La cybercriminalité évolue. Votre entreprise suit-elle le rythme?
*Cet article a d’abord été publié dans la section Fil d’actualité du site Web de la HSBC le 17 août 2023. Pour en savoir plus, visitez le site hsbc.ca.
Matt Charette, directeur de la cybersécurité, et Alex O’Donnell, directeur de la résilience opérationnelle, Paiements Canada, discutent des façons de protéger votre entreprise et de réduire au minimum les répercussions des cybermenaces.
Les cyberattaques représentent une menace pour toutes les entreprises. Mais en mettant en place de rigoureux processus de gestion des risques, et en adaptant votre approche vous pouvez aider votre entreprise à demeurer résiliente.
- Les cas de cyberfraude par compromission des courriels d’affaires sont en hausse.
- Le fait de connaître l’évolution des tendances à ce chapitre peut vous aider à établir des contrôles et à les adapter afin de protéger votre entreprise et de réduire au minimum les répercussions potentielles.
- La sensibilisation à l’échelle de l’entreprise demeure essentielle, tout comme l’adoption d’une culture axée sur la communication.
Même les entreprises les mieux préparées peuvent être victimes de cyberattaques. «Peu importe les mesures que votre entreprise prend en matière de sécurité, la question n’est pas de savoir si une attaque va se produire, mais quand elle va se produire», prévient Matt Charette, directeur, cybersécurité, Paiements Canada.
Il suffit d’un courriel frauduleux ou d’une personne qui clique sur un lien frauduleux pour permettre à des fraudeurs de voler vos renseignements sensibles et confidentiels, souligne Regina Rodriguez, responsable en chef, fraude du secteur de gros, Banque HSBC Canada. Cette dernière a vu de nombreuses entreprises qui ont investi massivement pour se protéger contre la cybercriminalité en être néanmoins victimes.
Cela dit, comme nous l’expliquons ci-dessous, vous pouvez faire beaucoup pour réduire, surveiller et atténuer les risques auxquels votre entreprise est exposée.
Tendances en matière de fraudes et de cyberattaques
Selon Mme Rodriguez, l’utilisation accrue des services bancaires numériques a récemment entraîné une flambée de la cyberfraude, dont la prévalence augmente. Elle affirme que la compromission des courriels d’affaires est la forme de fraude la plus fréquente : des clients ou des fournisseurs reçoivent de fausses communications leur demandant de modifier leurs renseignements de paiement afin que leurs paiements soient effectués dans les comptes de fraudeurs. Cette forme de fraude est de plus en plus spécialisée et beaucoup plus difficile à repérer.
Un autre exemple de compromission des courriels d’affaires est l’usurpation de l’identité du chef de la direction : un fraudeur se fait passer pour le chef de la direction ou le chef des finances et demande, dans un courriel frauduleux, qu’un paiement soit effectué de façon urgente à un tiers ou directement à lui. Ces communications frauduleuses sont de plus en plus sophistiquées et peuvent être pratiquement indétectables, selon Mme Rodriguez. Les fraudeurs utilisent des coordonnées d’entreprise, comme des adresses de courriel ou des numéros de téléphone, qui sont presque identiques aux vraies coordonnées, à quelques petits détails près.
Selon M. Charette, les escroqueries au moyen de messages textes, de courriels, de liens ou d’appels vocaux demeurent «probablement le plus important vecteur d’attaque initiale pour n’importe quelle entreprise». Il est encore courant que des fraudeurs se fassent passer pour des employés d’une banque et disent à des clients que quelque chose cloche dans une de leurs opérations et les encouragent à fournir leur nom d’utilisateur, leur mot de passe et leur NIP.
Qui plus est, les fraudeurs causent des dommages de plus en plus rapidement, passant d’une percée initiale dans un environnement à un mouvement latéral affectant beaucoup plus rapidement les systèmes. Et certains malfaiteurs, comme les courtiers d’accès initial, qui volent les identifiants de personnes pour les vendre à des pirates, comptent moins sur les logiciels malveillants et plus sur l’utilisation illégitime de justificatifs d’identité légitimes, ce qui leur permet d’agir sans se faire détecter.
Selon M. Charette, il est important de comprendre ces tendances et ces menaces afin de pouvoir établir les contrôles appropriés et de les adapter pour protéger votre entreprise et réduire au minimum les répercussions, si jamais le pire devait se produire.
Les attaques contre la chaîne d’approvisionnement touchent tous les secteurs et ont été particulièrement préjudiciables au cours des dernières années, selon M. Charette. «Ces attaques peuvent causer des dommages généralisés, car elles exploitent la confiance que nous avons dans les logiciels et les services sur lesquels nos entreprises comptent.» Les écosystèmes numériques étant tellement interreliés, il peut être facile pour les pirates d’exploiter des vulnérabilités tout le long de la chaîne d’approvisionnement, ciblant les entreprises moins sécuritaires en amont de la chaîne afin d’atteindre leurs objectifs en aval de celle-ci, illustre-t-il.
