Sur Internet : <https://electrek.co/2020/08/27/tesla-hack-control-over-entire-fleet/>.

[2] LARSEN, S. A smart fish tank left a casino vulnerable to hackers (en ligne), CNN Business, 19 juin 2017 (consulté le 25 mars 2021). Sur Internet : <https://money.cnn.com/2017/07/19/technology/fish-tank-hack-darktrace/index.html>.

[3] TURTON, W. Hackers Breach Thousands of Security Cameras, Exposing Tesla, Jails, Hospitals (en ligne), Bloomberg, 9 mars 2021 (consulté le 25 mars 2021). Sur Internet : <https://www.bloomberg.com/news/articles/2021-03-09/hackers-expose-tesla-jails-in-breach-of-150-000-security-cams>.