« Nous ne sommes pas ciblés. »

Ne pas accepter de paiements par carte de crédit ou ne pas stocker de renseignements personnels ne suffit pas pour être à l’abri de cyberattaques : elles ciblent aussi les renseignements sur l’état de santé, les NAS et les listes d’employés, autant de renseignements personnels auxquels les courtiers en information du marché noir accordent une grande valeur.

Selon Marc Fournier, associé et leader de la cybersécurité pour le Québec, PwC, « les cybercriminels d’aujourd’hui ciblent souvent les entreprises qui ont tardé à investir dans leur sécurité. Ils s’en servent comme plateforme pour lancer une attaque visant d’autres organisations. »

Il reste que même si on les utilise comme simples passerelles pour accéder aux informations d’une autre entreprise, les organisations relais s’exposent à des conséquences juridiques. Pour réussir dans un contexte où les risques évoluent rapidement, les entreprises ont besoin non seulement d’une stratégie de cybersécurité et de protection de la vie privée bien pensée, mais aussi des compétences et des ressources adéquates pour la mettre en œuvre.

« Ce n’est pas dans notre budget. »

« Les coûts d’une entreprise victime d’un piratage se mesurent en pertes de clients, en règlements de poursuite, en interruption des activités et en réputation entachée. Protéger son entreprise contre les cyberattaques doit être vu comme un impératif, et non comme une dépense discrétionnaire. », ajoute M. Fournier. En un mot, à l’affirmation « on ne peut pas se le permettre », nous répondons « vous ne pouvez risquer de ne pas vous le permettre ».

Comme le fait remarquer M. Fournier, « investir dans la cybersécurité est dérisoire comparativement aux coûts à débourser lorsqu’on se retrouve au beau milieu d’une attaque de grande ampleur ».

Il est inutile pour les entreprises d’investir dans des solutions toutes faites, prêtes à implanter. En fait, PwC conseille plutôt de rechercher une solution sur mesure et évolutive, capable de remédier aux vulnérabilités propres à chaque entreprise et de répondre aux exigences des dispositifs servant à protéger les renseignements sensibles. Ces solutions peuvent s’avérer bien plus abordables que les produits et services qui couvrent un éventail de problèmes qui ne concernent pas forcément chaque entreprise.

« Je ne saurais par où commencer. »

1. Cherchez à savoir où se trouvent vos points faibles et comprenez bien votre cyberécosystème.
2. Déterminez vos données les plus précieuses et identifiez les gens qui y ont accès.
3. Formez vos employés pour en faire votre première ligne de défense (75 % des attaques proviennent de l’intérieur ; pourtant 42 % des répondants ont affirmé ne jamais former, de manière structurée, leurs employés sur la cybersécurité).
4. Soumettez les données les plus sensibles à des mécanismes de contrôle adéquats capables de les protéger contre les moyens les plus susceptibles d’en compromettre la confidentialité.
5. Mettez en place des protocoles qui définissent la responsabilité de chaque partie en cas d’attaque (49 % des répondants ont avoué ne pas être en mesure de réagir efficacement à une attaque, ou ne pas savoir s’ils seraient en mesure de le faire).

Ces mesures ont une importance non seulement pour la protection des activités de toute entreprise au Canada, mais il pourrait être nécessaire de prouver la mise en place de protocoles adéquats pour faire affaire avec des entreprises aux États-Unis et, sans aucun doute, obligatoire de le faire dans le cas des entreprises désireuses d’investir dans les marchés internationaux.