Embed Size (px)
Citation preview
Le coût véritable d’une cyberattaque
et comment réagir au mieux
Introduction 2
Coûts tangibles et intangibles 3
Se préparer 5
Outils, processus et plans 6
Quelques réflexions supplémentaires 10
Conclusion 11
À propos de MicroAge 12
Table des matières
2
IntroductionApprendre que les cyberattaques se multiplient à un rythme effréné n’est pas une nouveauté, McAfee Labs ayant été confronté à 480 menaces par minute au troisième trimestre de 2018 Les cybercriminels deviennent également chaque jour de plus en plus intelligents et de plus en plus élaborés Nous entendons souvent parler de piratage de grandes organisations, d’établissements d’enseignement ou de soins de santé ou d’attaques par logiciels de rançonnage parce qu’ils font la une des journaux La réalité est telle que toutes les entreprises ou organisations sont ciblées, peu importe la taille, et que les PME ne font pas exception
Dans une étude réalisée en 2018 par le Ponemon Institute, le coût moyen d’une violation par terminal pour les PME est estimé à 763 $ Ce coût élevé peut causer des dommages considérables et parfois irréversibles à une entreprise
Au Canada, près de 70% des cyberattaques
visent les PME. C’est un fruit à portée de main pour
les hackers. Les PME disposant de budgets et de
ressources limités, elles sont des proies plus facile
pour les cybercriminels.
3
Coûts tangibles et intangiblesLes coûts liés aux temps d’arrêt découlant d’une violation relèvent de deux catégories : Les coûts tangibles ou directs et les coûts intangibles ou indirects Approfondissons chacune des catégories
3 4
Coûts tangibles ou directs Ce sont des coûts facilement quantifiables et imputables Les exemples comprennent :
• Les pertes de productivité
• Les coûts de production
• Le travail et perte de salaire
• Les pertes d'inventaire
• Les sanctions dues aux répercussions réglementaires
• Des frais supplémentaires dus aux exigences du contrat
• Des frais de marketing
Coûts intangibles ou indirects Ces coûts sont plus difficiles à quantifier mais peuvent en réalité s’avérer être plus coûteux pour une entreprise Ces coûts indirects comprennent :
• La publicité négative
• La perte de clients
• Les dommages causés à la notoriété et à la marque
• La perte de partenaires et de fournisseurs
• Les pertes d’opportunités commerciales
• Le morale des employés
• La perte d’employés
0,20 $
0,21 $
Six conséquences d'une ou de plusieurs attaques de terminaux réussies (en millions de dollars)
POURSUITES, AMENDES ET ACTIONSDE RÉGLEMENTATION
NOTORIÉTÉ / DOMMAGES À LA MARQUE
DOMMAGES À L’INFRASTRUCTUREINFORMATIQUE
TEMPS D’IMMOBILISATION DU SYSTÈME
VOL DE BIENS D’INFORMATIONS
PERTE DE PRODUCTIVITÉ DE L’ITET DES UTILISATEURS FINAUX
0,00 $ 0,50 $ 1,00 $
0,40 $
0,50 $
0,50 $
1,25 $
1,50 $
2,49 $
1,92 $
1,42 $
2017 2018 1,50 $ 2,00 $ 2,50 $ 3,00 $
0,57 $
1,15 $
En fin de compte, se remettre de l’impact d’une violation est définitivement une bataille difficile pour les organisations, quelle que soit leur taille
Le Ponemon Institute 2018 fournit six conséquences en termes de coûts et d’impact financier sur les entreprises (graphique ci-dessous) Le rapport indique que les pertes de productivité, les pertes de données et les temps d'arrêt du système constituent 80% du coût des attaques pour une entreprise L’étude montre aussi clairement que les coûts augmentent d’une année à l’autre dans toutes les catégories
5
Vous ne possédez peut-être pas de plan pour faire face à une cyberattaque si vous êtes comme bon nombre de PME Vous vous imaginez peut-être ne pas être dans le champs d’intérêts des cybercriminels ou il s’agit peut-être simplement d’une question de budget ou encore que vous ne sachiez pas par où commencer Il peut également s’agir d’une combinaison de tout ce qui précède
Premièrement, pour ceux qui pensent qu’ils sont trop petits pour avoir de la valeurs aux yeux des cybercriminels, vous devez savoir que les données sont précieuses et que toutes les entreprises, quelle que soit leur taille, disposent de précieuses données Les cybercriminels ne s’intéressent vraiment pas à la provenance des données, mais seulement à leur valeur et peuvent gagner beaucoup d’argent en les dérobant
