6. Protégez vos clients!

Offert par Les Affaires


Édition du 07 Avril 2018

6. Protégez vos clients!

Offert par Les Affaires


Édition du 07 Avril 2018

Par Jean Décary

Les entreprises doivent apprendre à mieux protéger leurs données et à mieux se préparer lorsqu’une cyberattaque survient. Sur notre photo, le Forum international de la cybersécurité en janvier dernier à Lille, en France. [Photo: Getty Images]

DOSSIER TRANSFORMATION NUMÉRIQUE — Qui dit données informatiques dit faille de sécurité potentielle. Les entreprises doivent apprendre à la fois à mieux protéger leurs données et à mieux se préparer lorsqu'une cyberattaque survient.

Jean-Philippe Décarie-Mathieu, directeur général de Crypto.Québec et coordonnateur au centre opérationnel de sécurité du Corps des commissionnaires du Québec, juge que les entreprises, ici comme ailleurs, tardent à prendre au sérieux les menaces informatiques. « Règle générale, c'est souvent vu comme une dépense et non comme un investissement. » Il croit que c'est encore la mentalité d'une vieille garde qui prévaut et souhaite qu'un changement de mentalité ait lieu. « On préfère encore payer les coûts d'une brèche informatique plutôt que d'investir en sécurité. »

Même son de cloche pour le chargé de cours en cybersécurité à Polytechnique et responsable de la gestion de la sécurité à Sitaonair, Cyrille Aubergier. « Il faudrait un investissement plus fort des entreprises en matière d'expertise et d'outils. Dans énormément de cas [de bris de sécurité], une solution connue existait déjà depuis quelque temps. » Il évoque la faille survenue chez Équifax et qui a exposé les informations personnelles de nombreux Américains. « Ils ont échoué dans leur gestion de la sécurité et dans leur analyse de risque. Ce qui est choquant, c'est qu'ils auraient pu apporter des correctifs depuis des mois. Finalement, ils ont investi davantage pour gérer la crise que pour la prévenir. »

Selon les plus récentes données du Centre antifraude du Canada (CAFC), qui collige ce type de renseignements, les pertes financières totales signalées par les Canadiens étaient de l'ordre de 74 millions de dollars en 2014. Au cours de cette même année, 42 200 plaintes ont été formulées pour des fraudes de marketing de masse et de vols d'identité. Ce ne sont là que les fraudes financières déclarées, précise M. Aubergier. « C'est évident que tous n'ont pas déclaré leurs incidents. Il y a une certaine honte à se faire pirater. » Il juge difficile d'évaluer le nombre réel de fraudes, mais estime qu'elles pourraient représenter le double des données avancées par le CAFC.

Selon un récent rapport de CSIS et McAfee publié en février 2018, les plaintes de cybercriminalité qui ont fait l'objet d'enquête par la Gendarmerie royale canadienne ont augmenté de 45 % entre 2015 et 2017. Selon la Chambre de commerce du Canada, près de la moitié des petites et moyennes entreprises canadiennes auraient été victimes de cyberattaques.

Pas de solution miracle

Que peuvent faire les entreprises pour se prémunir contre de possibles attaques à leurs systèmes informatiques ? « Cela dépend toujours du type de menace, souligne M. Décarie-Mathieu. La sécurité, c'est un processus, pas un produit. Il n'existe pas de solution miracle qui permette d'être 100 % sécuritaire. » Il existe cependant de bonnes pratiques que l'entreprise peut mettre en place. « Est-ce qu'on chiffre les données importantes ? A-t-on des copies de sûreté (back-up) ? Qui a accès aux mots de passe ? Comment sont-ils gérés ? Fait-on des mises à jour régulièrement à notre parc informatique ? » Selon lui, tous ces gestes réduisent la surface d'attaque et rendent une entreprise moins attrayante aux yeux d'un pirate informatique.

Outre l'aspect technique, le cofondateur de Crypto.Québec mentionne également des démarches qui peuvent être menées au sein d'une entreprise pour sensibiliser les employés aux risques de la cybercriminalité. « Du travail proactif peut être fait. Toutes les entreprises devraient développer leur "modèle de menace" en fonction de leurs atouts et de leur milieu. » Il mentionne que certaines entreprises mènent même de fausses campagnes d'hameçonnage pour tester l'étanchéité et la sécurité de leur système.

