Yan Lacoursière (Photo: Courtoisie)

Votre ordinateur gèle. Une fenêtre apparaît sur l’écran de votre ordinateur vous menaçant d’effacer vos données si vous ne versez pas une rançon en bitcoins. Pour ajouter à la pression, un compte à rebours vous indique le temps qu’il vous reste avant que toutes les données ne soient rendues inaccessibles.

Vous avez été frappé par un rançongiciel (ransomware), un logiciel qui utilise l’extorsion pour vous soutirer de l'argent. Selon le rapport IT threat evolution Q2 2019 de la firme de sécurité Kaspersky, le nombre de leurs variantes aurait plus que doublé entre le premier semestre 2018 et 2019. Pourtant, la menace demeure méconnue.

«On s’est aperçu que les gens ne connaissent pas les risques. Pourtant, on voit ça souvent. Dans près de 25% des cas, on doit arrêter complètement les systèmes avant de reprendre les activités, explique Yan Lacoursière Conseiller principal en prévention des sinistres assurances des entreprises chez Intact Assurance. Et il ne suffit pas de redémarrer les ordinateurs pour que tout se rétablisse: il faut parfois plusieurs jours, sinon plusieurs semaines avant la reprise des activités.»

En cas d’attaque réussie, il faudra tenir compte non seulement des pertes de données de l’entreprise, mais aussi des pertes de clients, de contrats, ainsi que l’éventuelle perte de réputation et de confiance des consommateurs.

Le conseiller mentionne les trois grands vecteurs d’infection: l’erreur humaine, la faille informatique causée par une mauvaise gestion des mises à jour des systèmes, et les clics sur une publicité surgissante provenant d’un site visité par un employé.

Une fois qu’un appareil est infecté, le logiciel malicieux va tenter de se répandre partout dans le réseau de l'entreprise, y compris aux appareils mobiles et aux documents stockés dans les nuages.

Pour augmenter la pression sur les victimes, le rançongiciel indiquera qu’il faut payer rapidement sous peine de perdre définitivement ses données. « En tant qu’assureur, on suggère de ne pas payer la rançon. Il n’y a aucune garantie que nos données seront restituées; une seconde rançon pourrait même être réclamée, explique M. Lacoursière. Et on se donne une visibilité auprès des criminels, qui savent maintenant que vous payez.» C’est aussi une question d’offre et demande: plus de gens paient, plus il y a de chance que ce genre de crime se poursuive.

Un plan de communication en cas de cyberattaque

M. Lacoursière mentionne l’importance d’avoir un plan de communications en cas de cyberattaque, une façon de ne pas s’exposer à une dérive sur les réseaux sociaux. Il indique que certains assureurs vont donner accès à des tiers qui offrent des modèles qu’il suffit de remplir et de mettre à l’abri. «Même si on travaille sur les risques en amont, quand une crise arrive, un bon plan de reprise des activités va aider à récupérer plus rapidement.»

Pour l’assureur, c’est une nouvelle réalité. «On assure les gens pour leurs risques d’incendies, d’accidents de responsabilité civile... On arrive avec les cyber risques, et les gens me demandent “Combien ça va me coûter encore?”. Pourtant, il faut traiter ses données comme un actif, mettre une valeur là-dessus.»

Pour en savoir plus: Cyber-assurance: la solution contre les failles informatiques?

Il souligne l’importance des notions de base: mettre à jour les licences et les logiciels, instaurer un système de détection et de prévention des données (aussi appelé DLP, data loss prevention) question de détecter les manipulations de données suspectes, et limiter au maximum l’accès aux données

Mais développer une politique d’utilisation du web et former les employés et dirigeants est aussi crucial. « Il n’est pas nécessaire de se déplacer, il existe des formations en ligne peuvent quelques minutes,» suggère-t-il. Faire un test d’hameçonnage auprès de ses employés peut aussi être une excellente façon de tester le niveau de vigilance.

Pour améliorer la sécurité des entreprises, qu’est qu’il faudrait corriger immédiatement? «La mauvaise gestion des mots de passe, écrits sur des post-its, et qui ne sont pas changés de temps en temps. Et celle des copies de sauvegarde des données, aussi. J’ai vu de serveurs qui peuvent être facilement détruits en cas de sinistre, emportant avec eux toutes les données de l’entreprise.» Une sauvegarde à l’extérieur du réseau de l’entreprise est essentielle. On veillera à encrypter les données, pour éviter qu’elles puissent être consultées si elle tombe entre de mauvaises mains. Coder les données du disque dur des ordinateurs portables des employés est aussi une sage précaution.

Les cyberrisques évoluent

La première phase d’une attaque commence souvent par un message très personnalisé. Les informations, qui peuvent être récoltées sur les réseaux sociaux (ou à partir du courriel piraté) servent à convaincre la victime de la crédibilité du message. Et les avancées technologiques vont rendre la détection des messages malicieux encore plus difficile. M. Lacoursière s’inquiète de l’arrivée des hypertruquages (deepfakes), qui vont augmenter les risques de fraude du président. Il sera difficile de se méfier quand ce sera la voix du patron qui nous demandera de cliquer sur un lien ou de virer une somme dans un compte étranger, comme le président-directeur général récemment victime d’une fraude de 243 000 USD, tel que rapporté par le Wall Street Journal en août dernier.

Pour en savoir plus: Hameçonnage: ça mord toujours 

Yan Lacoursière présentait une conférence intitulée Cybercriminalité : êtes-vous bien préparé? lors du salon TAG, qui portait sur le commerce à l’ère numérique.