Ils peuvent séquestrer vos données contre une rançon La plupart des attaques par ransomware sur les petites entreprises demandent entre 500 et 10 000 dollars pour libérer des données
Ils peuvent aussi tout simplement voler vos données, à votre insu ou non, et les vendre sur le dark Web, l’équivalent d’un marché noir À titre d’exemple, les informations de carte de crédit avec le nom et l’adresse du propriétaire et leur adresse électronique valent environ 20 à 25 USD par enregistrement Cela peut vous sembler peu, mais, comme pour toute autre activité criminelle bien organisée, ils ne le feraient pas sans un gain financier substantiel
Alors, de quoi une PME a-t-elle besoin pour se préparer à une éventuelle cyberattaque? Il s’agit en réalité de disposer des processus et des outils
appropriés pour à la fois réduire le risque de violation mais également pour permettre une rétablissement rapide et économique à la suite d’une intrusion
Cela semble assez simple, mais il faut tout de même mettre en place un cadre de réflexion permettant la prise de décision concernant les outils, les processus et les plans à adopter
Se préparer
6
Outils, processus et plansCommençons par examiner les outils et les processus dont vous avez besoin pour tenter de minimiser les risques d’attaques Nous le
considérons comme une sécurité à plusieurs couches, chacune d’elles ayant son importance Les solutions concrètes que vous décidez de
mettre en œuvre à chaque différente couche dépendent vraiment de votre entreprise et de votre budget Vous devez tenir compte de facteurs
tels que la taille de l’entreprise, les exigences réglementaires ou de conformité, le type de données que vous collectez et accédez, le type de
clients que vous servez, etc Les couches restent cependant les mêmes quelles que soient les solutions que vous décidez de mettre en place
7
Outils, processus et plans (suite)
Couche 1 - Protéger le périmètre
Un pare-feu protège le périmètre de votre réseau C’est un système de sécurité réseau qui surveille le trafic réseau entrant et sortant en fonction d’un ensemble de règles de sécurité défini Il établit généralement une barrière entre votre réseau interne et un réseau externe non fiable, tel que l'Internet Les pare-feu sont considérés comme la première ligne de défense en matière de sécurité du réseau
Quelques points à garder à l’esprit concernant le pare-feu
1. Vous devez vous assurer que vous investissez dans celui qui répond aux besoins de votre entreprise
2. Que la configuration du pare-feu soit correctement réalisée et que les règles de sécurité soient bien définies
3. Le pare-feu doit être surveillé et géré pour s’assurer qu’il sécurise correctement votre périmètre
Couche 2 - La protection des terminaux
Protéger le périmètre n’est pas suffisant parce que les périphériques de l’utilisateur final, tels que les ordinateurs de bureau, les ordinateurs portables et les périphériques mobiles, accèdent au réseau, ce qui peut menacer la sécurité de votre environnement informatique Par conséquent, les logiciels antivirus, antispam et de protection des terminaux constituent une couche importante
Voici quelques éléments à prendre en compte lorsque vous envisagez de protéger les terminaux :
1. Encore une fois, assurez-vous que la solution que vous choisissez corresponde à vos besoins
2. L’installation et une configuration appropriée des solutions sont tous deux très importants pour assurer la sécurité des terminaux
3. Le monde qui menace la cybersécurité est en constante évolution Les solutions doivent être régulièrement mises à jour pour assurer une protection contre les dangers les plus récents
4. Ces solutions, comme les pare-feu, doivent être surveillées et gérées de manière à garantir leur bon fonctionnement
5. Beaucoup de ces solutions sont vendues sous forme d’abonnements Il est important de veiller à ce que les abonnements n’expirent pas pour s’assurer qu’il n’y ait aucune lacune dans la protection des terminaux
Couche 3 - La gestion des patchs
