Au printemps 2021, Frédéric* avait une soumission de police d’assurance cyberrisque imprimée sur son bureau, prête à être signée… lorsqu’une cyberattaque par rançongiciel est venue paralyser son entreprise. (Photo: 123RF)
LA CYBERSÉCURITÉ, UN IMPÉRATIF COMMERCIAL. Au printemps 2021, Frédéric* avait une soumission de police d’assurance cyberrisque imprimée sur son bureau, prête à être signée… lorsqu’une cyberattaque par rançongiciel est venue paralyser son entreprise active dans le secteur de la logistique et de la chaîne d’approvisionnement. Cette police, dont le vice-président aux finances n’a finalement pas pu bénéficier, coûtait 20 000 $. En comparaison, Frédéric évalue les coûts « directs » résultant de l’attaque subie par son entreprise à 250 000 $, ce qui est une somme considérable pour une PME d’environ 400 employés.
L’assaut a débuté un vendredi, par le chiffrement de certains dossiers et l’apparition d’une note de rançon sur des postes de travail. Branle-bas de combat dans cette entreprise familiale vieille de plus de 50 ans, formation d’une cellule de crise composée des membres de la direction. Le compteur des dépenses commence dès lors à tourner.
« Dès le départ, nous avons suivi plusieurs pistes en même temps, explique Frédéric. D’un côté, nous avons embauché une personne pour négocier avec les pirates. De l’autre, nous avons eu recours à une firme d’investigation pour connaître l’ampleur de la brèche. » La négociation a duré trois jours. L’enquête, plus de deux semaines. L’entreprise de logistique a aussi demandé l’aide d’une agence de relations publiques pour gérer l’aspect médiatique, car l’incident avait été rendu public par un blogue spécialisé dans les cybercrimes.
Au total, le VP aux finances estime que les honoraires en accompagnement juridique, en relations publiques et pour l’enquête en cybercrime se sont élevés à environ 50 000 $. « Nos sauvegardes étaient corrompues, mais nous avons pu avoir accès à une photo du disque — ce que l’on appelle un “snap shot” — et ainsi, nous avons pu récupérer nos données », explique-t-il. En fin compte, la direction a refusé de payer la rançon de « plus de 1 million de dollars » demandée par les cybercriminels.
L’entreprise a toutefois dû embaucher des techniciens « à la pige » pour nettoyer ses postes informatiques et relancer ses systèmes, au coût de 100 000 $. Une firme TI a ensuite été mandatée pour rebâtir un logiciel interne de gestion de l’approvisionnement, engouffrant un autre 100 000 $. Trois mois pour relancer les systèmes, avec une facture totale de 250 000 $ en dépenses liées directement à l’incident.
Simon Fontaine, président fondateur de la firme de cybersécurité ARS, n’est pas surpris par une telle somme. Il propose un scénario typique, où de trois à cinq ressources en TI sont mobilisées pour nettoyer et relancer des postes de travail, restaurer des données piratées, tester l’environnement informatique. « Imaginons que ça prend 14 jours, huit heures par jour à 150 $ de l’heure par ressource, la facture oscillera de 54 000 $ à 90 000 $. » Un scénario conservateur, sachant que le « temps d’arrêt » moyen des activités d’une entreprise rapporté en juillet 2022 par l’agrégateur de données sur les cyberattaques Coveware était de 24 jours.
Coup dur sur le moral
À cette facture s’ajoutent des coûts « opérationnels », plus difficiles à chiffrer. En effet, si l’entreprise de Frédéric a pu poursuivre ses activités de manière « manuelle », sans échapper de mandat, un contrecoup s’est tout de même fait sentir deux mois plus tard. « L’événement a mis beaucoup de pression sur notre personnel, reconnaît-il. Sans accès à notre plateforme de gestion de projet, la communication était beaucoup plus difficile. La relation s’est détériorée entre nos équipes de travail et nous avons perdu tous nos nouveaux opérateurs. »
Bien sûr, ces coûts dépendent grandement de la nature des activités de l’entreprise. « Une usine qui se retrouve à l’arrêt complet peut facilement perdre 10 000 $ de l’heure », illustre Simon Fontaine. Une PME peut se mettre à risque de « faire faillite », insiste-t-il.
Inévitablement, les entreprises piratées devront payer plus cher lors du renouvellement de leur cyberassurance. « La police peut facilement doubler », prévient Simon Fontaine. Le président d’ARS cite un client — une entreprise de 55 employés — qui a vu ses primes passer de 6000 $ en 2021 à 13 000 $ en 2022 à la suite d’une cyberattaque.
Et encore faut-il faire la démonstration que l’entreprise applique désormais les meilleures pratiques de cybersécurité. Une démarche dans laquelle s’est engagé Frédéric, en soumettant son entreprise à un test d’intrusion se chiffrant à plus de 10 000 $. « L’assureur doit d’abord vérifier notre architecture de cybersécurité ; c’est ce qui ralentit le processus. » Plus d’un an après l’incident, le VP aux finances dit avoir intégré la notion de cybersécurité dans le processus décisionnel de l’entreprise. « Ce n’est plus uniquement l’affaire des TI. Toute l’équipe de direction s’investit maintenant dans la question. »
* Frédéric a demandé de conserver l’anonymat, en échange de quoi il a accepté de ventiler les coûts directs et indirects de la cyberattaque subie par son entreprise.
Quelsques statistiques
41 % des PME ayant été victimes d’une cyberattaque rapportent des dommages de plus de 100 000 $
1 PME sur 4 (24 %) est assurée contre les cyberattaques
Source : sondage du Bureau d’assurance du Canada effectué en juillet-août 2021 auprès de 300 dirigeants d’entreprise
24 jours : c’est le temps d’arrêt moyen rapporté par les organisations ayant subi une cyberattaque
Source : rapport de Coveware (deuxième trimestre 2022)