La
troisième édition de NousSommesCyber, promouvant la place des femmes en
cybersécurité, abordait le thème des questions juridiques et d’affaires en
matière de vie privée et de cybersécurité.
Jeudi 11
avril dernier, la communauté des femmes de la cybersécurité se rassemblait
pour la troisième édition de NousSommesCyber-WeAreCyber. Cette série d’événements
bilingues, organisés conjointement par le SERENE-RISC et le Centre de sécurité des
télécommunications (CST), vise à promouvoir la place des femmes en cybersécurité,
et plus globalement, de soutenir les femmes évoluant dans le secteur des
technologies. Le dernier panel, sur le thème Vie privée et
cybersécurité: questions légales, d’affaires et de sécurité, était
d’ailleurs diffusé en direct, pour permettre aux membres de Women in CyberSecurity
d’assister virtuellement au panel.
Les
panelistes, Allison Araneta du Centre canadien pour la cybersécurité, Cynthia
Chassigneux de la Commission d’accès à l’information du Québec et Mariama
Zhouri de la firme de consultation Deloitte, ont abordé non seulement les
aspects juridiques et légaux entourant la protection de la vie privée par les
organisations, mais ont insisté à plusieurs reprises sur l’importance pour les
organisations d’aller au-delà de leurs obligations légales, et d’agir de façon
proactive.
Les
cyberattaquants agissent de façon de plus en plus sophistiquées. Voici
quelques-uns des stratagèmes utilisés par les acteurs malveillants, et qui ont
été décrits par les panélistes :
·
Le wailing, un type spécifique de
harponnage ciblant directement un membre de la haute direction d’une
organisation;
·
Les escroqueries romantiques visant les
entreprises;
o
Après avoir séduit un membre de l’organisation,
les attaquants peuvent utiliser le chantage, ou l’ingénierie sociale pour
installer un logiciel malveillant sur une machine appartenant à la victime
·
La compromission de la chaîne
d’approvisionnement;
·
Le ciblage des points de vente (POS);
·
La compromission des logiciels propriétaires à
installer;
Les
motivations des acteurs malveillants sont aussi variées que les techniques
qu’ils utilisent, et vont par exemple de la demande d’une rançon à l’espionnage
industriel et à la vente d’informations confidentielles, de la manipulation des
prix et de l’extorsion à l’espionnage parrainé par l’État. La multiplication
des données personnelles compilées et des moyens d’accéder à celles-ci
(notamment grâce à l’IdO) multiplient les opportunités et l’intérêt des acteurs
malveillants pour le vol de données confidentielles. Dans tous les cas, les
conséquences d’une cyberattaque ou d’une brèche de données peuvent être
destructives pour les organisations comme pour les clients et les employés dont
les informations se retrouvent compromises.
Les
organisations comprennent maintenant que la question n’est pas de savoir si,
mais quand elles seront victimes d’une cyberattaque. On vise donc à limiter les
dégâts que d’éviter l’inévitable. Pour ce faire, les organisations devraient,
selon les panélistes, commencer par établir une évaluation des risques, puis préparer
leurs plans de contingence, de réponse et de continuité en cas d’attaque ou
de brèche de données. Si, comme
nous l’avons précisé à plusieurs reprises sur ce blogue, la décision
d’accepter de payer une cyber rançon ne devrait vraiment être prise à la
légère, les participantes ont souligné un point important. Pour certaines
organisations, le coût associé au non-paiement d’une rançon – en supposant que
le paiement de celle-ci permette effectivement l’accès aux données! – peut être
vertigineux. Une planification des risques, une stratégie de réponse aux
attaques, et, on ne le dirait jamais assez, une politique claire, solide et
réellement appliquée pour la sauvegarde
des données, sont donc essentielles et peuvent mitiger le risque de faire
face à ce choix difficile.
Ceci dit,
si le risque zéro est inatteignable, la prévention demeure essentielle. On ne
peut peut-être pas parer à tous les dangers, mais en travaillant constamment à
maintenir et améliorer la sécurité de l’organisation et de ses données, on peut
se prémunir contre plusieurs attaques. Cette préparation devrait être partie
prenante de toutes les étapes du développement de l’entreprise, de ses
installations (physiques et numériques) et ses produits. Ainsi, les
participantes rappelaient l’importance du privacy by design et du security
by design, qui vont de pair.
