Jeudi 11 avril dernier, la communauté des femmes de la cybersécurité se rassemblait pour la troisième édition de NousSommesCyber-WeAreCyber. Cette série d’événements bilingues, organisés conjointement par le SERENE-RISC et le Centre de sécurité des télécommunications (CST), vise à promouvoir la place des femmes en cybersécurité, et plus globalement, de soutenir les femmes évoluant dans le secteur des technologies. Le dernier panel, sur le thème Vie privée et cybersécurité: questions légales, d’affaires et de sécurité, était d’ailleurs diffusé en direct, pour permettre aux membres de Women in CyberSecurity d’assister virtuellement au panel.
Les panelistes, Allison Araneta du Centre canadien pour la cybersécurité, Cynthia Chassigneux de la Commission d’accès à l’information du Québec et Mariama Zhouri de la firme de consultation Deloitte, ont abordé non seulement les aspects juridiques et légaux entourant la protection de la vie privée par les organisations, mais ont insisté à plusieurs reprises sur l’importance pour les organisations d’aller au-delà de leurs obligations légales, et d’agir de façon proactive.
Les cyberattaquants agissent de façon de plus en plus sophistiquées. Voici quelques-uns des stratagèmes utilisés par les acteurs malveillants, et qui ont été décrits par les panélistes :
- Le wailing, un type spécifique de harponnage ciblant directement un membre de la haute direction d’une organisation;
- Les escroqueries romantiques visant les entreprises;
- Après avoir séduit un membre de l’organisation, les attaquants peuvent utiliser le chantage, ou l’ingénierie sociale pour installer un logiciel malveillant sur une machine appartenant à la victime
- La compromission de la chaîne d'approvisionnement;
- Le ciblage des points de vente (POS);
- La compromission des logiciels propriétaires à installer;
Les motivations des acteurs malveillants sont aussi variées que les techniques qu’ils utilisent, et vont par exemple de la demande d’une rançon à l’espionnage industriel et à la vente d’informations confidentielles, de la manipulation des prix et de l’extorsion à l’espionnage parrainé par l’État. La multiplication des données personnelles compilées et des moyens d’accéder à celles-ci (notamment grâce à l’IdO) multiplient les opportunités et l’intérêt des acteurs malveillants pour le vol de données confidentielles. Dans tous les cas, les conséquences d’une cyberattaque ou d’une brèche de données peuvent être destructives pour les organisations comme pour les clients et les employés dont les informations se retrouvent compromises.
Les organisations comprennent maintenant que la question n’est pas de savoir si, mais quand elles seront victimes d’une cyberattaque. On vise donc à limiter les dégâts que d’éviter l’inévitable. Pour ce faire, les organisations devraient, selon les panélistes, commencer par établir une évaluation des risques, puis préparer leurs plans de contingence, de réponse et de continuité en cas d’attaque ou de brèche de données. Si, comme nous l’avons précisé à plusieurs reprises sur ce blogue, la décision d’accepter de payer une cyber rançon ne devrait vraiment être prise à la légère, les participantes ont souligné un point important. Pour certaines organisations, le coût associé au non-paiement d’une rançon – en supposant que le paiement de celle-ci permette effectivement l’accès aux données! – peut être vertigineux. Une planification des risques, une stratégie de réponse aux attaques, et, on ne le dirait jamais assez, une politique claire, solide et réellement appliquée pour la sauvegarde des données, sont donc essentielles et peuvent mitiger le risque de faire face à ce choix difficile.
Ceci dit, si le risque zéro est inatteignable, la prévention demeure essentielle. On ne peut peut-être pas parer à tous les dangers, mais en travaillant constamment à maintenir et améliorer la sécurité de l’organisation et de ses données, on peut se prémunir contre plusieurs attaques. Cette préparation devrait être partie prenante de toutes les étapes du développement de l’entreprise, de ses installations (physiques et numériques) et ses produits. Ainsi, les participantes rappelaient l’importance du privacy by design et du security by design, qui vont de pair.
