Les récentes violations de données très médiatisées ont mis en lumière l’importance pour les gouvernements et les entreprises de protéger les clients, les compagnies et les renseignements personnels. En mai 2017, l’attaque du rançongiciel WannaCry s’est effectuée rapidement en touchant plusieurs cibles de première importance tant publiques que privées, partout dans le monde. WannaCry a littéralement « pris en otages » les données des compagnies et exigeait une « rançon » ou un paiement en échange de la remise de ces données¹. 

Les cyberattaques telles que WannaCry ont fait en sorte que plusieurs grandes compagnies ont augmenté leurs investissements en sécurité et ont prévu des ressources afin de prévenir ces violations de données. Cette réalité n’est pas étonnante compte tenu des coûts que peuvent engendrer ces violations de données. En 2016 au Canada, le coût moyen par registre compromis était de 211 $ alors que le coût moyen pour une violation de données était de presque 5 millions de dollars. De plus, la clientèle perdue peut aussi avoir une importante incidence sur le bénéfice net de la compagnie si les clients perdent confiance en la compétence et les mesures sécuritaires de l’entreprise².

Cependant, les études démontrent que les petites et moyennes entreprises (les PME) doivent en faire davantage pour renforcer leurs plans de cybersécurité. Selon un rapport de 2017 de la Chambre de commerce du Canada, les PME sont en retard par rapport aux grandes entreprises quant au déploiement de mesures de cybersécurité. En fait, la plupart des attaques ciblent maintenant les PME en particulier. Le rapport de la Chambre indiquait également que 71 % des violations de données se produisent dans de petites entreprises³. En outre, près de la moitié de toutes les petites entreprises aux États-Unis ont été victimes d’une cyberattaque; les estimations indiquent que ces nombres sont similaires au Canada.

Les experts sont d’avis que les PME sont devenues des cibles de choix pour les cybercriminels puisque ces entreprises sont moins outillées en termes de prévention et de défense de ces attaques. Par conséquent, les attaques par rançongiciels peuvent avoir des répercussions disproportionnées sur les PME. Si les données visées sont d’une très grande valeur (par exemple si elles aident l’entreprise à continuer ses opérations), la probabilité de paiement de la rançon augmentera. Ce phénomène s’est manifesté lors d’une attaque informatique survenue en 2015 à l’endroit d’un magasin de vin de Calgary. Les pirates ont rendu inaccessible la base de données du Kensington Wine Market par le truchement d’une attaque par rançongiciel. Ils ont exigé une rançon de 500 $ en bitcoins pour la remise des données. Même si les données en tant que telles n’étaient pas d’une grande valeur pour les pirates, elles étaient d’une importance capitale pour les opérations du magasin de vin. Le magasin de vin ne pouvait pas ouvrir ses courriels, examiner son inventaire ou traiter les ventes au cours de la période achalandée des vacances. En fin de compte, le magasin a payé la rançon, car il était d’avis que l’embauche d’une compagnie informatique pour résoudre le problème aurait coûté 10 fois plus que la rançon⁴.

En 2016, l’Université de Calgary a été victime d’une attaque par rançongiciel qui cryptait les courriels du personnel et des facultés. L’université a payé 20 000 $ pour avoir de nouveau accès à ses données, ce qui été perçu comme une aubaine étant donné que la faculté de l’université comprenait plus de 1 800 membres. Même au salaire minimum, une heure pour chaque membre représentait une somme de plus de 20 000 $⁵.

Le choix entre payer la rançon ou avoir recours à un spécialiste en cybersécurité dépendra des objectifs de la PME et des circonstances au moment de l’attaque. En dépit de ce qui précède, les entreprises devraient prendre le temps nécessaire afin de rédiger et de mettre en œuvre une politique détaillant l’évaluation des risques et les mesures à prendre en cas d’attaque par rançongiciel, bien avant qu’une telle attaque ne survienne. Les employés pourraient ainsi mieux comprendre les enjeux entourant une telle situation et savoir ce qu’ils devraient faire alors dans de tels cas.

Il est également important de garder à l’esprit que, une fois l’entrée en vigueur des règlements récemment proposés et publiés de la Loi sur la protection des renseignements personnels numériques, les PME régies par la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) devront notifier les Canadiennes et Canadiens touchés (et le Commissaire à la protection de la vie privée du Canada) aussitôt que possible lorsque :

• des renseignements personnels ont été perdus;
• des renseignements ont été volés;
• des personnes risquent d’en subir un préjudice.

Ces discussions peuvent également appuyer l’uniformisation des protocoles internes et des communications externes dans l’éventualité où l’attaque serait portée à l’attention du public.

Même si les médias ne font pas toujours état des attaques sur les PME, ces dernières deviennent de plus en plus la cible des cybercriminels. Voici quelques stratégies dont les PME devraient tenir compte pour combattre les cyberattaques :

• Il est important que les PME prennent des mesures afin de protéger leur système contre les attaques constantes des pirates. La surveillance continue de la sécurité du système peut leur permettre de prendre conscience des futures attaques avant que des dommages importants ne surviennent.
• Plusieurs cybercriminels vérifient les points d’entrée les mieux connus découlant de correctifs ou systèmes désuets. Il faut donc assurer la mise à jour périodique des systèmes, des logiciels et des applications.
• Il faut former les employés pour qu’ils évitent de soumettre la compagnie à une violation de données. Conscientiser les employés aux risques du cyberespace peut améliorer la prévention, réduire les failles du système et, espérons-le, engendrer une réponse globale plus rapide dans l’éventualité d’une violation de données.

Pour une entreprise qui entreprend l’évaluation des menaces relatives au cyberespace auxquelles elle fait face (et toute autre obligation en matière de sécurité de données qui peut lui incomber), ces enjeux peuvent être déconcertants. Toutefois, l’équipe de Cox & Palmer peut vous aider à composer avec ce type de situation. Pour toute question, n’hésitez pas à nous contacter.

¹ Christina Mercer, « What is WannaCry? How does WannaCry ransomware work? », Techworld, 15 mai 2017. En ligne à http://www.techworld.com/security/what-is-wannacry-how-does-wannacry-ransomware-work-3659064/>./.
² Larry Ponemon, « 2016 Cost of Data Breach Study: Global Analysis », 15 juin 2016. En ligne à https://securityintelligence.com/cost-of-a-data-breach-2016/.
³ Chambre de commerce du Canada, « Cyber Security in Canada: Practical Solutions to a Growing Problem », 31 mars 2017. En ligne à http://www.chamber.ca/media/blog/170403-cyber-security-in-canada-practical-solutions-to-a-growing-problem/ (page 25)
⁴ CBC News, « Bitcoin ransom demanded by hackers of Calgary wine store », 10 décembre 2015). En ligne à http://www.cbc.ca/news/canada/calgary/kensington-wine-market-bitcoin-ransom-1.3359427
⁵ Dave Dormer et Stephanie Wiebe, « U of C ransom payout better than battling hackers, expert says », 8 juin 2016. CBC News, en ligne à http://www.cbc.ca/news/canada/calgary/university-of-calgary-cyberattack-part-of-increasing-problem-1.3621505