29 mars 2023
Par Mathieu Ste-Marie

Alors que les cyberattaques sont en forte augmentation au Québec comme ailleurs dans le monde, plusieurs entreprises les sous-estiment. Pourtant, leurs effets peuvent être dévastateurs.

En 2019, une étude du consultant en informatique NOVIPRO rapportait que 40 % des entreprises de la construction et de l’immobilier avouaient avoir été la cible d’une cyberattaque. Or, ce chiffre est en constante augmentation, notamment à cause de la hausse du télétravail. Selon les plus récents chiffres du cabinet de conseils PwC, 53 % des entreprises du secteur de l’ingénierie et de la construction ont été victimes de cyberincidents.

 

Aujourd’hui, avec la transformation numérique, couplée à l’essor des technologies, quasiment aucune entreprise n’est totalement à l’abri de ces attaques numériques, observe Sébastien Huneault, enseignant en informatique et responsable du développement pédagogique pour l’organisme CyberQuébec. « Pas mal toutes les entreprises sont sur des systèmes informatiques. J’en connais très peu qui utilisent encore exclusivement le papier et le crayon. »

 

Une réputation entachée

Les cyberattaques peuvent être dévastatrices pour les entreprises qui se font voler ou crypter leurs données. Certaines d’entre elles perdent ainsi les données de leurs clients et ne s’en remettent même jamais, devant de ce fait par la suite fermer leurs portes.

 

Dans le domaine de la construction, des compagnies peuvent prendre des semaines avant de récupérer les données, ce qui peut entrainer des délais dans la réalisation de travaux ou une incapacité à répondre à un appel d’offres. De plus, la réputation et la confiance de l’entreprise peuvent être fortement affectées par le piratage de données qui peuvent se retrouver accessibles à tous. « Les entreprises ne veulent pas que des données bancaires, fiscales et des contrats avec les clients ou les fournisseurs se retrouvent sur Internet », indique Sébastien Huneault.

 

Sébastien Huneault, enseignant en informatique et responsable du développement pédagogique chez l’organisme CyberQuébec. Crédit : Gracieuseté

 

Les malfaiteurs du web pourraient s’emparer des données d’appel d’offres d’une compagnie, par exemple, et les publier sur Internet, ce qui la rendrait moins compétitive. Les criminels peuvent aussi se servir des informations subtilisées pour ouvrir des comptes bancaires et utiliser des cartes de crédit au nom des victimes qui sont des clients de la compagnie piratée. Certaines fois, des compétiteurs vont voler les données pour, par exemple, connaitre la liste des fournisseurs et des clients.

 

Une clé contre de l’argent

L’attaque numérique la plus courante n’a toutefois pas pour but le vol des données de l’utilisateur, mais bien de prendre en otage celles-ci. Il s’agit du rançongiciel, un logiciel malveillant qui crypte toutes les données importantes du système piraté sur l’ordinateur ou les serveurs de l’entreprise. « Une fois que les données sont chiffrées, elles deviennent irrécupérables si l’on n’a pas le mot de passe. Les criminels vont demander de l’argent en échange de la clé de déchiffrement en espérant que les gens paient », explique Sébastien Huneault.

 

Celui-ci recommande aux entreprises de ne jamais payer une rançon aux criminels puisque cela va seulement les encourager à recommencer. Néanmoins, plusieurs se résignent à le faire. Selon une étude de NOVIPRO publiée l’an dernier, 56 % des organisations canadiennes visées par un logiciel malveillant ont versé les sommes demandées par les cybercriminels afin de notamment récupérer des données sensibles de leurs clients.

 

Quoi faire ?

Pour protéger les systèmes, les réseaux et les programmes contre les attaques numériques, certaines habitudes doivent être prises. Sébastien Huneault recommande d’abord d’avoir une bonne hygiène de vie sur Internet et les réseaux virtuels. « On ne clique pas sur les liens des courriels dont on ne connait pas la provenance. Si on se rend sur des sites web et que l’on a des doutes sur l’origine du site, on fait attention de ne pas entrer nos identifiants personnels ou de la compagnie. »

 

Des fraudeurs pourraient créer de faux sites donnant l’impression qu’il s’agit d’un site d’une entreprise. Si la victime a entré ses identifiants, les criminels pourraient s’en servir pour entrer sur d’autres comptes de cette même victime si celle-ci utilise toujours les mêmes identifiants. Pour contrecarrer les plans des malfaiteurs, l’utilisation d’un gestionnaire de mots de passe, comme LastPass, Dashlane et 1Password, est recommandée. En générant des mots de passe longs et complexes, ce gestionnaire permet à l’utilisateur d’utiliser un seul mot de passe pour accéder à l’ensemble de ses comptes.

 

Des copies de sauvegarde

Afin d’éviter les désagréments d’une attaque numérique, une entreprise ferait mieux d’avoir au moins trois copies de sauvegarde. Les compagnies peuvent les utiliser si leurs données ont été volées ou cryptées. Toutefois, il faut s’assurer qu’elles fonctionnent bien.

 

« J’ai entendu beaucoup d’histoires d’horreur d’entreprises qui ont fait des sauvegardes, mais qui finalement ont constaté qu’elles ne fonctionnaient pas », raconte Sébastien Huneault.

 

En plus des bonnes pratiques des employés, les entreprises ont intérêt à avoir recours à la technologie pour protéger leurs données, comme des logiciels antivirus, des pares-feux de nouvelle génération ou des filtrages DNS qui permettent de bloquer l’accès à certains sites web.

 

Un talon d’Achille

Même si les cyberattaques sont en hausse, les entreprises du secteur de la construction, surtout les PME, minimisent souvent la menace des attaques, car elles estiment qu’elles sont trop petites pour en être la cible. Or, toutes les entreprises, peu importe leur taille, peuvent être ciblées.

 

« Les habitudes des PME en cybersécurité ne sont pas si bonnes, observe Sébastien Huneault. Les entrepreneurs pensent souvent à la sécurité après que tout le système informatique a été installé. Ça n’a aucun sens. Il faut que la cybersécurité devienne imprégnée dans l’entreprise. »

 

Lorsqu’il donne ses formations, l’enseignant en cybersécurité aime bien faire des analogies afin de mieux transmettre l’importance de protéger ses données. « Quand vous achetez une voiture, les freins viennent avec l’auto. De même que quand vous achetez une maison, il y a des verrous. C’est la même chose en informatique : il faut toujours assurer la protection de ses données. »

 

UNE NOUVELLE LOI

En septembre 2022, la Loi modernisant les dispositions législatives en matière de protection des renseignements personnels dans le secteur privé, aussi appelée loi 25, est entrée en vigueur. Cette loi oblige notamment les entreprises à :

  • Désigner une personne responsable de la protection des renseignements personnels et publier son titre et ses coordonnées sur le site Internet de l’entreprise.
  • En cas d’incident de confidentialité, tenir un registre de tous les incidents et prendre rapidement des mesures afin de diminuer le risque qu’un préjudice soit causé aux personnes concernées.

Selon un sondage effectué l’automne dernier par l’agence marketing Varibase, plus du tiers des entreprises n’étaient pas conformes à cette nouvelle loi.