Comme nous l’avons mentionné précédemment, le monde qui menace la cybersécurité est en mouvement constant Les statistiques sont renversantes et difficiles à imaginer, mais plus de 230 000 nouveaux spécimens de logiciels malveillants sont produits chaque jour Les fournisseurs de logiciels et de matériel publient en permanence des patchs pour garantir la plus grande sécurité possible à leurs solutions et pour faire face aux nouvelles menaces Par conséquent, appliquer les patchs à ces logiciels est une partie importante d’une approche multicouche de la sécurité
Quelques points à retenir sur la gestion des patchs
1. Les patchs s’appliquent à l’ensemble de votre environnement informatique, y compris votre infrastructure, vos ordinateurs et vos applications
2 La publication des patchs des différents développeurs de technologies s’effectue régulièrement Il est important que le processus de gestion des patchs soit géré et surveillé pour garantir que les correctifs soient correctement appliqués et ne causent aucun problèmes pour votre environnement
Couche 4 - Meilleures pratiques
Il existe quelques meilleures pratiques très simples qui devraient être adoptées par toutes les organisations et qui aident réellement à réduire le risque d’attaque Les exemples comprennent :
1. Mots de passe - Il s'agit d'une meilleure pratique qui est souvent négligée Il est assez étonnant de voir combien de personnes utilisent 12345 ou leur nom et leur date de naissance ou toute autre information facilitant le piratage Deux éléments importants des bonnes pratiques de mot de passe pour les organisations consistent à :
7 8
Outils, processus et plans (suite)
a Exiger des mots de passe complexes Au moins 8 caractères avec un mélange de majuscules et minuscules, ainsi que de chiffres et de symboles
b. Exiger que les mots de passe soient remplacés régulièrement Tous les trois mois au minimum
L’une des principales raisons pour lesquelles ces meilleures pratiques ne sont pas mises en œuvre est que les utilisateurs finaux trouvent cela peu pratique Cependant, il existe des outils peu coûteux qui peuvent aider à gérer les mots de passe pouvant être implémentés
2. Un accès distant sécurisé - En de simples termes, assurez-vous que toute personne accédant à votre réseau à distance le fait de manière sécurisée
3.Uneauthentificationàdeuxfacteursouàplusieursfacteurs - Il s'agit d'une méthode d'authentification dans laquelle un utilisateur final ne peut accéder à un réseau qu'après avoir présenté deux preuves ou plus à un mécanisme d'authentification indiquant qu'il est bien ce qu'il prétend être Il s’agit d’une couche de protection supplémentaire utilisée pour garantir que l’authentification d’un utilisateur dépasse le simple nom d’utilisateur et le mot de passe
4. La surveillance du Dark Web - La surveillance Dark Web, également appelée cyber-surveillance, est une méthode de prévention de l’usurpation d’identité permettant de surveiller les informations personnelles des utilisateurs finaux sur le Dark Web Il s’agit de surveiller les informations personnelles telles que le nom d'utilisateur et les mots de passe qui peuvent avoir été piratés Elles sont disponibles sur le Dark Web et peuvent être utilisées pour violer votre environnement
5. Des analyses de vulnérabilité et des tests d’intrusion - Ce sont deux méthodes qui peuvent être utilisées pour déterminer si votre environnement est sécurisé
Les analyses de vulnérabilité sont conçues pour analyser les ordinateurs, les réseaux et les applications pour des problèmes de
sécurité connus pouvant être dus à une mauvaise configuration ou à une programmation erronée Une fois qu’une vulnérabilité est identifiée, elle peut être corrigée dans le but de sécuriser votre environnement
Un test d'intrusion, également appelé test de stylo, est une cyber-attaque simulée autorisée sur un système informatique, réalisée dans le but d'évaluer la sécurité du système et de déterminer dans quelle mesure il serait facile pour un pirate informatique de pénétrer dans le système Encore une fois, une fois les vulnérabilités identifiées celles-ci pourront être corrigées
