Votre entreprise a subi une cyberattaque : quoi faire maintenant ?

Les exploitants de PME tendent à penser que seules les grandes entreprises sont visées par les pirates informatiques. Les médias n’en parlent souvent que s’ils s’attaquent à des multinationales. S’ils s’en prennent à une petite entreprise, on le mentionne à peine. Toutefois, les PME sont des cibles de choix parce qu’elles disposent généralement de systèmes informatiques moins perfectionnés, y consacrent de plus petits budgets et ont moins de personnel spécialisé en cybersécurité. Malheureusement, une cyberattaque peut faire des ravages dans une PME, car elle entraîne des coûts énormes, des pertes de données précieuses, des temps d’arrêt et des dommages à la réputation dont il est difficile de se remettre.

Soyez à l’affût des indices

Comment savoir si votre entreprise a été la cible d’une cyberattaque ? Ce n’est pas toujours évident. Si quelque chose ne va pas avec vos finances, si votre matériel ou logiciel ne fonctionne pas correctement, si vos mots de passe ne marchent plus, ou si les gens se plaignent de courriels que vous auriez envoyés (des pourriels, par exemple), ce sont des indices pouvant faire soupçonner une cyberattaque. Les cybercriminels peuvent passer en moyenne jusqu’à 200 jours dans le système d’une entreprise avant qu’on prenne conscience de leur présence. Dans certains cas, toutefois, l’attaque est plus évidente.

Le plus important, c’est d’intervenir de façon rapide et efficace une fois la violation détectée. Quand l’inévitable cyberattaque se produit, il ne faut surtout pas paniquer. Inspirez profondément, faites le point et révisez les trois grandes étapes de la gestion de crise : préparation, intervention, reprise. Elles pourront aider votre entreprise à s’en sortir.

Préparation, intervention, reprise : les trois étapes de la gestion de crise.

Malgré toutes les mesures qu’elle peut prendre pour éviter d’être victime de piratage, aucune entreprise n’est invulnérable. La préparation est le meilleur moyen de gérer un cyberincident et d’y survivre. C’est pourquoi un bon plan de cybercrise peut contribuer à une intervention rapide et efficace pour minimiser les dégâts. Même si votre entreprise et vous-même manquez de temps et de ressources cette année, il est plus important que jamais de se préparer.

« Après la préparation, les séances d’exercice sont nécessaires, souligne Adam Evans, chef de la sécurité de l’information de RBC. C’est comme un muscle : il faut l’exercer régulièrement pour s’assurer de comprendre comment il fonctionne. »

Étape 1 : Préparation

Si vous pensez avoir fait l’objet d’une cyberattaque, et que vous aviez déjà institué un plan, le moment est venu de le mettre en œuvre. En l’absence de plan, il faut réfléchir très vite. Vous pouvez utiliser la Grille de gestion de crise – Cybersécurité.

Votre plan devrait contenir les éléments suivants à tout le moins :

Une liste de cyberrisques, regroupés en fonction de leurs conséquences. Vous devez établir quels types d’événements sont susceptibles d’avoir une incidence sur votre entreprise. Par exemple : un employé a égaré un ordinateur portable ou un appareil mobile, ou il y a une panne du système ou une violation de données. L’hameçonnage, les rançongiciels et la violation de comptes de courriels professionnels (utilisation des comptes de messagerie d’une entreprise pour frauder des clients ou des employés) continuent d’être les principales menaces. Ensuite, classez leur niveau potentiel de gravité (p. ex., critique, élevé, modéré, faible). Considérez les risques sous tous les angles : technologie, opérations, paiements, réputation et personnels. N’oubliez pas que le danger n’est pas toujours du côté de votre entreprise : vous pourriez subir les conséquences d’une attaque contre vos fournisseurs importants, vos employés ou vos clients.

Les principales parties prenantes. Ce sont les personnes ou les entreprises susceptibles d’être touchées par un cyberévénement dans votre entreprise. Elles peuvent soit en être victimes, soit être en mesure de vous aider. C’est une bonne idée d’avoir une liste de leurs noms, coordonnées et titres de poste.

La communication des événements. Comment joindre les personnes concernées ? Quels renseignements allez-vous transmettre, et à quel moment ?

Les grilles de communication. Le temps presse pendant une crise. Il est préférable de préparer les communications à l’avance, en tenant compte des divers messages qu’ils contiennent, des canaux de distribution et des niveaux de priorité.

Étape 2 : Intervention

Ensuite, vous devez réfléchir à votre intervention… puis passer à l’action.

À cette étape, il faut évaluer les éléments suivants :

• Ce qui s’est passé

• Les conséquences

• Le plan à court terme (minutes et heures), à moyen terme (jours et semaines) et à long terme (mois et années) Si votre préparation à la première étape était suffisante, il s’agit maintenant d’exécuter le plan déjà élaboré et avec lequel vous vous êtes familiarisé.

• Comment et quand communiquer

 
C’est également à ce stade qu’il faut prendre la responsabilité de l’incident, comme l’explique M. Evans. « La responsabilisation est une étape cruciale, car elle vous permet de contrôler le message et d’agir dans l’intérêt de vos clients et de vos employés en protégeant votre entreprise. Si vous gérez bien ces situations, vos clients auront confiance en vous et en votre intégrité. »

Étape 3 : Reprise

En phase de reprise, il faut agir très vite pour limiter les dégâts et minimiser la perturbation. Après avoir circonscrit le champ de l’attaque, pour ainsi dire, vous devrez évaluer les dommages causés à vos systèmes techniques, votre situation financière, votre marque, vos activités et les parties prenantes. Vous devrez également gérer les retombées sur le plan de la conformité aux lois et aux règlements.

De plus, c’est le moment ou jamais de se demander comment l’incident a pu se produire et d’en tirer des leçons. Posez-vous les questions suivantes :

• Le ou les problèmes ont-ils été résolus ?

• Quelles mesures peut-on prendre pour éviter que l’incident se reproduise ?

• Mes employés et fournisseurs sont-ils bien informés au sujet des risques et vulnérabilités ? Jusqu’à 95 % des incidents sont causés par une erreur humaine : par exemple, des employés qui cliquent sur des liens, utilisent des mots de passe faibles ou transmettent des renseignements.

• La cybercrise offre-t-elle de nouvelles possibilités ?

 
« Les risques de cyberattaque contre les entreprises ne cessent d’augmenter. Après une première attaque, il y a fort à parier que les pirates vous cibleront à nouveau. Compte tenu de ces probabilités, la plupart des entreprises risquent d’être touchées. Cette année, les entreprises sont accaparées par bien des problèmes et des priorités essentielles, mais la cybersécurité continue d’être primordiale », ajoute M. Evans.

N’agissez pas seul

À chaque étape de la gestion de crise, vous aurez plus de chances de réussir si vous demandez l’aide d’experts. Envisagez de retenir les services d’un cabinet d’avocats qui pourra vous donner des conseils opportuns, d’experts en informatique pour mettre en place des systèmes de sécurité solides ou de spécialistes en cyberéducation pour informer vos employés.

Voici des suggestions de lectures pour obtenir des conseils sur la protection de votre entreprise :

• Trois façons de protéger votre entreprise contre la cyberfraude

• Cinq conseils à suivre pour protéger votre entreprise contre la cyberfraude à l’ère du numérique

• Cinq mesures à prendre pour assurer la cybersécurité de votre entreprise

Partager cet article