Êtes-vous prêt à faire face à une cyberattaque?

En matière de cyberattaque, la question n’est pas « si », mais « quand ». Des acteurs malveillants tentent de plus en plus souvent de voler vos données sensibles, d’extorquer des sommes pour vous permettre de retrouver l’accès aux données qu'ils ont cryptées, ou simplement de perturber au maximum les activités de votre organisation. Quelle que soit leur motivation, vous devez rester vigilant.

Un simple coup d’œil aux titres des journaux montre clairement que les organisations privées et publiques de toutes tailles et de tous les secteurs sont touchées – qu’il s’agisse d'une importante société de développement immobilier canadienne victime d’une violation de données, de la fermeture des services en ligne de la ville de Saint John au Nouveau-Brunswick, d’une attaque contre la Société de transport de Montréal par le biais de logiciels de rançon, ou d’hôpitaux partout en Amérique du Nord ciblés à plusieurs reprises par des cyberintrusions de la part d’acteurs malveillants – et ce ne sont là que les cas les plus récents.

L’actuelle vague de cyberincidents a incité l’agence de cyberdéfense du gouvernement canadien à lancer un avertissement selon lequel il est « presque certain » que les attaques de logiciels de rançon contre les entreprises et les infrastructures canadiennes essentielles se poursuivront, en raison de l’évolution de la vulnérabilité en ligne des Canadiens, qui sont de plus en plus nombreux à travailler, à faire des achats et à se réunir en ligne en raison de la pandémie.

Votre organisation est-elle prête?

Comme dans toute situation de crise, une communication opportune et pertinente joue un rôle essentiel pour se remettre rapidement d’une cyberattaque et assurer le retour à la normale.

Le silence n’est pas une option. Un vide en matière de communication sera comblé par des rumeurs qui pourraient entraîner la panique chez les clients, les employés et les autres parties prenantes. Vous devez contrôler la trame narrative. Après tout, la réputation de votre organisation est en jeu.

Voici quelques éléments clés à retenir :

L'importance d’un plan de continuité des opérations

Les cyberattaques entraînent souvent l’interruption des systèmes de courrier électronique, de programmation ou de téléphonie. Si vous n’avez plus accès à vos systèmes, pourrez-vous continuer à fonctionner? Quels sont vos plans de secours? Pourrez-vous encore communiquer avec vos employés et vos clients en cas d'arrêt des systèmes?

En plus de réviser votre plan de réponse aux incidents cybernétiques et de le mettre à l’épreuve au moyen d’exercices de simulation basés sur des scénarios réalistes, vous devriez envisager de dépoussiérer et de revoir votre plan de continuité des opérations afin de vous assurer qu’il est conforme aux meilleures pratiques.

Changer les attentes en matière de restitution

Il est de plus en plus fréquent que les entreprises victimes d’une cyberattaque assurent la surveillance du crédit des clients ou des personnes touchées par un incident.

Généralement, ce service est fourni pour une durée maximale d'un an, mais dans certains cas, la couverture peut être de plus longue durée. Par exemple, la récente fuite de données chez Desjardins, qui a touché 4,2 millions de membres, a conduit l’organisation à proposer une surveillance du crédit pendant cinq ans. L’offre d'un tel service peut être coûteuse et n’est généralement pas prévue dans le budget de la plupart des organisations.

Les exigences réglementaires introduisent de nouvelles considérations

Comme les cyberattaques qui portent atteinte aux données personnelles permettant l’identification deviennent de plus en plus courantes, les gouvernements ont reconnu la nécessité d’actualiser la législation pour protéger leurs citoyens.

Le 17 novembre 2020, le gouvernement fédéral a déposé le projet de loi C-11, la Loi de 2020 sur la mise en œuvre de la Charte du numérique, qui vise à remanier de manière significative les lois fédérales canadiennes sur la protection de la vie privée, en donnant aux individus un plus grand contrôle sur leurs données et en tenant les entreprises qui traitent les renseignements personnels responsables de la protection de ces données. La législation proposée prévoit des amendes importantes pour les entreprises qui ne protègent pas les données de leurs utilisateurs, ce qui signifie que la protection des renseignements personnels et de la vie privée des Canadiens deviendra une priorité de plus haut niveau pour les organisations qui se contentaient de paroles en l'air à cet égard.

Une activité en ligne accrue signifie davantage de failles et de vulnérabilités

Votre organisation a peut-être mis en place des mesures de sécurité à la fine pointe, mais qu’en est-il de vos partenaires et de vos fournisseurs? Pour les entreprises qui travaillent avec des tierces parties, il est important de comprendre comment vos données et informations sont stockées sur leurs systèmes et quelles mesures de cybersécurité elles ont mises en place. Les cybercriminels cherchent constamment à exploiter les failles de sécurité en ciblant le maillon le plus faible d'un réseau informatique.

Notre meilleur conseil est de vous préparer avec un plan de communication complet avant d'être confronté à une cyberattaque. Ayez un plan de réponse aux incidents prêt à l’emploi, qui a idéalement été testé par des simulations de cyberintrusion.

Le Cabinet de relations publiques NATIONAL a accès à une équipe intégrée d'experts en gestion de crise, de conseillers juridiques, d’experts en informatique et en sécurité pour assurer une communication efficace avec les parties prenantes dans les deux langues officielles, en cas de cyberattaque.

Nous pouvons vous aider à concevoir et à mettre en œuvre un plan de réponse solide et actuel. Après tout, mieux vaut prévenir que guérir!