L’évaluation des risques, comme toutes les étapes du travail permanent pour le maintien et l’amélioration de la sécurité et de la protection des données de l’organisation, exige de changer les mentalités au sein des organisations. D’abord, parce que pour découvrir les vulnérabilités de celle-ci, il ne suffit pas de penser comme un gestionnaire ou comme un utilisateur lambda. Il faut penser comme un hacker, pour déceler les failles que celui-ci pourrait trouver. Les tests de pénétration, comme les programmes de chasse aux bogues, constituent des exemples de façon d’agir.
Les participantes soulignent également l’importance de changer la façon dont les services de conformité sont perçus. Alors qu’autrefois, ces services étaient généralement la chasse gardée d’une ou quelques personnes au sein du département juridique ou administration, il vaut mieux développer des équipes de prévention des cyberattaques et des brèches de données de plus en plus multidisciplinaires. D’abord, parce que l’apport de multiples expertises et expériences bonifient la compréhension des menaces et les idées novatrices pour s’en protéger. Un autre aspect intéressant de cette façon de faire, est d’aider l’organisation à faire face aux défis budgétaires. Dans une perspective de la conformité réglementaire en silo, le respect de celle-ci constitue uniquement un coût, qui n’est assumé que par un département au sein de l’organisation. En revanche, si toutes les équipes participent, à chaque étape de l’élaboration de projets, à la protection des données, il y a moins à craindre que la conformité ne soit mise de côté pour des considérations financières. L’ensemble de l’organisation va alors dans la même direction.
Mais plus encore, les organisations gagnent à percevoir la conformité juridique et l’atteinte de standard de protection de données et de cybersécurité supérieurs aux exigences juridiques, comme des vecteurs de croissance et de stimulation, plutôt que comme des limitations. En effet, la conformité aux normes plus strictes peut permettre d’accéder à des opportunités de contrat à l’internationale, ainsi que de partenariats d’envergure. D’abord, parce que ceci permet d’accéder à des marchés ayant adopté des règlementations plus sévères (l’exemple du RGPD est, à cet égard, criant!). Mais aussi, rappelons-le, parce que plusieurs utilisateurs et entreprises se soucient de la sécurité de leurs données, et voient les pratiques de sécurité comme un gage de confiance.
Concevoir la protection des données d’une manière plus holistique et organique implique aussi de prendre des mesures pour atténuer les cybermenaces. Assurer que l’ensemble des membres de l’entreprises, mais également ses partenaires et fournisseurs, disposent de la sensibilisation et la formation à la cybersécurité nécessaire, constitue l’un des premiers pas pour protéger les données et l’infrastructure numérique de l’entreprise. Établir des processus incluant les meilleures pratiques en matière de cyberhygiène permet également d’améliorer la sécurité de l’organisation.
En terminant, les panélistes ont souligné que, bien que les impacts d’une brèche de sécurité se font d’abord sentir sur les organisations qui en sont victimes (ainsi que les personnes et groupes tierce dont, pour une raison ou une autre, elles ont accès aux données), la protection des renseignements confidentiels est une responsabilité collective. Les organismes de réglementation, comme la Commission d’accès à l’information du Québec, sont là d’abord pour protéger les renseignements personnels. Les entreprises qui font face à une brèche d'attaque ne devraient pas tenter de le cacher par la crainte. D’abord, parce que c’est une obligation légale dans plusieurs législations. Deuxièmement, parce que même quand les brèches ne sont pas déclarées, les organismes normatifs l’apprennent souvent par la suite. Mais aussi, et peut-être surtout, parce que ces déclarations permettent de collectivement prendre conscience du défi qui se pose à nous, ce qui constitue un incitatif majeur à agir pour protéger nos données personnelles et l’ensemble des données à notre disposition.
Pour en apprendre davantage sur NousSommesCyber-WeAreCyber, et les prochains événements de discussion et réseautage entre femmes du milieu de la sécurité, visitez la page Linkedin du regroupement.