L’OCRCVM a aussi publié un guide complémentaire sur la gestion des cyberincidents, dans le but d’aider les sociétés à préparer un plan d’intervention efficace (http://tinyurl.com/hyh5d6q).
Danger à l’interne
Les cyberattaques, vols d’identité et autres escroqueries informatiques font peser une menace bien réelle sur les entreprises canadiennes. Depuis 2013, le nombre de litiges liés à la protection de la vie privée et à la sécurité de l’information ainsi que les autorisations de recours collectif n’ont cessé d’augmenter, selon le cabinet d’avocats Fasken Martineau.
La cybersécurité ne représente pas un problème uniquement du point de vue technologique, souligne l’OCRCVM dans son Guide de pratiques exemplaires : «Il s’agit d’un problème d’entreprise qui exige une approche interdisciplinaire et un vaste engagement en matière de gouvernance pour faire en sorte que tous les volets de l’entreprise soient bien alignés pour appuyer des pratiques efficaces de cybersécurité».
L’OCRCVM insiste sur le fait que les menaces les plus courantes viennent de l’intérieur de l’entreprise. Dans un sondage réalisé en 2012 par la firme américaine CyberArk, près des trois quarts des 820 gestionnaires de technologies de l’information interrogés affirmaient que les «menaces internes» constituent leur principale préoccupation en matière de cybersécurité. Les employés mécontents ou malhonnêtes sont les plus susceptibles de commettre un méfait.
Dans le même registre, selon l’OCRCVM, «une équipe bien formée peut représenter la première ligne de défense contre les cyberattaques». Ainsi, en règle générale, les entreprises qui ont un programme de sensibilisation des employés à la sécurité déclarent des pertes financières moins élevées liées à des incidents de cybersécurité.
Cette sensibilisation peut consister simplement à avertir les employés de ne pas ouvrir des «courriels douteux» et à adopter de «saines pratiques en matière de mots de passe».
Des entreprises insouciantes
Pour Éric Parent, président de LogicNet et d’Eva Technologies, le guide de l’OCRCVM «vient satisfaire un besoin. Pour quelqu’un qui part de zéro, et c’est la majorité des gens, c’est très bon», dit-il en entrevue.
Ce spécialiste déplore vivement une certaine complaisance dans les entreprises, surtout les entreprises inscrites en Bourse. Éric Parent applaudit donc toute initiative qui a pour but d’améliorer la cybersécurité. «La triste réalité, c’est que la majorité des entreprises ne font clairement pas ce qu’elles devraient faire au point de vue de la sécurité», affirme-t-il.
Selon lui, les grandes sociétés vivent quelque peu dans le déni, et prétendent à tort que leurs mesures de sécurité sont adéquates.
Il l’a constaté dans sa pratique, mais aussi en tant que client d’une entreprise financière. Après avoir découvert des problèmes avec le site Internet de la firme en question – il s’est rendu compte que les noms d’usager et mots de passe des administrateurs étaient disponibles sur des sites de pirates -, il a alerté la direction. «On a toujours prétendu qu’il n’y avait aucun problème», s’indigne-t-il.
L’expert Marc Fournier, associé chez PwC, est du même avis : «Il y a un retard. J’ai des clients qui ne sont pas très avancés sur ce plan. Conscientiser la haute direction, c’est très long», dit le directeur du groupe Sécurité informatique et protection des renseignements personnels du cabinet-conseil au Québec.
Pourtant, selon le document de l’OCRCVM, la mobilisation du conseil d’administration et de la direction est primordiale pour la réussite des programmes de cybersécurité, tout comme l’établissement d’une chaîne de reddition de comptes précise.
Marc Fournier s’étonne lui aussi de la léthargie de certaines entreprises. «Il faut attendre que ça fasse mal, dit-il. Mais en même temps, j’ai des clients qui ont perdu des centaines de milliers de dollars à cause de brèches de sécurité. Cependant, même cela ne les fait pas vraiment bouger pour améliorer leurs mécanismes de sécurité.»
À ses yeux, la publication du guide de l’OCRCVM est une «première étape». «Souvent au Canada, on agit quand il y a de la réglementation. Je trouve excellent que ces organisations suggèrent des améliorations, parce que c’est souvent la seule manière de faire changer les choses.» Il juge nos voisins américains beaucoup plus proactifs à ce chapitre.
Bureaux et réseaux trop accessibles
Malgré l’évolution des techniques de cyberpiratage, les principales menaces auxquelles les entreprises restent confrontées aujourd’hui sont des «risques ordinaires», comme des fraudes par courriel, selon Éric Parent. «La fraude par courriel, c’est pas mal la menace numéro un, croit-il. Parce que ça marche !»
Cela dit, Marc Fournier et lui précisent qu’on ne peut pas tout régler par une bonne formation des employés. «La sensibilisation des utilisateurs, c’est important, mais il y a d’autres éléments», dit Éric Parent.
La sécurité physique, telle que le contrôle de l’accès aux bureaux de l’entreprise et à ses réseaux informatiques, en est un. «C’est vraiment un jeu d’enfant de pénétrer un réseau», note Éric Parent.
Lors d’un test d’infiltration, il a réussi à accéder au réseau de l’entreprise au moyen d’un appareil fixé derrière une photocopieuse. Quatre jours plus tard, il pouvait enregistrer des conversations du président à l’aide du micro de son propre ordinateur !
Les cybercriminels sont essentiellement à la recherche des coordonnées de clients, des mots de passe, des informations bancaires et de l’historique des ventes, souligne Mylène Croteau, porte-parole du ministère fédéral de la Sécurité publique, qui chapeaute le Centre canadien de réponse aux incidents cybernétiques (CCRIC).
Parmi les mesures de protection les plus efficaces, le Centre mentionne l’installation des correctifs de sécurité pour le système d’exploitation et certaines applications, la restriction des privilèges de gestion des systèmes d’exploitation et la création d’une liste des applications autorisées afin d’empêcher l’exécution de logiciels malveillants ou non autorisés.