Nous tenons à souligner que l’utilisation de tests de vulnérabilité et d’intrusion dépendra de la taille de votre entreprise et du fait que vous apparteniez ou non à un secteur ayant des exigences de conformité et d’autres facteurs
Couche5-Lepare-feuhumain
Il s’agit d’une partie très importante du plan de sécurité Vous pouvez disposer des solutions de cybersécurité les plus performantes et les plus récentes, mais il suffit que quelqu’un ouvre un courriel malveillant ou clique sur un lien malveillant pour que toute l’édifice ne s'écroule Plus de 30% des violations de la cybersécurité résultent d'une erreur humaine Votre personnel peut être votre meilleure ligne de défense contre une cyber-attaque mais aussi votre maillon faible Ce détail fait de la construction d’un pare-feu humain une couche très importante de votre empilement de sécurité
Il convient de garder à l’esprit plusieurs aspects importants lors de la construction d’un pare-feu humain
1. Sensibilisation et éducation - Informez vos employés des risques qu’ils courent et qui pèsent sur leur entreprise en cas d’infraction Il est tout aussi important de leur apprendre à reconnaître les courriels et les sites Web malveillants ou suspects Éduquez-les sur les bons comportements à adopter sur les réseaux sociaux En leur apprenant quoi rechercher permettra de considérablement réduire les risques de duperie
9
Outils, processus et plans (suite)
2. Les tests - Ceci implique l’envoi de courriels de phishing de manière contrôlée pour déterminer si une formation supplémentaire est requise
3. Assurez-vous que la sensibilisation et la formation fassent partie du processus d'intégration des nouveaux employés
4. L’enseignement et la formation doivent être répétés sur une base continue, plusieurs fois par an, à mesure que les cybercriminels proposent de nouvelles et meilleures méthodes d’attaque Maintenir votre personnel à jour est un élément important pour l’aider à reconnaître les courriels et les sites Web malveillants
Couche 6 - Plan de sauvegarde et de récupération de données
Cette couche répond au pire des cas : vous êtes victime d’une violation
Tout d’abord, rappelez-vous que, avec le nombre de cyberattaques lancées régulièrement contre les PME, votre entreprise n’est pas la première et ne sera pas la dernière à subir une violation Ce qui peut faire la différence entre vous et votre concurrent, c'est votre état de préparation
S'assurer que vous sauvegardez vos données n'est pas nouveau Que les données soient détruites par une catastrophe naturelle, une erreur humaine ou une cyberattaque, la sauvegarde de ces données placera l’entreprise dans une meilleure position pour la récupération en cas de « catastrophe »
Voici quelques considérations et processus à prendre en compte lors de la création d'un bon plan de sauvegarde et de récupération de données
1. Définissez vos objectifs de temps de reprise (RTO) et vos objectifs de points de reprise (RPO) Ce sont deux des éléments les plus importants d’un plan de reprise après un sinistre
Les RTO indiquent combien de temps une application peut être interrompue sans causer de dommages importants à l’entreprise Certaines applications non critiques peuvent être en panne pendant des jours et avoir un impact nul ou minime sur l'activité D'autres applications plus critiques ne peuvent être arrêtées que pendant quelques minutes sans nuire à l'activité Fondamentalement, définir votre RTO implique de classer vos applications par priorité et par
perte potentielle et de mettre en place les solutions appropriées pour répondre à vos objectifs en matière de temps de reprise
Les RPO se réfèrent à la tolérance de perte de votre entreprise En d’autres termes, il s’agit de la quantité de données qui peut être perdue avant que l’entreprise ne subisse un préjudice important Il est exprimé en mesure de temps depuis l'événement de perte jusqu'à la sauvegarde précédente la plus récente Par exemple, si vos sauvegardes sont planifiées toutes les 24 heures, le pire des cas est que vous perdiez 24 heures de données Si votre entreprise le justifie, vous pouvez planifier différents incréments de sauvegarde en fonction de votre évaluation du degré critique de l’application
