Des audits à ne pas négliger
Les entreprises et les travailleurs du secteur financier représentent des cibles de choix pour les pirates informatiques. Les audits et évaluations externes constituent des outils incontournables pour tester leurs défenses et révéler des failles avant qu’elles ne soient exploitées.
Les entreprises sont beaucoup plus conscientes qu’avant des risques financiers, opérationnels et réputationnels que peuvent entraîner des problèmes de cybersécurité. Le nombre de parties prenantes qui s’intéressent à ces questions a aussi augmenté. Les investisseurs ou les acquéreurs potentiels, par exemple, voudront obtenir des informations très détaillées et vérifiées sur les capacités de cybersécurité d’une entreprise.
« Ces évaluations se scindent en deux grandes catégories : la conformité, qui donne une vue d’ensemble sur la gouvernance, les processus et les technologies de sécurité, ainsi que les tests technologiques, qui eux cherchent directement les failles dans la carapace de l’entreprise », explique Yassir Bellout, associé, services-conseils en cybersécurité à KPMG Canada.
Les évaluations de conformité se font aux deux ou trois ans, mais les tests technologiques devraient être beaucoup plus fréquents (mensuels ou trimestriels). « C’est essentiel pour trouver les brèches et les colmater le plus rapidement possible », poursuit Yassir Bellout.
Jeux de guerre
Pendant longtemps, les audits ont surtout servi à vérifier la conformité à certains standards, comme ISO 27001, ou à certaines normes adaptées spécifiquement à différents secteurs d’activité. Il s’agissait donc de comparer ses stratégies à un cadre fixe. Mais une attaque informatique, c’est tout sauf fixe.
« Il y a toujours d’un côté des humains qui essaient de contourner les défenses de l’entreprise et, de l’autre, des humains qui s’efforcent de les en empêcher, souligne Amir Belkhelladi, associé et leader national, Services de cybersécurité à Deloitte Canada. Les audits de cybersécurité sont donc devenus très dynamiques afin de mieux correspondre à cette réalité. »
« L’avantage va aux attaquants, car les défenseurs doivent s’assurer de repérer et de colmater un tas de failles potentielles, alors que les attaquants n’ont qu’à en trouver une seule pour causer du dommage. » — Yassir Bellout
EN 2021, PRÈS D’UNE ENTREPRISE CANADIENNE SUR CINQ A ÉTÉ TOUCHÉE PAR AU MOINS UN INCIDENT DE CYBERSÉCURITÉ. POUR LES ENTREPRISES DE 50 À 249 EMPLOYÉS, LA PROPORTION EST D’UNE SUR QUATRE ET DE PLUS D’UNE SUR TROIS POUR LES ENTREPRISES DE PLUS DE 250 EMPLOYÉS.
EN 2021, 61 % DES ENTREPRISES CANADIENNES ONT DÉPENSÉ AU TOTAL 9,7 MILLIARDS DE DOLLARS POUR DÉTECTER OU PRÉVENIR LES INCIDENTS DE CYBERSÉCURITÉ. C’EST DEUX MILLIARDS DE PLUS QU’EN 2019.
Source : Statistique Canada, L’incidence du cybercrime sur les entreprises canadiennes, 2021
Les audits continuent bien entendu d’analyser les politiques, les procédures de sécurité et de gestion des données mises en place et de vérifier qu’elles sont conformes à des normes reconnues ou respectent les réglementations de l’industrie. Ils passent aussi au peigne fin les différents systèmes informatiques. Mais les tests technologiques à l’aveugle sont de plus en plus répandus.
Une firme comme Deloitte utilisera par exemple des « équipes rouges », c’est-à-dire des pirates éthiques, pour mener de fausses attaques contre une entreprise. Ces opérations peuvent durer plusieurs semaines. Les pirates prennent le temps d’étudier leur cible, de comprendre ce qui a de la valeur pour elle ou pourrait en avoir pour des attaquants, auscultent les défenses, puis tentent de les percer. Les employés de l’entreprise visée ne savent pas que c’est un test.
« Les services financiers se montrent très friands de ces exercices, car pour eux les enjeux sont énormes en cas de bris de sécurité », note Amir Belkhelladi.