Or, ces acteurs malveillants sont de mieux en mieux financés et disposent de ressources pour créer des brèches complexes et généralisées au sein de nombreux secteurs.
Façons d’atténuer les cybermenaces émergentes
Il est essentiel de renforcer la résilience au sein de votre entreprise, affirme M. Charette. Établissez des priorités quant à la façon dont vous réagiriez à ces menaces et mettez en place des systèmes pour établir des contrôles et les adapter afin de vous protéger et de réduire au minimum les répercussions, le cas échéant.
Pour atténuer le risque lié à la chaîne d’approvisionnement, il est essentiel de faire preuve de diligence raisonnable envers les fournisseurs tiers et d’établir des mécanismes de protection ainsi que des points de contact réguliers, explique Alex O’Donnell, directeur, résilience opérationnelle, Paiements Canada. Pour les nouveaux contrats ou la renégociation de contrats, évaluez les pratiques en matière de sécurité et intégrez vos exigences au contrat. M. O’Donnell conseille aussi d’être proactif et d’effectuer des visites sur place des fournisseurs, de savoir où ils hébergent leurs technologies et de demander des assurances ou des vérifications indépendantes afin de comprendre les différents contrôles qu’ils ont mis en place.
La gestion des risques doit aussi être continue. Profitez donc des points de contact avec vos fournisseurs pour aborder certains risques comme les relations avec les quatrième et cinquième parties. Tâchez de savoir comment leurs fournisseurs s’acquittent de leurs obligations et «d’aller réellement au fond des choses et de vous assurer que les risques n’évoluent pas ou ne se transforment pas au fil du temps», explique M. O’Donnell.
Sensibiliser l’ensemble de l’entreprise et promouvoir une culture qui encourage à parler ouvertement
Selon M. O’Donnell, il est essentiel d’encourager une culture de gestion du risque chez chaque employé. Intégrez les attentes, les connaissances, les attitudes et la compréhension communes des risques et de leur incidence sur votre entreprise. Offrez ensuite aux employés la formation et la sensibilisation dont ils ont besoin, comme les pratiques gagnantes relatives aux mots de passe et au signalement des communications douteuses, ainsi qu’une formation sur les menaces émergentes.
«Au bout du compte, la gestion du risque est la responsabilité de tous. Ce n’est pas la responsabilité du service de gestion des risques. Ce n’est pas la responsabilité du service de prévention des fraudes. Il incombe à tout le monde, de façon globale, de gérer les risques et de s’assurer qu’ils respectent le niveau de tolérance de l’entreprise», affirme M. O’Donnell.
Pour Mme Rodriguez, la sensibilisation des employés, l’adoption d’une culture qui encourage à parler ouvertement et la création d’un espace sécuritaire où les employés peuvent signaler et communiquer toute préoccupation ou tout soupçon sont essentielles afin de prévenir les attaques.
Offrir les bons outils et effectuer des examens périodiques
Le fait de bien mettre en place la base peut contribuer grandement à protéger votre entreprise. «Mon conseil serait d’investir dans les renseignements sur les menaces», explique M. Charette, qui croit que le fait de comprendre les menaces est le moteur de tout.
M. O’Donnell convient que chaque entreprise doit mettre en place un solide système de gestion de la sécurité de l’information qui détermine les contrôles opérationnels et techniques requis pour contrer les menaces auxquelles celle-ci est exposée. Si des vulnérabilités avec les logiciels ou les systèmes sur lesquels une entreprise s’appuie sont détectées, elle doit adopter une méthodologie pour les atténuer.
Vous pouvez ensuite passer en revue ces contrôles aussi régulièrement que possible selon le contexte de votre entreprise. Pour M. O’Donnell, il s’agit de ne jamais s’asseoir sur ses lauriers et de «toujours surveiller l’environnement de menace externe et comprendre toutes les menaces qui pourraient avoir des conséquences pour votre entreprise».
M. Charette vous conseille de répéter des scénarios avec votre entreprise, par exemple ce que vous feriez si vous subissiez une attaque par rançongiciel, «parce que vous ne voulez pas vous poser ces questions dans le feu de l’action».
Si vous mettez en place ces approches et ces outils et que vous restez vigilants, votre entreprise sera dans la meilleure position possible pour résister aux cybermenaces actuelles et émergentes.
Si vous avez besoin d’aide et de conseils ou si vous ne savez pas par où commencer, votre gestionnaire de relations bancaires peut vous fournir de l’information sur les menaces à la sécurité.
«Il existe un grand nombre de politiques-cadres et d’outils sur la façon de cerner et d’évaluer les risques et de prendre de façon plus éclairée des décisions fondées sur les risques, lesquelles nous devons tous prendre quotidiennement», mentionne M. O’Donnell.
En savoir plus sur l’infrastructure de compensation et de règlement des paiements au Canada.
Pour en savoir plus, communiquez avec votre gestionnaire de relations bancaires et consultez le portail sur la cybersécurité et la fraude de la HSBC.