Partager
Notre président s’est entretenu avec notre expert Guillaume Caron à propos des problèmes de cybersécurité des PME et de l’importance de s’en prémunir.
L’actualité des derniers mois a recensé des attaques massives de chaîne d’approvisionnement, particulièrement contre des géants technologiques comme SolarWinds, Microsoft, FireEye, etc.
« C’est inquiétant! Ce sont des attaques sans précédent qui ont eu des conséquences graves sur des milliers d’entreprises », déclare Guillaume Caron, président de VARS, la division en cybersécurité de notre firme. Les PME et les institutions du Québec deviennent, de façon collatérale, des victimes de ces attaques massives.
Cyberattaque de la chaîne d’approvisionnement
Une attaque de la chaîne d’approvisionnement est une cyberattaque qui tente d’infliger des dommages à une entreprise en exploitant les vulnérabilités de sa chaîne d’approvisionnement. Cela implique des processus continus de piratage ou d’infiltration pour accéder au réseau d’une organisation.
L’entreprise piratée n’est pas nécessairement la cible finale de l’attaquant. L’élément de la chaîne d’approvisionnement est plutôt une porte d’entrée : le criminel exploite les vulnérabilités de la cible et en tire parti pour atteindre un réseau encore plus grand d’entreprises à attaquer.
« J’entends là une intention malicieuse, orchestrée, qui peut affecter notre clientèle ici au Québec et au Canada », exprime Emilio B. Imbriglio, président et chef de la direction de Raymond Chabot Grant Thornton.
Dans le cas de SolarWinds et de Microsoft, par exemple, on sait que des millions de plus petites entreprises qui utilisent leurs produits et systèmes ont été ciblées par des organisations criminelles qui ont su exploiter les vulnérabilités exposées par ces quelques attaques massives.
« Dans le cas de Microsoft, on peut penser aux vulnérabilités des serveurs de courriels Exchange, par exemple. Dans les derniers mois, nous sommes intervenus dans plusieurs attaques importantes, soit par rançon ou autre, qui ciblaient des PME de partout dans le monde et même ici, au Québec », explique Guillaume Caron.
Une petite organisation, tout comme une grande, peut subir de graves conséquences d’une cyberattaque, que ce soit sur le plan financier ou sur le plan de la réputation de l’entreprise auprès de ses clients, des investisseurs et des fournisseurs. Elle peut aussi être entraînée dans des litiges importants.
L’importance de se protéger au moment de sa transformation numérique
Avec la transformation numérique, les organisations ont recours à l’Internet des objets (IoT), souvent utilisés pour interconnecter des systèmes, des réseaux et des entreprises, afin d’accélérer les processus d’affaires. Bien entendu, cela augmente considérablement la surface d’attaque et il devient de plus en plus difficile de protéger tous les vecteurs. C’est pourquoi il est important de procéder continuellement à des analyses de risque afin de repérer ces portes d’entrée et de mettre en place des contrôles : outils technologiques, processus d’affaires, politiques, etc.
Une étude de la firme Léger révèle que la proportion des PME qui planifient investir dans des solutions de cybersécurité au cours des deux prochaines années a chuté, passant de 42 % en 2019 à seulement 25 % en 2020. Toutefois, comme l’explique Guillaume Caron, « en 2021, il n’y a pas d’excuse pour laisser une entreprise ouverte à des problèmes majeurs de cybersécurité ».
Il existe maintenant des outils facilement déployables et abordables que les PME peuvent utiliser pour se protéger. Peu importe le secteur d’activité, des criminels peuvent entrer dans une entreprise et en prendre le contrôle, télécharger des données sensibles, voler de l’information, etc. Si les machines ne fonctionnent plus, elles ne peuvent plus produire. Si les postes de travail sont bloqués, les employés ne peuvent plus travailler. Les répercussions sont majeures sur la survie d’une petite ou moyenne entreprise.
Comment faire pour mieux s’outiller en tant que PME?
De nos jours, ce n’est pas de savoir « si » une cyberattaque surviendra, mais « quand » elle surviendra. Toute entreprise doit se protéger et avoir un plan d’action concret lorsqu’une attaque survient.
De plus en plus, on parle de « risques liés aux tierces parties ». Les gouvernements, les grandes entreprises et les PME qui font affaire avec d’autres organisations ne peuvent plus faire confiance aveuglément à leurs partenaires d’affaires. Il s’agit ici de confier de l’information parfois vitale, sensible, stratégique ou secrète à d’autres organisations qui ne valorisent pas nécessairement autant la culture de sécurité.
Les grandes institutions formulent souvent des demandes à leurs fournisseurs concernant la conformité et le respect de certaines normes en sécurité de l’information afin de s’assurer qu’il n’y a aucune faille entre elles et leurs partenaires ou fournisseurs qui serait exploitée en cas d’attaque de la chaîne d’approvisionnement.
« Les PME devraient aussi exiger de leurs partenaires et de leurs fournisseurs que des mesures de cybersécurité soient en place pour travailler avec elles; ce n’est pas une exigence qui devrait être exclusive aux grandes institutions et aux gouvernements », déclare Guillaume Caron.
Il est primordial, aujourd’hui, d’être capable de démontrer que l’entreprise a mis en place les contrôles adéquats. Il existe des standards et des normes auxquels on peut se conformer. Il faut pouvoir démontrer qu’une culture de sécurité est en vigueur dans l’entreprise en présentant des faits. Cela devient même un avantage concurrentiel dans le milieu des affaires.