Des risques qui augmentent
Les tests technologiques réalisés dans le cadre d’audits ou de simples évaluations de cybersécurité visent donc à reproduire au plus près le jeu du chat et de la souris auquel se livrent les attaquants et les défenseurs dans ce type de situation.
« L’avantage va aux attaquants, car les défenseurs doivent s’assurer de repérer et de colmater un tas de failles potentielles, alors que les attaquants n’ont qu’à en trouver une seule pour causer du dommage, estime Yassir Bellout. C’est entre autres pour cette raison qu’il faut multiplier les tests. »
L’intelligence artificielle (IA) pourrait-elle venir bousculer l’équilibre des forces en faveur de l’un ou l’autre? À court terme, les deux experts de KPMG et de Deloitte en doutent, mais les conséquences à moyen et long terme demeurent plus difficiles à prédire. « Il y a beaucoup de données de cybersécurité qui pourraient éventuellement servir à entraîner des outils d’IA qui aideraient à se défendre, mais ça reste à voir », croit Amir Belkhelladi.
Dans sa plus récente analyse des risques, le Bureau du surintendant des institutions financières (BSIF) s’inquiète davantage des retombées de plusieurs situations géopolitiques compliquées, notamment la guerre en Ukraine. « Avec l’émergence de nouveaux conflits régionaux ou planétaires, les risques attribuables aux cyberattaques ciblées, et leurs répercussions, pourraient devenir plus courants », écrit l’organisme.
En avril 2023, le site Internet de la Banque Laurentienne, celui du premier ministre Justin Trudeau ainsi que le site et l’application mobile d’Hydro-Québec ont tous été frappés par une cyberattaque d’un groupe russe qui les a rendus inaccessibles pendant un certain temps.
« Les dirigeants d’entreprises deviennent plus conscients des risques une fois qu’ils ont été attaqués, note Yassir Bellout. Comme les attaques se multiplient, la culture de la cybersécurité devrait continuer de se renforcer au cours des prochaines années. »
La réglementation se resserre
De nouvelles réglementations obligent les entreprises financières à se montrer rigoureuses dans la protection de leurs données.
Du côté fédéral, le BSIF a publié en juillet 2022 la ligne directrice B-13, qui prendra effet le 1er janvier 2024. Le Bureau a aussi publié en avril 2023 un nouveau Cadre d’exécution du test de la cyberrésilience fondé sur le renseignement (TCFR). Cette approche vise à renforcer la technorésilience et la cyberrésilience des institutions financières en cas d’attaques complexes. Le cadre s’applique à toutes les banques d’importance systémique intérieures et aux groupes d’assurance actifs à l’échelle internationale.
Au Québec, la loi 25 oblige, depuis septembre 2022, les entreprises à désigner une personne responsable de la protection des renseignements personnels et à publier ses coordonnées sur son site Internet. En cas d’incident de confidentialité, l’organisation doit prendre les mesures raisonnables pour réduire les préjudices causés aux personnes concernées et prévenir de futurs incidents. Elle doit aviser la Commission d’accès à l’information du Québec et la personne concernée si le risque de préjudice est sérieux, en plus de tenir un registre des incidents.
À partir de septembre 2023, les organisations devront notamment établir et mettre en œuvre des politiques et des pratiques pour encadrer leur gouvernance des RP et publier des explications détaillées et claires à leur sujet. Elles devront renseigner leurs clients relativement aux moyens utilisés pour recueillir les données et aux fins auxquelles elles les emploieront et également obtenir un consentement libre et éclairé pour chacun des objectifs et détruire ou anonymiser les données une fois ces objectifs atteints.
La ligne directrice sur la gestion des risques liés aux technologies de l’information et des communications de l’Autorité des marchés financiers, effective depuis février 2021, doit aussi être respectée par les assureurs et les institutions de dépôts et sociétés de fiducie. Les cabinets et représentants doivent quant à eux respecter la section 6.2 du Guide sur la gouvernance et la conformité des inscrits. Les courtiers et conseillers en valeurs mobilières et les gestionnaires de fonds doivent suivre les consignes de l’Avis 11-332 du personnel des ACVM – Cybersécurité et de l’Avis 33-321 du personnel des ACVM – Cybersécurité et médias sociaux. L’Organisme canadien de réglementation du commerce des valeurs mobilières et l’Association canadienne des courtiers de fonds mutuels émettent aussi leurs directives.