M. Aubergier a été surpris de constater dans une étude récente que la majorité des entrepreneurs (environ 80 %) estimait avoir confiance dans leur mécanisme de sécurité. « Je crois qu'il faut regarder les choses avec lucidité et se poser la question : avons-nous bien évalué la menace ? Connaissons-nous bien nos risques ? » Selon lui, la plupart des attaques de particuliers et d'entreprises sont opportunistes et guidées par l'appât du gain. « Le cryptage, lorsqu'il est bien fait, est une bonne solution pour protéger ses données. D'autant plus si vous hébergez vos données dans des services d'infonuagiques à qui vous avez délégué votre infrastructure et certains éléments de votre sécurité. »

Les obligations des entreprises en cas de bris de sécurité

Antoine Guilmain, avocat en protection des renseignements personnels chez Fasken, rappelle qu'en amont, « toute entreprise doit prendre des mesures de sécurité au regard de la nature et de la sensibilité des informations qu'elle détient ». Qu'il s'agisse de moyens physiques, techniques (cryptages) ou organisationnels (politiques appropriées et sensibilisation du personnel).

Les entreprises victimes d'un bris de sécurité sérieux peuvent aussi avoir une obligation en matière de notification, rappelle l'avocat. «D'une part, aviser les autorités de contrôle, le commissariat à la protection de la vie privée (fédéral ou provincial) et, d'autre part, les individus concernés pour leur expliquer ce qui est arrivé et ce qui a été fait pour mitiger les dommages.»

Il mentionne qu'à l'heure actuelle, ces obligations en matière de notification n'existent qu'en Alberta et dans certaines lois en matière de protection des renseignements personnels de santé, mais que la situation s'apprête à changer d'ici quelques mois par l'adoption d'un règlement, au fédéral, qui mettra en vigueur les nouvelles dispositions de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

«Les entreprises soumises à la loi fédérale devront notifier le Commissariat à la protection de la vie privée du Canada et les individus s'il y a une atteinte qui présente un risque réel de préjudice grave.» Il ajoute qu'elles auront aussi une obligation de documentation. «Toute entreprise, chaque fois qu'il y a atteinte à ses renseignements personnels, devra tenir un registre, un historique de l'utilisation de ses données.»

***

L’expérience de Deschênes: la cybersécurité doit être la priorité
La confiance dans l’intégrité des données des clients stockées sur la plateforme de ­Groupe ­Deschênes est le nerf de la guerre. Car le jour où des clients auront des doutes à ce sujet à la suite d’une cyberattaque, ils quitteront le navire. L’enjeu est donc de taille pour une entreprise qui compte près de 6 000 clients.

C’est pourquoi la cybersécurité est une priorité pour ­Groupe ­Deschênes, et que ­celui-ci n’a pas lésiné sur les moyens pour y arriver. « ­On voulait avoir le même degré de cryptage pour nos données que celui des banques », explique ­Pedro ­Silva.

Pour des raisons évidentes de sécurité, l’entreprise ne divulgue pas toutes ses stratégies et ses outils pour contrer les cyberattaques.

Elle indique toutefois qu’elle s’est dotée des « plus récentes technologies » en matière d’antivirus, de ­pare-feu, sans parler de certificats ­SSL, c’­est-à-dire un fichier de données qui lie une clef cryptographique aux renseignements d’une entreprise ou d’une personne.

Elle dispose aussi à l’interne d’une équipe technologique vouée à la protection et au bon fonctionnement des plateformes du groupe et de ses divisions.

Des pirates ont déjà tenté d’attaquer la plateforme de ­Groupe ­Deschênes, mais rien n’a compromis l’intégrité des informations des clients, assure l’entreprise. Il s’agissait plutôt de milliers de manœuvres pour bloquer l’accès au site web de la société.

Pour ­Groupe ­Deschênes, il est primordial que la plateforme électronique fonctionne en tout temps. Pour réduire le risque, elle a plusieurs sites situés dans des endroits différents.

« ­Si quelque chose tombe, il faut avoir une sauvegarde ou une façon de se remettre à niveau très rapidement », insiste ­Pedro ­Silva.

Dans son plan de contingence, la société se prépare toujours aux pires scénarios, même à ceux qui sont très improbables. Elle simule aussi régulièrement des problèmes, comme la perte d’un serveur, afin d’évaluer les délais pour revenir à une situation normale. 
– ­FRANÇOIS ­NORMAND

CLIQUEZ ICI POUR CONSULTER LE DOSSIER «LES 7 CLÉS DE LA TRANSFORMATION NUMÉRIQUE» 

À la une

Bourse: records en clôture pour Nasdaq et S&P 500, Nvidia première capitalisation mondiale

Mis à jour le 18/06/2024 | lesaffaires.com, AFP et Presse canadienne

REVUE DES MARCHÉS. Les titres de l’énergie contribuent à faire grimper le TSX.

Stellantis rappelle près de 1,2 million de véhicules aux États-Unis et au Canada

Environ 126 500 véhicules au Canada sont concernés par le rappel.

Le régulateur bancaire fédéral maintient la réserve de stabilité intérieure à 3,5%

L’endettement des ménages reste une préoccupation pour le Bureau du surintendant des institutions financières.