La plus récente cyberattaque contre une entreprise québécoise fait grand bruit. Un récent article de Julien Arsenault dans La Presse1 décrit bien l’attaque contre le manufacturier de produits récréatifs BRP. Comme à l’habitude, cela se résume par des systèmes informatiques inaccessibles, des fuites de données et des partenaires mécontents.
Ce type de cyberattaque n’a fait qu’augmenter ces dernières années. Pour la raison suivante : il rapporte de l’argent aux pirates. Ceux-ci s’organisent en véritable PME, avec des sites sur le dark web, une stratégie de négociations et même parfois des zones « relations avec les médias » sur leurs pages.
C’est qu’il est facile de trouver des entreprises, toujours plus numérisées, prêtes à payer des dizaines de milliers de dollars pour récupérer l’accès à leurs données et éviter qu’elles ne soient rendues publiques. De l’entreprise cotée à la Bourse de Toronto au discret cabinet d’avocats, tous peuvent être des cibles, vu la nature commerciale et confidentielle de leurs données.
Il y a aussi un problème technologique : la majorité des entreprises sont très dépendantes des technologies de cryptage pour protéger leurs données, et ces technologies sont tout simplement peu efficaces contre les rançongiciels.
Les pirates peuvent crypter vos données par-dessus votre propre chiffrement, et vous n’y aurez plus accès ! Les rançongiciels ne sont pas une fatalité à laquelle il faudrait se résigner, surtout au Québec.
Des incitatifs forts
La Loi sur la protection des renseignements personnels dans le secteur privé entrera en vigueur progressivement à partir du 22 septembre 2022 : les décideurs seront responsables en cas de cyberattaques, un incitatif fort pour mieux protéger ses systèmes informatiques. L’autre incitatif vient du secteur des assurances, car qui dit cyberattaques dit aussi que des assureurs doivent payer pour certains des dommages.
Selon la firme de recherche en cybersécurité Varonis, les assureurs nord-américains doivent dépenser des sommes considérables pour dédommager leurs clients victimes de cyberattaques.
Cela a mené à des hausses énormes des primes d’assurance. Dans certains cas, des assureurs ont même refusé de couvrir des clients, estimant que les niveaux de protection de leurs données n’étaient pas assez élevés. Une raison de plus pour inciter les entreprises à mieux contrer les cyberattaques et à se tourner vers des technologies émergentes.
En attendant, les concessionnaires de BRP et leurs clients devront être patients, au moins jusqu’au 5 septembre, car le retour à la normale en cas d’attaque au rançongiciel prend en moyenne 21 jours, toujours selon la firme de recherche Varonis.
1. Lisez l'article « Des secrets industriels volés à BRP »