La sensibilisation accrue des entreprises et une série d’incidents très médiatisés ne semblent pas avoir contribué à réduire le fardeau financier de la cybercriminalité au Canada, révèle un nouveau rapport.
Le coût moyen pour les entreprises d’une atteinte à la cybersécurité au Canada en 2023, selon une enquête réalisée par le géant mondial IBM auprès de 26 organisations victimes, est de 6,94 millions $, soit en légère baisse par rapport aux 7,05 millions $ de l’an dernier. Le montant moyen est malgré tout le deuxième plus élevé de l’histoire de neuf ans de cette étude.
En plus des coûts techniques, juridiques et de relations publiques encourus par les entreprises dans la foulée de tels incidents, le rapport montre que les organisations victimes d’une cyberattaque passent un temps considérable à réparer les dégâts.
Selon IBM, il faut en moyenne 215 jours aux entreprises pour identifier et contenir une violation de données. Cela signifie que de nombreuses entreprises passent une bonne partie de l’année à gérer les retombées d’une cyberattaque réussie.
« En réalité, le processus de nettoyage est très long, a observé Chris Sicard, responsable des conseils de sécurité chez IBM Canada. Une fois que vous faites face à une attaque et que vous travaillez pour contenir cette brèche — même si elle n’est plus dans le cycle de l’actualité — il y a énormément d’investissements et de travail qui sont nécessaires pour s’assurer que cela ne se reproduise plus jamais. »
Le rapport d’IBM fait suite à une série d’incidents qui ont fait les manchettes des médias au Canada. Le libraire Indigo, l’épicier Sobeys, le producteur de pétrole et de gaz naturel Suncor Énergie et l’hôpital pour enfants SickKids de Toronto ont tous reconnu publiquement avoir été victimes de cybercriminalité dans la dernière année.
Les cibles préférées des cyberpirates
Selon le rapport d’IBM, les cybercriminels — en particulier ceux qui ont recours à des rançongiciels — ont davantage tendance à s’en prendre aux entreprises et aux industries qui ont peu ou pas de tolérance pour les temps d’arrêt, et qui sont plus susceptibles de payer une rançon rapidement afin de remettre leurs systèmes en marche dès que possible.
Le rapport précise que les services financiers et les sociétés énergétiques sont les principales cibles de la cybercriminalité, le secteur financier subissant en moyenne près de 12 millions $ de dommages par attaque, et le secteur de l’énergie déboursant 9,37 millions $ en moyenne.
Des incidents très médiatisés qui font l’actualité — comme l’attaque par rançongiciel de 2021 contre Colonial Pipeline aux États-Unis, qui a forcé un arrêt temporaire des activités du pipeline — ont sensibilisé le public à la menace de cybersécurité qui existe.
Et il y a probablement beaucoup plus d’entreprises victimes de cyberattaques dont nous ne savons rien, a souligné M. Sicard.
« Tout le monde ne révèle pas qu’il a eu un cyberincident ou qu’il a été compromis. Et cela fait partie du problème, a-t-il affirmé. On peut dire que nous ne faisons pas encore un bon travail de partage et de soutien mutuel. »
Répercuter les coûts aux clients
Le rapport d’IBM suggère également que plus de la moitié des entreprises piratées choisissent de répercuter les coûts d’un incident de cybersécurité sur les clients en augmentant les prix, plutôt que d’investir dans une cybersécurité supplémentaire.
Mais même les entreprises intelligentes qui investissent dans le chiffrement, l’intelligence artificielle et d’autres outils pour protéger les données sensibles des entreprises et des clients ne font pas bouger l’aiguille de manière aussi importante que M. Sicard le souhaiterait. Selon lui, le coût moyen pour les entreprises canadiennes d’une violation de données a augmenté de plus de 1,5 million $ depuis qu’IBM a commencé son enquête en 2015.
Une partie de la raison pour laquelle les retombées financières de la cybercriminalité continuent de croître, a estimé M. Sicard, est que les cybercriminels deviennent de plus en plus sophistiqués.
« Ils ont le même accès à la technologie que nous. C’est juste qu’ils l’utilisent pour le mal plutôt que pour le bien », a-t-il souligné.
Il existe également plus de points d’entrée pour les pirates que jamais auparavant, car les entreprises transfèrent de plus en plus de données sensibles vers le nuage, et la tendance au télétravail augmente le risque d’une violation par l’entremise de l’appareil mobile d’un employé individuel.
La guerre en Ukraine et les tensions géopolitiques qui en résultent ont également accru le risque que des pirates informatiques parrainés par l’État tentent de pénétrer dans des infrastructures critiques à des fins de sabotage ou d’espionnage.
« J’aimerais être optimiste, mais je pense que ça va empirer avant de s’améliorer », a affirmé M. Sicard.
Il a ajouté qu’il pensait que la plupart des grandes entreprises devraient « accepter » le fait qu’il y a une bonne probabilité qu’elles deviennent un jour victimes de la cybercriminalité. Néanmoins, investir dans des éléments tels que la formation des employés et la détection des menaces peut réduire ces risques, a-t-il indiqué.
« Il y a des choses que les entreprises peuvent et doivent faire pour réduire leur risque d’être victimes. »