Prévention des cyberpertes : comment atténuer les cyberrisques auxquels fait face votre entreprise

En cas de cyberattaque, une entreprise bien préparée réagit immédiatement, en mettant son équipe TI sur le dossier ou en faisant appel à des experts comme un accompagnateur spécialisé en cyberatteintes. Bien qu’il soit essentiel d’avoir un plan d’intervention pour atténuer les risques comme les pertes d’exploitation, les amendes réglementaires ou les frais juridiques, l’envers de la « pièce » de la cybersécurité est tout aussi important : il s’agit de la prévention. 

Les changements relatifs à nos vies professionnelles et à notre utilisation des technologies ont entraîné l’émergence de nouveaux cyberrisques. Par exemple, une récente étude a révélé que 82 % des gestionnaires de TI estiment que les risques d’attaques d’hameçonnage auxquels est exposée leur entreprise sont plus importants lorsque les employés sont en télétravail¹. De plus, comme de nombreux employés utilisent leurs appareils personnels dans le cadre de leur travail, les professionnels en TI s’inquiètent des risques de sécurité comme le téléchargement d’applications non sécuritaires, les infections par des logiciels malveillants et les mises à jour de logiciels².

Dans ce paysage changeant, il est essentiel que les entreprises de toute envergure adoptent une approche proactive en matière de cyberprotection. En se dotant des bonnes mesures de sécurité, on peut contribuer à prévenir toute une gamme de cyberpertes – des atteintes aux données aux pertes financières découlant de manœuvres d’ingénierie sociale, de rançongiciels et d’autres attaques, en passant par le vol de propriété intellectuelle. 

Voici un survol de certaines mesures clés qui peuvent contribuer à la protection de votre entreprise contre les cyberpertes :

Simulations et programmes de formation des employés : L’erreur humaine – c’est-à-dire une action ou une omission involontaire ouvrant la porte à un cyberincident – est derrière pratiquement toutes les atteintes aux données et à la sécurité qui réussissent^3. C’est pourquoi la formation et l’éducation des employés sont si importantes : elles peuvent vous aider à éviter les cyberincidents et à renforcer la culture de cybersécurité à l’échelle de votre entreprise⁴.

Le Centre canadien pour la cybersécurité recommande aux organisations d’envisager des sujets de formation et d’éducation comme les suivants : la création de phrases de chiffrement uniques et de mots de passe complexes pour tous les comptes, l’utilisation sécuritaire d’Internet et des réseaux sociaux en milieu de travail; l’utilisation de logiciels et d’applications mobiles sécuritaires et le repérage des courriels malveillants⁵.

Vous pouvez ensuite mettre ces formations à l’épreuve en simulant des attaques, ce qui vous permettra de voir comment vos employés réagiraient à différents types d’attaques dans des situations réelles. Par exemple, on peut faire un test d’hameçonnage en envoyant un faux courriel malveillant ou un faux site Web aux employés pour voir s’ils vont ouvrir les pièces jointes ou cliquer sur les liens ou s’ils auront plutôt le réflexe de signaler le courriel douteux⁶.

Analyses de vulnérabilité et tests d’intrusion : Du côté des TI, il est possible de mettre les mécanismes de défense de votre organisation à l’épreuve en procédant à des analyses de vulnérabilité et à des tests d’intrusion. Les scanneurs de vulnérabilité sont des outils automatisés qui permettent aux organisations de vérifier si leurs réseaux, systèmes et applications présentent des faiblesses en matière de sécurité qui pourraient les exposer à des attaques⁷.

Parmi les vulnérabilités couramment repérées, signalons, entre autres, les mécanismes de copies de sauvegarde et de récupération inadéquats, une faible gestion de l’authentification et une surveillance insuffisante du réseau⁸.

