Logo - Les Affaires
Logo - Les Affaires

Les 5 péchés de la gestion de cyber crise

Pascal Forget|Publié le 01 novembre 2019

Les 5 péchés de la gestion de cyber crise

(Photo: 123RF)

Selon le rapport Beazley 2019 Breach Briefing, la rançon virtuelle la plus importante soumise à un assureur en 2018 était de 3000 bitcoins ou l’équivalent de 8,5 millions de dollars. Une tendance à laquelle on n’échappe pas au Québec, où la valeur normale d’une telle demande atteint maintenant les 6 chiffres. Et le montant réel pourrait être plus élevé encore.

« Les tentatives d’extorsion pour des millions de dollars ne sont plus rares, même ici, au Québec. On constate que les hackers vont s’infiltrer dans les réseaux d’entreprises bien capitalisées, prennent leur temps pour planifier l’attaque, et profitent d’une vulnérabilité pour frapper» explique Catherine Bertheau, responsable du développement des services cybernétiques pour Aon dans l’Est du Canada. 

La responsable reçoit chaque semaine des appels d’entreprises touchées. Tout lui indique que le taux de cyber-criminalité continue de croître et ne montre aucun signe de ralentissement.

Pourtant, comme les assureurs n’ont accès qu’aux informations rapportées par les entreprises qui font des réclamations, ils n’ont pas toujours accès au montant réel des pertes encourues. La responsable estime que chez les clients commerciaux de la firme, moins de 15% on une couverture pour les cyber risques. Une réalité avec laquelle il faut composer, même si la menace évolue très vite. «Tout ce qui n’est pas couvert, c’est la partie immergée de l’iceberg. Avec l’adoption grandissante des cyber assurances, nous aurons une meilleure vision de l’impact réel.»

Les coûts de rétablissement des affaires peuvent monter très vite. Prenons le cas réel de la perte d’un ordinateur portable qui contient des données sensibles dans un établissement d’enseignement postsecondaire. Plus de 4000$ en frais d’avocat, 32 000$ pour le numéro 1-800 pour l’assistance téléphonique, 74 000$ pour le service de surveillance du crédit… Au total, la facture avoisine le 210 000$.

Pour en savoir plus: Cyberattaque à Longueuil, histoire d’un retour à la normale

Sans compter que pour régler la brèche, il faudra souvent faire appel à une équipe de gestion de crise, constituée d’un expert juriste (breach coach), de consultants TI, d’une équipe de communications et de relations publiques, et parfois même d’un négociateur. Celui-ci pourra diminuer le montant de la rançon, et laisser à l’équipe du temps de déterminer si la menace est réelle.

Dans les cas de cyber rançons, certains pourraient avoir un problème éthique à payer des criminels. «L’intérêt de l’assureur s’aligne avec celui des clients pour régler la brèche le plus rapidement possible et à moindre coût, pour l’intérêt de tous. Payer ou non la rançon dépend de l’ADN des clients, c’est une question de conscience. Il faudra avoir la discussion avec l’assureur, qui pourra trouver une façon de rétablir la situation autrement, même si ce n’est pas la solution la moins coûteuse», explique M. Bertheau.

Les 5 péchés de la gestion de cyber crise

Même pour les entreprises les mieux préparées, quand la crise informatique frappe, les plans peuvent tomber à l’eau. Des erreurs commises peuvent ralentir le processus de résolution et augmenter les coûts qui y seront reliés.

Mme Bertheau rappelle les 5 péchés capitaux, les choses à ne pas faire en cas de crise informatique.

  1. Jouer le jeu du blâme. Chercher le responsable, et non la solution à la crise.
  2. N’avoir aucun responsable. La personne responsable doit agir comme la personne avec le chapeau orange dans les pratiques de feu. Il faut déterminer clairement qui est en charge, qui fait quoi et idéalement avoir un plan, pour savoir quoi faire et qui appeler.
  3. Oublier les clients et les partenaires. Il faut leur faire comprendre qu’on prend les bonnes actions pour remédier à la situation.
  4. Trop ou trop peu parler. Il faut diriger les communications, et prendre le temps d’informer les employés, pour qu’ils n’apprennent pas les détails de la brèche dans les médias.
  5. Gérer la crise seul. «On n’est pas pompier. Quand une alerte se déclenche, il faut appeler la caserne! Pourtant, pour naviguer dans les conséquences d’une brèche, les entreprises se sentent souvent laissées à elle-même» souligne M. Bertheau.

Pour en savoir plus: Cyber-assurance: la solution contre les failles informatiques?