CYBERSÉCURITÉ DES PME. La reproduction de son permis de conduire, quelques mots de passe d’entreprise, mais surtout, un échantillon de données confidentielles appartenant à ses clients commerciaux et publics, le tout affiché sur le blogue d’Avaddon, un des groupes cybercriminels les plus actifs du dark Web. Voilà le stratagème qui a poussé le copropriétaire d’une PME québécoise en technologies de l’information (TI) à verser 85 000 $US à des cyberpirates.
Ayant cédé à la pression des rançonneurs, David (nom fictif) sait que son entreprise est maintenant « attractive » pour de nouveaux malfaiteurs. C’est la raison pour laquelle il a demandé de taire son nom et celui de sa PME, qui compte 15 employés. En échange de l’anonymat, il a accepté de raconter son histoire en détail à Les Affaires, en permettant de valider des informations obtenues auprès d’une seconde source.
L’incident remonte à février 2021. Une fin de semaine, en ouvrant son ordinateur, David s’est rendu compte que des fichiers étaient chiffrés, donc illisibles. Son équipe TI en a rapidement conclu que leur réseau informatique avait été infecté par un rançongiciel — le fameux logiciel utilisé par les cybercriminels pour verrouiller des données et demander une rançon. « Nous ne trouvions pas de note de rançon », précise-t-il.
La PME n’était toutefois pas sans ressources face à cette cyberattaque. Ayant souscrit à une assurance en la matière, elle a reçu l’aide d’une firme de cybersécurité pour colmater la brèche informatique, et celle d’une avocate spécialisée en incidents de confidentialité pour mieux en comprendre les implications légales. Comme l’entreprise faisait des sauvegardes quotidiennes de ses données, elle a également pu retrouver un fonctionnement normal « en moins de trois jours », assure David.
Or, la situation s’est corsée lorsque le groupe de cybercriminels a contacté la PME pour réclamer sa rançon. Aux dires de son copropriétaire, Avaddon demandait 180 000 $US en Bitcoin et, pour montrer le sérieux de sa menace, il avait déjà commencé à publier de l’information exfiltrée – soit des mots de passe d’entreprise ainsi que des renseignements confidentiels sur des employés et des clients – sur son blogue.
« Au départ, j’étais absolument contre l’idée de payer une rançon, plaide-t-il. Je trouvais que ça les encourageait à continuer. » Le dirigeant a toutefois révisé sa position lorsque de gros clients ont commencé à exprimer leurs inquiétudes face à la fuite de données. Une négociation s’est alors engagée avec Avaddon par l’intermédiaire d’un porte-parole provenant de la firme de cybersécurité impliquée dans le dossier. « J’ai aussi reçu les conseils d’une breach coach [avocate spécialisée en incidents de confidentialité], mais c’est moi qui prenais les décisions finales », affirme David.
Toujours selon ses dires, la PME a finalement versé 85 000 $US en Bitcoin aux rançonneurs — une somme remboursée par l’assureur, précise-t-il. En contrepartie, le groupe de cybercriminels a retiré toute mention de la PME sur son blogue, a fourni une clé de déchiffrement et une liste des informations compromises.
David, qui a piloté la gestion de crise du début à la fin, évalue avoir passé trois semaines à temps plein sur ce dossier.
Depuis l’incident, la PME a déployé plusieurs nouvelles mesures de cybersécurité, dont l’activation de la double authentification sur tous les systèmes, la création d’un VPN pour les connexions à distance et la formation des employés sur les risques de cyberattaques. David a également partagé son expérience dans son cercle d’entrepreneurs, pour les sensibiliser à la menace qui pèse aujourd’hui sur les PME : « Une cyberattaque peut arriver à n’importe quel genre d’organisme ou d’entreprise, alors… Protégez-vous ! »
Perdre sa vitrine numérique
L’histoire de Sarra Ghribi, propriétaire de la boutique de location de tenues de soirée Loue 1 Robe, est quelque peu différente. Ce n’est pas son réseau informatique d’entreprise qui a été piraté en juillet dernier, mais son compte Facebook. Mais les conséquences n’en ont pas été moins dramatiques.
« Un pirate (hacker) est passé par mon compte personnel pour atteindre ma page d’entreprise, dont j’étais administratrice, raconte l’entrepreneuse montréalaise. Il a détourné 750 $ sur la carte de crédit associé à ce compte, puis il a changé l’âge du détenteur de mon compte personnel pour 13 ans, ce qui m’a mis en infraction des règles d’utilisation de la plateforme. »
La conséquence a été immédiate : la commerçante a perdu l’accès à son compte personnel (2 000 abonnés), ainsi qu’à ses comptes d’entreprise sur Facebook (15 000 milles abonnés) et sur Instagram (5 000 milles abonnées). « J’ai eu beau écrire plus de 100 courriels à Facebook, ils ont complètement ignoré mes demandes », se désole-t-elle.
Depuis le début de la pandémie, Sarra Ghribi utilisait majoritairement les réseaux sociaux pour promouvoir ses robes à louer. « J’ai perdu 40 % de ma clientèle du jour au lendemain », estime-t-elle avec amertume. Elle a pu récupérer ses comptes d’entreprise uniquement deux mois plus tard, après la diffusion d’un reportage de TVA Nouvelles.
Depuis ces événements, l’entrepreneuse dit avoir pris conscience de la vulnérabilité des petits commerçants face aux géants du Web. Elle en a ainsi tiré quelques leçons d’affaires : diversifier sa présence numérique et bâtir une liste de courriel d’abonnés dans un format indépendant des réseaux sociaux, pour le jour où une plateforme lui fera à nouveau défaut.