Une trentaine de gens d’affaires ont pu en apprendre davantage sur la cybersécurité, mercredi, dans le cadre d’un déjeuner-conférence organisé par la Chambre de commerce de Saguenay-Le Fjord.

Cyberattaques: une menace grandissante

Pour la première fois, les cyberattaques se classent au premier rang des risques pour les entreprises en 2020, selon le baromètre de l’Allianz, un assureur mondial qui trie chaque année les causes d’interruptions d’affaires. Un fléau qui n’épargne pas les entrepreneurs et organisations d’ici, dont plusieurs ont déjà goûté à la médecine des cybercriminels. Devicom, Nutrinor et la Société historique du Saguenay font partie des dernières victimes connues au Saguenay-Lac-Saint-Jean.

« Une entreprise sur cinq a subi une attaque. Et attachez votre tuque, parce que tout ce que vous voyez dans les nouvelles, ça n’ira pas en diminuant », annonce sans détour Mathieu Chouinard, président et chef de la direction de Forensik et In Fidem, conférencier invité par la Chambre de commerce et d’industrie Saguenay-Le Fjord.

Mathieu Chouinard, ainsi que Nicolas Duguay, directeur du développement des affaires chez In-Sec-M, une autre entreprise spécialisée en cybersécurité, se sont adressés à une trentaine de gens d’affaires réunis à l’Hôtel Chicoutimi, mercredi matin.

Le milieu manufacturier a été le grand absent de ce déjeuner-conférence, avec la présence d’une seule entreprise. Si les dirigeants d’usine se croyaient à l’abri de ces attaques, elles deviennent de plus en plus des cibles alléchantes. La révolution 4.0 (intelligence artificielle, la robotisation), largement subventionnée et encouragée par les gouvernements, n’a pas que de bons côtés.

« Les connexions engendrent des risques supplémentaires. Tout est connecté maintenant. Avant, il y avait une séparation entre les opérations des machines et l’administration », rappelle M. Chouinard. « Les usines, c’était déjà une cible depuis quelques années. Mais les attaques se sont raffinées. Il faut donc absolument que les organisations se questionnent sur les risques et comment prévenir ces risques-là. »

Est-ce que les entreprises manufacturières régionales, qui prennent de plus en plus le virage 4.0, sont bien au fait des dangers ? Président de la Chambre de commerce, Carl Laberge l’espère, car une seule attaque peut causer des torts à toute la chaîne d’approvisionnement.

« Cette année, on parle encore de l’implantation du 4.0. C’est récent pour plusieurs entreprises d’ici. Le gouvernement investit pour équiper les entreprises, ils se font dire d’être productifs. Mais je ne sais pas à quel point le volet de cybersécurité est adressé. Ça serait une erreur de se dépêcher de se lancer dans le 4.0 et de ne pas penser à cet aspect-là. Mieux vaut prévenir que guérir dans ces cas-là », exprime Carl Laberge.

Une trentaine de gens d’affaires ont pu en apprendre davantage sur la cybersécurité, mercredi, dans le cadre d’un déjeuner-conférence organisé par la Chambre de commerce de Saguenay-Le Fjord.

Pour attaquer une grande entreprise, les cybercriminels peuvent aussi passer par les sous-traitants qui, eux, ont moins de moyens financiers pour se protéger.

« Une entreprise qui a 15 employés peut penser qu’elle n’est pas une cible intéressante. Mais si vous êtes fournisseur pour un gros joueur, par exemple comme Rio Tinto, vous pouvez devenir la porte d’entrée du cybercriminel. On est tous reliés technologiquement. Il y a beaucoup de cas documentés de fournisseurs qui ont été infiltrés par des groupes qui espionnaient ensuite d’autres entreprises », explique M. Chouinard.

Des cybercriminels qui se raffinent

Les rançongiciels, prise d’otage de données, font partie des fraudes les plus connues. Si autrefois les criminels choisissaient leur cible à l’aveugle, ils visent maintenant de plus gros poissons.

