Intervention ciblée Intervention ciblée Intervention ciblée

Votre conseil d'administration est-il prêt à faire face à une cyberintrusion majeure? L'organisation sait-elle qui contacter, quoi prioriser et comment limiter les dégâts? Qu'il soit prêt ou non, le conseil d'administration joue un rôle important dans la supervision de la prévention des incidents. Et si ces questions peuvent être une source de stress pour les administrateurs, y répondre efficacement fait partie du travail.

Une chose est sûre : les cyberattaques sont presque inévitables. Le passage rapide à une main-d'œuvre hybride – un phénomène sans précédent –, la numérisation des services et la mise en place de plateformes de travail ont ouvert une brèche dans l'accès aux données sensibles échangées entre les entreprises (B2B) ou entre l'entreprise et le consommateur (B2C). Devant la hausse marquée des cyberincidents qui s'en est suivie au Canada et dans le monde, toutes les organisations qui détiennent ou traitent des données sensibles sont soumises à une surveillance accrue du public et à une réglementation plus stricte.

Si les conseils d'administration sont généralement conscients des risques d'intrusion, il subsiste tout de même des incertitudes quant aux responsabilités qui leur incombent et à la manière de les assumer. Le présent article a été rédigé en collaboration avec Imran Ahmad, responsable de la technologie et coprésident, Protection des données, confidentialité et cybersécurité chez Norton Rose Fulbright, afin d'apporter un regard éclairé sur ce qui est devenu une question pressante pour tous les conseils d'administration.

Le risque n'est pas que financier
Les conséquences d'une cyberintrusion ne doivent pas être sous-estimées. Des entreprises victimes d'une attaque par rançongiciel se sont fait extorquer des millions de dollars et d'autres ont vu leurs opérations complètement paralysées par des attaques du jour zéro. Une protection inadéquate contre de telles menaces et d'autres encore, comme le hameçonnage, les logiciels malveillants et les attaques par déni de service distribué (DDoS) peut compromettre la réputation de l'organisation, entraîner des pertes financières et perturber les opérations, sans compter les répercussions de nature juridique et réglementaire.

Aucun secteur d'activité n'est à l'abri. Ainsi, les secteurs fortement réglementés (services financiers, transports, soins de santé, énergie, télécommunications et autres) font l'objet d'une surveillance étroite du public et des autorités de réglementation. Pour les marques et les fournisseurs de services reconnus comme des leaders du marché, la perte ou le vol d'informations sur les clients peut mettre en jeu leur réputation. Une attaque du jour zéro peut aussi avoir l'effet d'un véritable séisme sur les fabricants, les distributeurs et les autres acteurs concernés de la chaîne d'approvisionnement.

Et si vous croyez que vos données n'ont pas de valeur, il serait avisé d'y regarder à deux fois. Qu'il s'agisse de renseignements interentreprises (adresses IP, documents de transaction, secrets commerciaux, etc.) ou échangés entre l'entreprise et le consommateur (informations sur les clients, numéros de carte de crédit, etc.), dès que des données volées se retrouvent dans le Web clandestin, il y aura toujours quelqu'un, quelque part, pour tenter de les monnayer.

Poser les bonnes questions
La vérité incontournable est que les conseils d'administration ont la responsabilité fiduciaire de s'assurer que l'organisation est prête à prendre des mesures claires et efficaces en cas d'intrusion. C'est une obligation dont Imran et moi discutons souvent. Lors d'une récente conversation sur les meilleures pratiques à adopter par les conseils en matière de détection, de réponse et de reprise en cas de cyberattaque, nous avons défini six questions clés que les conseils d'administration doivent poser – et auxquelles ils doivent obtenir des réponses – lorsqu'ils repensent leur stratégie de réponse aux incidents. Parmi elles :

• Est-ce que chacun se sent responsable de la prévention des intrusions? Les conseils d'administration ne sont pas directement responsables de la mise en œuvre des protocoles et des politiques de cybersécurité. Ils ne sont pas non plus les seuls responsables de la gestion de la réponse à un cyberincident. On attend toutefois d'eux qu'ils supervisent le processus, ce qui signifie qu'ils doivent s'assurer que tous les membres de l'organisation comprennent les risques et font leur part pour les atténuer.
• Que faut-il protéger? Quelles sont les données les plus à risque? Quelle valeur ont-elles et quelles seront les conséquences de leur perte ou d'une fuite pour l'organisation, ses clients et ses partenaires? Pour élaborer une stratégie efficace de préparation aux attaques, il faut d'abord comprendre ce qui inciterait un cybercriminel à cibler votre organisation.
• À quels autres risques sommes-nous exposés? Les données ne sont pas le seul élément dans le collimateur des cybercriminels qui peuvent également s'attaquer aux opérations en verrouillant ou en perturbant les systèmes clés et il faut donc en tenir compte.
• Affectons-nous les ressources appropriées? Toutes les unités administratives et tous les dirigeants disposent-ils des ressources dont ils ont besoin en matière de formation, de cadres de travail, de politiques et d'outils de cybersécurité pour rester cyberrésilients?
• Comment pouvons-nous instaurer une culture de préparation aux incidents? La préparation aux cyberattaques n'est pas un exercice ponctuel, où il suffit de cocher des cases. Elle exige une surveillance et une mise à jour constantes à mesure qu'évolue le contexte des risques. Il est tout aussi essentiel que la main-d'œuvre soit formée pour détecter les risques et déterminée à les combattre.
• Prenons-nous en considération le roulement du personnel? Qu'advient-il de votre cyberstratégie lorsqu'un employé quitte l'entreprise? Quels sont les processus en place pour s'assurer que ses responsabilités en matière de cybersécurité sont transmises et que ses compétences et sa formation ne disparaissent pas avec lui?

S'il est essentiel de poser des questions, encore faut-il s'assurer de poser les bonnes questions. C'est là que la collaboration avec des responsables informatiques, des spécialistes de la cybersécurité et des conseillers sectoriels de confiance peut vous aider à vous assurer que votre stratégie de préparation aux cyberattaques repose sur des bases solides. Dans un futur article, j'examinerai ce que les conseils d'administration doivent faire pour que ces connaissances et cette mobilisation se traduisent en mesures concrètes.