Ce qu’il faut retenir des cyberattaques

Preuve difficile

Le propriétaire du site Ashley Madison, Avid Life Media, fait face à plusieurs recours collectifs à la suite de la cyberattaque de mai, notamment deux au Canada, qui sont loin d’être réglés.

Pour sa part, Target a été condamnée à un règlement de 10 M$ US ordonné par la cour du District du Minnesota. Chaque client touché aura droit à des dommages-intérêts pouvant atteindre 10 000 $ US. Il devra remplir un formulaire en ligne dans lequel il devra prouver qu’il a subi des dommages.

Cela sera plus facile à dire qu’à démontrer, juge Matthew Esworthy, associé au cabinet d’avocats Shapiro Sher Guinot & Sandler, de Baltimore.

«Il y a une atteinte à la sécurité majeure environ chaque semaine», affirme-t-il sur le site Progressive Law Practice.

«Si l’on tient compte d’une telle fréquence et du recoupement potentiel des atteintes à la sécurité, les victimes pourraient avoir de la difficulté à se faire dédommager par une entité spécifique, car déterminer de quelle base de données de quelles entreprises le pirate a obtenu l’information personnelle peut s’avérer compliqué», ajoute l’avocat.

Graves conséquences

Heureusement pour eux, les consommateurs sont habituellement les victimes les moins touchées par une cyberattaque – sauf dans le cas d’Ashley Madison -, mais il s’agit d’un cas exceptionnel. En effet, la majorité des attaques visent les données de comptes de clients, ce qui ne compromet pas leur réputation, contrairement aux entreprises victimes.

«Le préjudice principal tient au temps perdu pour rétablir ses comptes», dit Benoit Dupont, directeur scientifique du Réseau intégré sur la cybersécurité, de l’Université de Montréal.

«Il est plus facile de voler ces données que de les exploiter par la suite, souligne Benoit Dupont. Si les voleurs peuvent en exploiter une proportion de 1 %, c’est beau.» Et quand il s’agit de cartes de crédit, les clients trouvent auprès de la banque émettrice un allié de taille pour les protéger.

Mais pour les entreprises victimes d’une cyberattaque, les conséquences peuvent être terribles, selon les spécialistes. Leur réputation est ternie, elles risquent de voir fuir nombre de clients, et leur titre boursier en prend pour son rhume.

C’est le cas de Target. «Beaucoup de consommateurs refuseront de faire affaire avec cette entreprise, prévoit Jacques Nantel, professeur titulaire au Département de marketing à HEC Montréal. L’événement les fragilisera de plus en plus au fil des ans.»

Pour la période des fêtes au cours de laquelle l’attaque a eu lieu, le bénéfice net de Target a chuté de 46 % par rapport à celui de la période correspondante de l’année précédente, et le nombre de transactions a baissé à son plus bas niveau depuis 2008, rapporte Bloomberg.

Nul n’est à l’abri

Les entreprises plus petites considèrent souvent que leur taille les protège des cyberattaques. Erreur, dit Benoit Dupont : «Toutes les sociétés sont exposées au même degré. Car les attaques sont menées de façon automatisée, et dès qu’une cible s’avère fragile, les pirates trouvent la façon de l’attaquer.»

«Oui, les petites entreprises sont moins attrayantes de par le volume de leurs données, mais elles sont souvent moins protégées, et ça accroît leur attrait [auprès des pirates]», ajoute-t-il.

«Il y a deux types d’entreprises : celles qui ont déjà été piratées, et celles qui le seront», affirme Michel Kabay, professeur de sciences informatiques à l’Université Norwich, au Vermont.

Mince consolation, sans doute, mais une telle fatalité ne signifie pas qu’il ne faut pas agir.

Que faire ?

Comment faire échec au cyberpiratage ? Au premier chef, les entreprises ne doivent plus considérer la sécurité informatique comme une partie négligeable de leur budget, tranche Michel Kabay. Le prix à payer pour le bris de confidentialité et de confiance est trop élevé.

Les mesures de sécurité sont bien documentées et connues. Toutefois, l’infonuagique introduit un nouveau risque : la dispersion des données sensibles en une multitude d’endroits souvent inconnus de ceux qui en sont responsables.

«Vous devenez vulnérable à des attaques qui ne se passent pas chez vous», souligne Jacques Nantel. L’entreprise doit savoir qui héberge ses données.

Autre conseil clé : «Si vous exploitez un site, assurez-vous d’honorer vos politiques», écrit Joseph Steinberg, chef de la direction de SecureMySocial, dans le site Internet du magazine Inc. Ashley Madison demandait un supplément à ses clients pour effacer leurs données, mais ne le faisait pas…

Enfin, un conseil aux internautes : faites attention à qui vous confiez vos informations personnelles. «L’information personnelle est comme de l’argent, et vous ne donnez pas votre argent à n’importe qui», souligne Michael Kaiser, directeur du National Cyber Security Alliance, dans un article du Globe and Mail.