Tendance des pertes et risques émergents : Cybersécurité

La cybersécurité demeure l’un des principaux risques – voire le principal risque – pour les entreprises¹. Dans le cadre de notre 2e série annuelle de questions et réponses,  Lynda David, souscriptrice principale, Technologie et Cyber chez Souveraine, nous fait part de ses réflexions sur les principaux cybersinistres de 2022 et sur ce à quoi les entreprises doivent porter attention en 2023. 

Quelles sont les tendances en matière de sinistres/expositions clés que vous avez observées au cours de la dernière année?
 
Les rançongiciels et la compromission des courriels professionnels auront représenté les principales causes de cybersinistres au cours de la dernière année. Les rançongiciels sont des logiciels malveillants qui empêchent l’utilisateur d’accéder à ses propres fichiers ou à son appareil. L’accès ne lui sera accordé que si une rançon est versée à l’auteur du méfait, habituellement sous forme de cryptomonnaie. La compromission des courriels professionnels est une escroquerie sophistiquée qui cible les entreprises par l’entremise de courriels d’hameçonnage qui semblent provenir de sources fiables. Dans ce type d’attaque, un employé est amené à révéler des renseignements confidentiels, à ouvrir des fichiers malveillants ou à transférer des fonds à un cybercriminel qui peut se faire passer pour un fournisseur, pour le chef de l’entreprise ou pour un membre de l’équipe informatique.                  

Les coûts associés à ces incidents ne cessent d’augmenter. Par exemple, une étude a révélé que la rançon moyenne réclamée auprès des organisations canadiennes s’élève à près de 450 000 $². Bien qu’aucune entreprise ne soit à l’abri de ces fraudes, les secteurs les plus touchés sont ceux des soins de santé, des services financiers (notamment les banques, les assureurs et les autres institutions financières) et des services professionnels, qui englobent des organisations comme les cabinets de consultants, les cabinets d’avocats et les cabinets comptables. 
 
Quels sont certains risques émergents à surveiller l’an prochain? 
 
L’Internet des objets est partout autour de nous. On estime aux environs de 43 milliards le nombre d’appareils qui seront connectés à l’Internet en 2023³. Des montres intelligentes aux systèmes de sécurité domestique en passant par les appareils électroménagers, de plus en plus de dispositifs sont connectés à l’Internet quotidiennement, ce qui augmente le nombre de points d’entrée par lesquels les cybercriminels peuvent infiltrer un réseau. Les organisations doivent être conscientes de ces nouvelles passerelles et se protéger en conséquence. L’éternelle inquiétude est de voir qu’à mesure que les organisations gagnent en diligence avec leurs contrôles et leurs protocoles, les cybercriminels ripostent par des attaques de plus en plus sophistiquées.
 
Comment les organisations peuvent-elles atténuer ces risques?
 
Les assureurs ont mis en place certaines exigences obligatoires en termes de contrôles que leurs assurés doivent mettre en œuvre avant de se voir proposer un contrat de cyberassurance. L'authentification multifactorielle (MFA) est un exemple de contrôle qui devient rapidement une norme industrielle. Lors de la connexion à un compte, l'authentification multifactorielle exige que l'utilisateur fournisse au moins deux facteurs de vérification, tels qu'un mot de passe ou un code à usage unique, pour prouver son identité. Si cette tâche peut parfois sembler fastidieuse, je la comparerais à l'ajout d'une chaîne de sécurité à votre porte d'entrée et d'un judas pour vérifier qui frappe réellement, au lieu de n'avoir qu'une seule serrure.
 
Enfin, une des façons les plus efficaces de faire preuve de proactivité pour une entreprise est de former ses employés à la protection de la vie privée et à la sécurité des données, car de nombreuses violations sont dues à des erreurs commises par les employés. Cette formation devrait inclure des tests d’hameçonnage aléatoires tout au long de l'année. Grâce à une sensibilisation accrue, une organisation peut mieux protéger ses données et contribuer à atténuer les violations qui se sont produites afin de réduire les coûts des sinistres. La sensibilisation est essentielle, alors faites passer le mot.

Pour en savoir plus sur l’atténuation des cyberrisques, veuillez consulter la page Prévention des cyberpertes : comment atténuer les cyberrisques auxquels fait face votre entreprise


Sources 
¹ ICAEW, Businesses face perfect storm of risks, 10 oct. 2022 
² Palo Alto Networks, 2021 Palo Alto Networks Canada Ransomware Barometer, 9 déc. 2021
³ Forbes, The top 4 Internet of things trends in 2023, 7 nov. 2022