Gros plan de mains tapant sur un clavier avec des icônes flottantes au-dessus.

Tendances de risque en 2024 et par la suite : La cybersécurité

Tendances de risque en 2024 et par la suite : La cybersécurité

Résumé
4 minutes de lecture

Le passage au télétravail à temps plein ou partiel, l’infonuagique et le virage numérique ont tous fragilisé les organisations face aux risques de cyberattaque.

De plus en plus, les pirates visent les prestataires de services infonuagiques et font des alliances avec des gens de l’intérieur pour se frayer un chemin vers leur cible. Des quantités accrues de données sensibles aboutissent dans le Web clandestin, alors que l’adoption massive de ChatGPT et d’autres instruments d’IA générative doit nous faire craindre davantage les risques de fuite de données.

Les organisations ont un devoir de vigilance envers ces risques toujours changeants. Recourir à un service de balayage du Web clandestin pour battre les pirates à leur propre jeu pourrait être une option.

Connaissez-vous les éléments les plus vulnérables de votre entreprise à surveiller dans l’année à venir? Notre rapport sur les tendances de risque en 2024 fait l’analyse de 15 d’entre eux sur lesquels porter votre attention. Découvrez tous les risques abordés dans le rapport de cette année. 

Tirer parti du Web clandestin pour battre les pirates à leur propre jeu?

Si les 10 dernières années, voire plus, sont garantes de l’avenir, il est quasiment certain que les cyberattaques, en 2024, atteindront des sommets d’agressivité et d’audace. La pandémie reste l’une des causes majeures de cette envolée, car les organisations sont plus nombreuses que jamais à fonctionner en télétravail – complet ou partiel – et à recourir aux technologies en nuage.

Les fournisseurs de services infonuagiques sont une cible alléchante pour les pirates, car leur modèle d’affaires entier dépend de serveurs fonctionnels. Même s’ils refusaient de payer une rançon, l’attaque pourrait dévoiler une faille donnant accès à des milliers de clients peut-être plus enclins à le faire.

Le travail à distance donne à un employé mal intentionné une occasion de mettre en branle lui-même une attaque, ou du moins de faciliter le travail d’un pirate. Ces attaques sont devenues plus courantes depuis 2020, et les organisations doivent se préparer au pire, parce que les fraudeurs trouvent toujours de nouvelles façons de recruter et de former des initiés, soit par l’appât du gain, soit par la contrainte (extorsions, etc.).

D’autres initiatives de transformation peuvent aussi accroître les risques de piratage. Bien des organisations ont rapidement adopté des plateformes et outils numériques sans correctement évaluer les risques qui y sont associés ni actualiser leurs politiques et procédures comme il se doit. Chaque nouvel appareil ou logiciel vient avec ses risques. Dans l’année qui vient, il y aura lieu de se pencher sérieusement sur l’utilisation non réglementée des outils d’intelligence artificielle comme ChatGPT, vu leur haut potentiel de méfait et les risques de fuite de renseignements confidentiels ou personnels qu’ils génèrent.

L’invasion de l’Ukraine en 2022 a aussi accru les tensions entre la Russie et nombre de pays développés, en plus de soulever des questions sur les intentions de la Chine envers Taïwan. Au minimum, cette conjoncture devrait mener les entreprises à se soucier davantage du piratage commandité par l’État, car la Russie et la Chine pourraient vouloir améliorer leur sort et établir leur supériorité dans le cyberespace. La vigilance est particulièrement de mise pour le secteur public, les grandes infrastructures (énergie, services publics, hydrocarbures, etc.), les organisations pesant très lourd sur le PNB et celles qui collectent et stockent de grandes quantités de données personnelles ou privées.

Enfin, les organisations doivent envisager la possibilité qu’elles sont actuellement, ou qu’elles ont déjà été, la proie d’une attaque à leur insu. Les pirates n’ont pas besoin de chambouler les processus ordinaires de celles qu’ils ciblent pour leur voler des données sensibles, comme des identifiants ou les renseignements personnels de leurs employés ou clients, et les revendre sur le Web clandestin. Heureusement, il est désormais possible de battre les pirates à leur propre jeu à l’aide d’un service capable de balayer le Web clandestin et de déterminer quel sera leur prochain coup.

Risques connexes

  • Menace de l’intérieur entraînant des cyberrisques ou une fuite de données
  • Attaque par rançongiciel
  • Piratage psychologique par hypertrucage
  • Faiblesse de la gouvernance des technologies opérationnelles
  • Cybervulnérabilités causées par l’Internet des objets
  • Risques pour l’infrastructure critique
  • Relâchement des mesures de contrôle avec le passage au travail en mode hybride
  • Fuite de données confidentielles
  • Risques pour la chaîne d’approvisionnement
  • Non-conformité