Les tests d’intrusion, ou de pénétration, que l’on désigne aussi sous le nom de piratage éthique, vont au-delà de la simple analyse de vulnérabilité. À l’aide d’une combinaison d’outils automatisés et de techniques manuelles, un test d’intrusion repère les vulnérabilités, pour ensuite tenter de les exploiter⁹.

Pour illustrer la différence entre les analyses de vulnérabilité et les tests d’intrusion, une entreprise de cybersécurité se sert de l’analogie suivante : une analyse de vulnérabilité, c’est comme se rendre devant une porte, vérifier si elle est déverrouillée et s’arrêter là. Le test d’intrusion ne fait pas que vérifier si la porte est déverrouillée. Il l’ouvre et il entre¹⁰.

Consultants en cybersécurité : Les accompagnateurs en cyberatteintes aident les organisations à gérer les conséquences d’une cyberattaque, alors que les consultants en cybersécurité seront souvent embauchés pour ériger les bons mécanismes de défense. Ces experts proposent toute une gamme de services, notamment la vérification de systèmes de TI, la surveillance de systèmes, la construction de pare-feu et le soutien aux organisations en ce qui a trait avec le respect de la réglementation gouvernementale. 

Les consultants en cybersécurité interviennent habituellement au niveau de chaque point de contact avec les employés en ce qui concerne les données de l’entreprise, y compris les appareils, les applications, le stockage des données et les réseaux internes. Le fait de savoir comment les employés interagissent dans l’univers numérique permet à ces experts de cibler les faiblesses potentielles et de planifier des façons d’assurer une protection en conséquence¹¹.

Au fil de l’évolution des risques, une approche proactive en matière de cyberprotection est essentielle. Au moment de planifier notre stratégie de défense, il est important d’envisager une couverture d’assurance expressément conçue pour gérer les risques uniques et émergents auxquels votre entreprise fait face. 

La suite de produits Souveraine Sécu TechPro offre un nouveau libellé de police comprenant une protection erreurs et omissions pour le secteur technologique, ainsi qu’une assurance cyberresponsabilité comportant des garanties améliorées pour l’assuré et les tiers. Ce nouveau produit modulaire offre des garanties souples adaptées aux risques uniques et émergents auxquels font face les entreprises canadiennes, ce qui nous permet d’offrir aux titulaires de polices plus de choses dont ils ont besoin et moins de choses dont ils ne veulent pas. Alors non seulement nous leur offrons une police exhaustive, mais ils obtiennent en même temps une valeur exceptionnelle. 

Communiquez avec votre courtier pour en savoir davantage.

©2021 La Souveraine, Compagnie d’assurance générale, l’une des sociétés du Groupe Co-operators. Souveraine^MD est une marque déposée du Souveraine, Compagnie d’assurance générale. Certains produits ne sont pas offerts dans toutes les provinces. Veuillez consulter libellé de la police pour connaître toutes les modalités, y compris les limitations et les exclusions. La Souveraine, Compagnie d’assurance générale s'engage à protéger la vie privée de ses clients, ainsi que la confidentialité, l'exactitude et la sécurité des renseignements personnels recueillis, utilisés, conservés et divulgués dans le cadre de nos affaires. Pour en savoir plus, consultez le souveraineassurance.ca ou composez sans frais le 1-800-661-1652.

^1,2 Tessian, “How hybrid-remote working with affect cybersecurity,” septembre 2020
³ Hacker News, “Why human error is #1 cyber security threat to businesses in 2021,” 4 février 2021
^4,5 Centre canadien pour la cybersécurité, Fournir de la formation pour sensibiliser les employés, 16 février 2021
⁶ Dashlane, How to run an effective phishing test at work, 7 mars 2020
^{7, 9} Rhino Security Labs, “Do I need a vulnerability scan or penetration test?”
⁸ Logsign, “What are the types of cyber security vulnerabilities?”
¹⁰ Control Scan, “Penetration tests vs. vulnerability scans: What’s the difference?”
¹¹ EC-MSP, “What can a cyber security company do for your business?”