Aucune PME n’est à l’abri d’une cyberattaque
Publié dans le Journal de Montréal/Journal de Québec, section Dans vos poches, 4 octobre 2021
Comme entrepreneur, faut-il s’inquiéter des cybermenaces ? Absolument, disent les spécialistes.
• À lire aussi – Cyberattaque contre la STO: des clients touchés
• À lire aussi – Une campagne de courriels frauduleux vise le Centre de services scolaire de Laval
« Personne n’est à l’abri, soutient François Daigle, vice-président, services professionnels, chez OKIOK. Toutes les entreprises sont des cibles potentielles, surtout pour les rançongiciels. C’est la plaie actuelle. Dès que les attaquants identifient une cible, ils l’exploitent. »
M. Daigle rapporte que sa firme est sollicitée pour des dizaines d’incidents chaque semaine depuis le début de la pandémie. « Attaquer les entreprises, c’est devenu une business, reprend-il. Oubliez l’ado doué dans le sous-sol familial : les attaquants sont des équipes d’experts qui travaillent à plein temps à trouver des failles en scannant internet et en utilisant des outils spécialisés. »
Ces derniers revendent ces failles sur le dark Web à d’autres équipes qui se chargeront de les exploiter en chiffrant ou en exfiltrant les données sans que personne ne s’en aperçoive. Ils revendront le fruit de leur travail à des arnaqueurs professionnels qui organisent les rançons. Le dark Web, c’est un réseau parallèle au web traditionnel, accessible uniquement via des logiciels, des configurations ou des protocoles spécifiques.
Concrètement : au moment où vous recevez une telle demande, vos systèmes ont été infiltrés depuis des semaines, voire des mois. Les attaquants prennent en moyenne 180 jours pour s’infiltrer, scruter les données, prendre le contrôle des boîtes de courriel, essayer d’infecter clients et partenaires, s’approprier des accès administratifs pour désactiver ou crypter copies de sécurité et systèmes de défense. Tout cela, ni vu ni connu.
« La menace est telle que nombre d’entreprises ont été chanceuses de s’en sortir sans avoir fait faillite », poursuit M. Daigle.
La stratégie
« Avant, les cyberpirates se contentaient de voler des informations sensibles, comme des numéros de cartes de paiement ou des informations médicales; désormais, les attaques de rançon visent à bloquer les opérations d’une organisation », analyse Guillaume Caron, chef des opérations de VARS, division en cybersécurité de Raymond Chabot Grant Thornton.
« De nos jours, 95 % des incidents de cybersécurité viennent de l’hameçonnage : un employé clique sur un lien reçu par courriel, ça permet au cybercriminel d’exécuter un maliciel (malware) qui lui donnera le plein contrôle de votre environnement informatique. »
Aux cyberattaques de rançonnage s’ajoutent les vols de renseignements, de temps, de documents ou l’espionnage industriel, souvent effectués par des employés frustrés.
Se mettre à l’abri
Comment se protéger ? En misant sur des techniques de défense très simples :
- Informer chaque mois les employés sur les bonnes pratiques de sécurité
- Ne pas répondre à des courriels non sollicités ou dont la source est difficilement vérifiable
- Changer régulièrement ses mots de passe
- Remettre en question l’utilité des clés USB
- Ne jamais utiliser les adresses courriel ou les ordinateurs de l’employeur pour des utilisations personnelles (notamment pour les enfants)
Et, surtout, engager des spécialistes pour effectuer une évaluation ou un audit de cybersécurité (notamment des tests d’intrusion), et, peut-être, offrir des activités de sensibilisation.
Ça coûte cher ? On parle, pour une PME, de quelques dizaines de milliers de dollars. Certainement moins qu’une rançon ! De fait, les entreprises canadiennes ont investi l’équivalent de 1 % de leurs revenus totaux à ce chapitre en 2019, selon Statistique Canada.
LES DEMANDES DE RANÇONS PRENNENT DE L’AMPLEUR
Le nombre et la sévérité des attaques ne cessent d’augmenter à l’échelle mondiale. Un rapport de la firme Emsisoft de 2019 rapporte plus de 452 000 demandes de rançons recensées par le service ID Ransomware, dont 4689 au Canada seulement, pour un coût estimé à 331,2 millions $. Les pertes (incluant les rançons versées et les temps d’arrêt informatiques) dépassaient les 2,2 milliards $.
Statistique Canada estimait en 2020 que 21 % des entreprises canadiennes avaient été touchées par une cyberattaque, dont 18 % sont des PME de 10 à 49 employés et 29 % des PME de 50 à 249 employés. Celles qui ont déclaré l’attaque à la police ont dit avoir dépensé 27 000 $ en moyenne pour s’en remettre.
La demande moyenne de rançon a augmenté de 33 % en quelques mois, pour atteindre 257 756 $ en décembre 2019, expose le Centre canadien pour la cybersécurité. Et les pirates peuvent exiger bien davantage. « En octobre 2019, une compagnie d’assurance canadienne a payé 1,3 million $ pour récupérer 20 serveurs et 1000 postes de travail », déclare le Centre, qui ajoute qu’un nombre croissant d’exploitants de rançongiciels divulgueront des données sur leurs victimes pour punir le refus de paiement.
DES RESSOURCES GRATUITES
- Le Centre canadien de la cybersécurité offre un Carrefour de l’apprentissage en ligne. C’est gratuit. C’est un bon départ, mais engager un spécialiste est un incontournable.
- Comment prévenir et se remettre d’un rançongiciel
- Renforcer la sécurité d’une PME