Définir les RTO et RPO vous aide à définir votre ou vos solutions de sauvegarde
2. Déterminez et répondez aux besoins des différents départements de votre entreprise Le département marketing peut avoir des exigences différentes de celles de la finance, qui peuvent également être différentes de celles de la vente Il est important de prendre tout le monde en compte lors de l'élaboration de votre plan
3. Vous devez avoir des plans à court, moyen et long terme basés sur les priorités des applications et des départements
4. Le plan doit comporter plusieurs niveaux pour la récupération d’applications, de services et, enfin, de l’ensemble de l’entreprise
5. Le plan doit être communiqué et mis à la disposition de tous les membres de votre organisation
6. Comme pour presque tout ce qui a trait à un environnement informatique, le plan doit être testé pour s'assurer de son bon fonctionnement et pour y apporter les améliorations nécessaires
Utiliser une approche en couches pour sécuriser votre environnement informatique constitue le meilleur moyen de couvrir toutes les bases et le meilleur moyen de réduire les risques ou les temps d'arrêt et de se préparer en cas de pire scénario Encore une fois, les solutions, outils, processus et plans dépendent de votre entreprise et de votre budget
9 10
Quelques réflexions supplémentaires
Le règlement sur les renseignements personnels et la confidentialité
Une attention croissante sur la protection de la vie privée et des informations personnelles conjuguée à l’adoption de lois telles que la LPRPDE au Canada et le RGPD en Europe oblige toutes les organisations à non seulement déterminer comment elles collectent, consultent, utilisent et protègent les informations mais également à connaître les exigences en matière d’enregistrement et de divulgation en cas d’infraction, ce qui impactera les stratégies de cybersécurité
de toutes les organisations, qu’elles soient grandes ou petites
Pour les organisations opérant dans des domaines tels que le secteur de la finance ou des soins de santé ou pour celles fournissant des services dans
de tels domaines, il peut être nécessaire de se conformer à d'autres exigences réglementaires Là encore, celles-ci ont une incidence sur les stratégies de
cybersécurité à mettre en vigueur
La cyber assurance
Tout ce dont nous avons discuté ci-dessus, du nombre de cyberattaques au coût des cyberattaques, en passant par le respect des règles relatives aux
informations personnelles et à la protection de la vie privée, nous incite à vous recommander d’examiner votre couverture d’assurance
d’entreprise dans le but de vous garantir qu’elle couvre vos besoins dans le domaine des incidents de cybersécurité
La couverture doit être revue régulièrement pour vous assurer qu’elle soit adaptée à
l’environnement actuel et aux besoins de votre entreprise
11
Les cyberattaques, ou toute autre
forme de temps d'arrêt, sont
coûteuses et peuvent causer des
dommages importants et parfois
irréversibles à une entreprise. Votre
meilleur choix est de comprendre
les coûts tangibles et intangibles
et d’être aussi préparés que
possible si la pire des éventualités
se produisait. Des partenaires
expérimentés et compétents tels
que MicroAge peuvent vous aider
tout au long du processus.
11
À propos de MicroAge
Présent au Canada depuis 1981, le réseau MicroAge fournit des services et des solutions IT dans 34 localités d'un bout à l'autre du pays Nous fournissons aux entreprises un accès à plus de 300 techniciens qualifiés et certifiés, une prestation de services nationale, un soutien logistique et une distribution et bien entendu des Services Informatiques Gérés MicroAge aide les entreprises de toutes tailles à maximaliser leurs investissements technologiques afin de répondre à leurs besoins opérationnels Nous vous offrons la tranquillité d’esprit et ainsi vous permettre de vous concentrer sur votre entreprise pendant que nous prenons soin de votre informatique
12
w w w . m i c r o a g e . c a
Contactez MicroAge pour en savoir plus sur la protection de votre entreprise contre les cyberattaques.
