La planification de la reprise des activités est essentielle. Pourquoi les organisations hésitent-elles à y recourir?

Dans la dernière année, les cybercriminels en ont profité pour redoubler d’ardeur dans leurs attaques, au moment où une grande partie de la main-d’œuvre passait au télétravail et à l’accès à distance. Les intrusions subies par des organisations d’envergure réputées et les pertes qui en découlent font de plus en plus les manchettes. Prenons l’exemple récent de l’attaque par rançongiciel dont a été victime Colonial Pipeline, en mai 2021, qui a causé une pénurie de carburant dans tous les États-Unis.

Les répercussions de ces incidents alimentent la peur et l’inconfort chez les dirigeants d’entreprise et le grand public. À juste titre, puisque le baromètre du risque d’Allianz classe les cyberincidents au troisième rang des risques à l’échelle mondiale pour 2021.

La spirale des dommages découlant de l’interruption des activités

Il est déjà difficile de remédier aux pertes engendrées par les cyberattaques, sans même tenir compte des interruptions des activités qu’elles entraînent. Les experts en informatique peuvent souvent rétablir les systèmes en quelques semaines, voire parfois quelques jours, après une attaque. Cependant, ce n’est que la pointe de l’iceberg : l’interruption des activités peut avoir de nombreuses conséquences sur la réputation et le revenu d’une entreprise, et ce, pendant des semaines, possiblement des années.

De nombreuses organisations sont maintenant conscientes des avantages de collaborer avec des experts en cybersécurité afin de former leurs équipes, d’évaluer les risques, de mettre en place des contrôles et de simuler des attaques pour apprécier la capacité de réponse aux incidents. Cela dit, même les meilleurs mécanismes de défense ne peuvent qu’atténuer les risques d’intrusion. Il est pour ainsi dire impossible de les prévenir, et peu d’entreprises prennent les mesures appropriées afin de se préparer aux contrecoups d’une intrusion.

Les interruptions des activités découlant de cyberattaques représentent maintenant près de 60 % de la valeur des demandes d’indemnisation. À mesure que progresseront les tactiques d’intrusion et les demandes du marché, le libellé des polices et les modalités de couverture changeront assurément elles aussi. Un soutien adéquat en juricomptabilité est donc essentiel, tant avant qu’après une attaque. D’abord, pour examiner la couverture et les modalités d’assurance, anticiper les pertes pouvant découler d’une attaque et planifier en conséquence. Ensuite, pour élaborer une stratégie permettant aux entreprises de recouvrer les pertes réelles et de relancer complètement leurs activités.

Incidences sur votre entreprise

La couverture médiatique des cyberattaques se termine habituellement au moment de l’atténuation du code malveillant et du rétablissement des services. Cela dit, cette étape marque seulement le début de la relance d’une organisation. La détermination des pertes de revenus peut s’avérer bien plus ardue et l’incident continuera probablement à nuire aux affaires longtemps après le rétablissement des systèmes.

Parmi les questions importantes, on retrouve les suivantes :

• Les cybercriminels ont-ils utilisé leur accès pour télécharger de l’information sensible (p. ex., données personnelles de clients ou d’employés, droit de propriété intellectuelle, etc.)? Quels renseignements ont été compromis et quelles sont les obligations légales et éthiques de l’organisation à l’égard des parties concernées (p. ex., surveillance du crédit, dédommagement financier, etc.)?
• L’attaque a-t-elle compromis d’autres serveurs ou des données d’accès pouvant mener à une nouvelle intrusion? Quelles sont les étapes à suivre afin de protéger complètement l’organisation et de prévenir une attaque semblable dans l’avenir?
• L’attaque a-t-elle compromis le fonctionnement et l’intégrité d’un système physique (p. ex., tour de forage)? Quels sont les coûts nécessaires et les mesures à prendre pour ramener les systèmes aux paramètres de fonctionnement nominaux?

À la suite d’une attaque, la plupart des entreprises peuvent s’attendre à une perte de confiance généralisée, non seulement de la part des clients et des consommateurs, mais aussi au sein de leurs rangs. Cela peut prendre bien des formes, que ce soit une baisse des revenus ou de la productivité, ou même des poursuites dans les mois et les années à venir. Ces dommages peuvent être considérables, y compris les investissements en matière de relations publiques et d’action sociale, mais ils restent difficiles à quantifier.

Espérez que tout ira bien, mais préparez-vous au pire

Il y a eu une nette amélioration en fait de cyberpréparation au cours des dernières années. En effet, les dirigeants et les conseils d’administration prennent de plus en plus de mesures afin d’évaluer les risques informatiques auxquels ils sont exposés et d’investir dans des contrôles adéquats. Cela dit, même le meilleur périmètre de protection comporte des points faibles, et trop peu d’entreprises tiennent compte de ce qui se produira si des malfaiteurs réussissent à les déceler.

Chez MNP, nous vous aidons à voir au-delà du coup porté par l’attaque et à prendre en considération tous les aspects d’une interruption des activités. Nos équipes multidisciplinaires évaluent vos technologies, votre comptabilité, vos polices d’assurance et votre structure de gouvernance afin de cerner les risques auxquels vous êtes exposé, de quantifier les pertes potentielles à court et à long terme et de planifier les étapes nécessaires à une relance rapide et durable. Ensemble, nous pouvons élaborer un plan de résilience commerciale fiable et complet, qui fournira aux décideurs et aux parties prenantes l’assurance que vous êtes paré à toute éventualité.

Il est presque certain que la probabilité et la fréquence des cyberattaques augmenteront en cette période de changement continu et d’incertitude, malgré le fait que la pandémie se résorbe peu à peu. L’évaluation des risques et la planification de la résilience doivent faire partie intégrante des modifications aux arrangements de travail, tant à distance qu’en personne, de l’adoption de nouvelles technologies ainsi que du déploiement de nouveaux modèles d’affaires et de prestation de services. Sinon, les effets de la COVID-19 sur les entreprises perdureront pendant encore bien des années.

Vous voulez en savoir plus sur la façon dont vous pouvez mieux planifier la reprise de vos activités? N’hésitez pas à communiquer avec nous afin d’obtenir une évaluation gratuite. Nous serons ravis de vous aider à établir votre feuille de route.

Communiquez avec notre équipe pour débuter

Stephen Dodd est membre de l’équipe Juricomptabilité et soutien en litige du bureau de MNP à Toronto et leader des Services-conseils en assurance pour l’Ontario. S’appuyant sur plus d’une décennie d’expérience dans le secteur de l’assurance, Stephen travaille en étroite collaboration avec les clients en vue d’offrir une vaste gamme de conseils dans le domaine des assurances. Il accompagne les entreprises dans l’atténuation des pertes et les aide à reprendre leurs activités aussi rapidement et efficacement que possible. Les services offerts par Stephen comprennent les réclamations d’assurance et la quantification des dommages, le calcul de la mesure des pertes et des interruptions d’activités, ainsi que les évaluations des besoins d’assurance avant perte. 

Danny Timmins, CISSP, est leader national, Cybersécurité chez MNP. Danny et son équipe misent sur une riche expérience pour conseiller les chefs d’entreprise et les conseils d’administration sur les risques, les tendances et les possibilités dans le domaine de la cybersécurité. Ils ont épaulé de nombreuses organisations canadiennes dans le but d’améliorer leur résilience aux attaques.