""Questions importantes à vous poser

  • Qu’avez-vous fait pour vous assurer que les prestataires de services infonuagiques disposaient de pratiques et de mesures de contrôle capables d’anticiper les cyberrisques, d’y réagir et de les atténuer?
  • La fréquence et l’intensité des cyberattaques contre votre organisation sont-elles en hausse, et connaissez-vous les (nouveaux) vecteurs ou la (nouvelle) nature de ces attaques? Quels gestes votre organisation a-t-elle posés pour atténuer les risques d’attaque et leurs conséquences?
  • Vérifiez-vous les antécédents de chaque nouvel employé ayant accès à des données confidentielles ou privées?
  • Avez-vous un logiciel capable de détecter et d’informer les supérieurs hiérarchiques de toute consultation ou tentative de distribution hors de votre organisation de données confidentielles ou privées?
  • Savez-vous à quelle fréquence des données confidentielles ou privées sont expédiées par courriel à une adresse privée?
  • Avez-vous trouvé un rançongiciel sur un de vos serveurs ou lecteurs? Si oui, y a-t-il eu analyse des causes profondes pour déterminer qui l’avait sauvegardé à cet endroit et quand?
  • Avez-vous déjà eu recours à un balayage du Web clandestin pour savoir ce que les pirates disaient de votre organisation?
  • Avez-vous eu assez de formations et d’exercices de table avec la direction pour vous entendre sur la façon de réagir et de répondre à une attaque par rançongiciel?

""Signaux d’alerte

  • Aucune formation sur la cybersécurité offerte au personnel
  • Personnel encore nombreux à cliquer sur de faux liens d’hameçonnage proposés par un programme maison dans le cadre de tests de cybervigilance
  • Aucune démarche mise de l’avant par l’équipe des TI pour obtenir une garantie sur les mesures de sécurité appliquées par le prestataire de services infonuagiques de l’organisation
  • Aucun audit de cybersécurité mené par l’équipe d’audit interne depuis longtemps
  • Balayage du Web clandestin ayant révélé que des pirates commentent votre organisation ou vendent les données qu’ils vous ont volées

Audits internes à considérer

Audit des politiques et procédures de sécurité de l’information
Il vérifie que les politiques et procédures de sécurité de l’information sont complètes, à jour et conformes aux meilleures pratiques dans le secteur.
Audit des contrôles des accès
Il examine si les contrôles des accès protègent efficacement les informations sensibles et les systèmes contre les intrusions.
Audit de la sécurité des réseaux 
Il analyse l’infrastructure réseau de l’organisation à la recherche de possibles failles de sécurité et, le cas échéant, détermine les moyens pour rectifier la situation.
Audit de vulnérabilité et des tests d’intrusion 
Il examine les résultats des évaluations de sécurité et des tests d’intrusion menés sur les systèmes et les applications de l’organisation pour trouver et corriger de possibles vulnérabilités.
Audit de l’administration des correctifs de sécurité 
Il évalue les processus organisationnels de reconnaissance, de test et d’application des correctifs de sécurité pour colmater des brèches connues.
Audit des mesures de protection et de chiffrement des données
Il évalue les mesures de protection de données de l’organisation, dont le chiffrement, pour s’assurer que rien n’est mis à risque.
Audit de préparation en cas d’incident
Il évalue le degré de préparation de l’organisation en vue de bien gérer les incidents de cybersécurité, et veille à l’existence d’un plan d’intervention en cas d’urgence et d’une formation connexe à l’intention du personnel.
Audit des formations en cybersécurité
Il vérifie l’efficacité des formations en cybersécurité dispensées au personnel pour réduire le poids du facteur humain dans les incidents de sécurité.
Audit de sécurité matérielle
Il examine les mesures de sécurité en place pour protéger l’infrastructure matérielle critique, les centres de données et autres lieux importants.
Audit de sécurité des terminaux
Il évalue les mesures en place pour sécuriser les terminaux (ordinateurs portables ou de bureaux, appareils mobiles, etc.) contre les logiciels malveillants et les intrusions.
Audit de sauvegarde des données et de reprise après sinistre
Il s’assure que des copies de sauvegarde des données sont faites régulièrement, que les modalités de restauration des données fonctionnent et que des plans de récupération des systèmes et données critiques sont en place en cas d’incident de cybersécurité ou de catastrophe naturelle.
Audit de gestion des identités et des accès (IAM)
Il examine les processus et technologies d’IAM de l’organisation pour s’assurer que les accès sont correctement gérés et surveillés.
Audit de sécurité des fournisseurs
Il évalue les pratiques de sécurité des fournisseurs ou prestataires de services tiers ayant accès aux systèmes ou aux données de l’organisation.
Audit de conformité réglementaire
Il vérifie si l’organisation respecte les lois, règlements et normes de cybersécurité qui la concernent.
Audit de gouvernance de la cybersécurité
Il se penche sur l’efficacité de la structure de gouvernance de la cybersécurité et les mécanismes de supervision au sein de l’organisation.

Les risques : tendances pour 2024 et par la suite

Découvrez tous les risques abordés dans le rapport de cette année. 

Points de vue

  • Performance

    14 novembre 2024

    Mise en place d’un plan de restructuration et les différentes alternatives légales dans un contexte d’insolvabilité

    Découvrez les différentes options stratégiques offertes aux entrepreneurs pour restructurer leur entreprise dans un contexte d’insolvabilité.

  • Performance

    30 octobre 2024

    Faits saillants de l’énoncé économique d’automne de l’Ontario

    Voir le sommaire de MNP sur les faits saillants de l’énoncé économique d’automne 2024 de l’Ontario.

  • Performance

    24 octobre 2024

    La Nouvelle-Écosse annonce une baisse du taux de la TVH pour avril 2025

    La Nouvelle-Écosse a annoncé récemment une baisse d’un point de pourcentage de la TVH, avec prise d’effet le 1er avril 2025.