« Les mesures de sécurité se sont resserrées et les criminels ont dû changer leur modus operandi. Avant, on voyait en moyenne des rançons de 300 $. Maintenant, les dernières demandes de rançons majeures ont été de l’ordre de 10 millions d’euros pour une seule entreprise. »

En effet, à la suite d’une vague de rançongiciels, les entreprises ont commencé à sauvegarder leurs données plus régulièrement. Les criminels sont cependant capables d’effacer les sauvegardes des organisations, surtout lorsqu’elles sont sauvegardées à chaud, c’est-à-dire lorsque les utilisateurs sont connectés à la base de données.

« Une prise d’otage, ça fonctionne si vous n’avez pas de plan B, c’est-à-dire le “back up”. Mais les cybercriminels ont commencé à s’introduire dans vos réseaux, par des vulnérabilités de logiciel, ils font un balayage de votre réseau. Ils peuvent effacer vos sauvegardes, ça peut prendre un mois. Dès qu’ils sont certains que vous n’avez plus la capacité de retrouver vos données, c’est là qu’ils vont faire des rançons ».

Les mots de passe trop simples, les accès à distance et l’inefficacité des antivirus permettent aux cybercriminels de s’en prendre plus facilement aux entreprises. Mais l’employé fait également partie des menaces, comme le cas de Desjardins l’a prouvé.

« Votre collègue n’est pas toujours honnête. Il y a la menace humaine. On fait confiance aux gens qu’on embauche, aux partenaires d’affaires. Mais où il y a de l’homme, il y a d’hommerie. Ça, on a tendance à l’oublier. »

+

COMMENT ÉVITER LE PIRE, SELON MATHIEU CHOUINARD


« L’entrepreneur n’a pas à devenir un grand expert en cybersécurité », prévient d’emblée Mathieu Chouinard. Les dirigeants peuvent mettre en place cinq mesures simples pour éviter d’être piégés ou, du moins, être préparés lorsqu’ils sont attaqués. 

1. Nommer un responsable

ENCADRE-texte: Nommez une personne responsable de la sécurité. « Cette personne doit être imputable, elle doit faire les rapports sur les risques. Ça ne coûte pas très cher de nommer quelqu’un. Ça prend un peu de coaching et de formation, mais cette personne-là va vous aider énormément à prendre des décisions. »

2. Identifier les données critiques

Identifiez vos données critiques et vos vulnérabilités. « Lorsqu’on est en urgence et qu’on demande aux gens quel système est le plus critique à ramener dans leur organisation (en cas de vol), vous seriez surpris du silence. En temps de crise, ce n’est pas le temps de réfléchir. Établir la liste des systèmes et leur dépendance doit se faire avant d’être attaqué. »

3. Prévoir un plan

Prévoir un plan de réponse. « Une cyberattaque, c’est comme un feu. Ça peut faire arrêter les opérations de l’entreprise. Si on ne sait pas comment évacuer l’immeuble, si on n’a pas d’exercice de pratique, ça se passe moins bien. Il faut faire le même exercice en cybersécurité. Est-ce que je dois appeler ma firme d’avocats, de relations publiques ? Qui dois-je contacter pour m’appuyer technologiquement ? »

4. Réviser les polices d’assurance

ENCADRE-texte: Révisez vos polices d’assurance. En effet, dans des cas d’interruption d’affaires et d’extorsion, les assurances peuvent permettre à l’entrepreneur de souffler un peu. « Je ne vends pas d’assurances et c’est une décision purement d’affaires. Mais je peux vous dire qu’au niveau des dirigeants, c’est la nuit et le jour lorsqu’on est assuré dans de tels cas. »

5. Investir dans la formation

Investissez dans les employés et leur formation. « C’est un principe simple et connu, mais ça peut sauver bien des problèmes. Parce qu’un des gros défis en cybersécurité, c’est l’humain. » En effet, l’humain peut causer des brèches et l’humain peut aussi « oublier de faire des copies de sauvegarde de données » ou ne pas utiliser de mot de passe sécuritaire.

L’expert invite d’ailleurs les entreprises à visiter le site internet du Centre canadien pour la cybersécurité (CCC). Un nouveau service du gouvernement canadien qui fournit gratuitement des avis, des conseils et du soutien spécialisé au secteur privé, aux institutions publiques et aux citoyens.