L’évaluation
des risques, comme toutes les étapes du travail permanent pour le maintien et
l’amélioration de la sécurité et de la protection des données de
l’organisation, exige de changer les mentalités au sein des organisations.
D’abord, parce que pour découvrir les vulnérabilités de celle-ci, il ne suffit
pas de penser comme un gestionnaire ou comme un utilisateur lambda. Il faut
penser comme un hacker, pour déceler les failles que celui-ci pourrait trouver.
Les tests
de pénétration, comme les programmes de chasse aux
bogues, constituent des exemples de façon d’agir.
Les
participantes soulignent également l’importance de changer la façon dont les
services de conformité sont perçus. Alors qu’autrefois, ces services étaient
généralement la chasse gardée d’une ou quelques personnes au sein du
département juridique ou administration, il vaut mieux développer des équipes
de prévention des cyberattaques et des brèches de données de
plus en plus multidisciplinaires. D’abord, parce que l’apport de multiples
expertises et expériences bonifient la compréhension des menaces et les idées
novatrices pour s’en protéger. Un autre aspect intéressant de cette façon de
faire, est d’aider l’organisation à faire face aux défis budgétaires. Dans une
perspective de la conformité réglementaire en silo, le respect de celle-ci
constitue uniquement un coût, qui n’est assumé que par un département au sein
de l’organisation. En revanche, si toutes les équipes participent, à chaque
étape de l’élaboration de projets, à la protection des données, il y a moins à
craindre que la conformité ne soit mise de côté pour des considérations
financières. L’ensemble de l’organisation va alors dans la même direction.
Mais plus
encore, les organisations gagnent à percevoir la conformité juridique et l’atteinte
de standard de protection de données et de cybersécurité supérieurs aux
exigences juridiques, comme des vecteurs de croissance et de stimulation,
plutôt que comme des limitations. En effet, la conformité aux normes plus
strictes peut permettre d’accéder à des opportunités de contrat à
l’internationale, ainsi que de partenariats d’envergure. D’abord, parce que
ceci permet d’accéder à des marchés ayant adopté des règlementations plus
sévères (l’exemple du RGPD
est, à cet égard, criant!). Mais aussi, rappelons-le, parce que plusieurs
utilisateurs et entreprises se soucient de la sécurité de leurs données, et
voient les pratiques de sécurité comme un gage de confiance.
Concevoir
la protection des données d’une manière plus holistique et organique implique
aussi de prendre des mesures pour atténuer les cybermenaces. Assurer que
l’ensemble des membres de l’entreprises, mais également ses partenaires et
fournisseurs, disposent de la sensibilisation et la formation
à la cybersécurité nécessaire, constitue l’un des premiers pas pour
protéger les données et l’infrastructure numérique de l’entreprise. Établir des
processus incluant les meilleures pratiques en matière de cyberhygiène permet
également d’améliorer la sécurité de l’organisation.
En
terminant, les panélistes ont souligné que, bien que les impacts d’une brèche
de sécurité se font d’abord sentir sur les organisations qui en sont victimes
(ainsi que les personnes et groupes tierce dont, pour une raison ou une autre,
elles ont accès aux données), la protection des renseignements confidentiels
est une responsabilité collective. Les organismes de réglementation, comme la
Commission d’accès à l’information du Québec, sont là d’abord pour protéger les
renseignements personnels. Les entreprises qui font face à une brèche d’attaque
ne devraient pas tenter de le cacher par la crainte. D’abord, parce que c’est
une obligation légale dans plusieurs législations. Deuxièmement, parce que même
quand les brèches ne sont pas déclarées, les organismes normatifs l’apprennent
souvent par la suite. Mais aussi, et peut-être surtout, parce que ces
déclarations permettent de collectivement prendre conscience du défi qui se
pose à nous, ce qui constitue un incitatif majeur à agir pour protéger nos
données personnelles et l’ensemble des données à notre disposition.
