Au coût souvent exorbitant de la facture qu’elles doivent payer aux criminels s’ajoute un autre coût plus difficile à calculer, mais tout aussi important, lié à l’impact réputationnel de l’entreprise auprès des clients, des fournisseurs et même des employés. (Photo: 123RF)
BILLET. Uber, BRP, UPA… Les annonces d’organisations de toutes tailles ayant fait l’objet d’une cyberattaque se multiplient. Déjà, une PME sur deux admet en avoir été victime, selon un récent sondage de Devolutions. Et c’est loin d’être fini !
Bien entendu, les conséquences qu’elles subissent sont énormes. Au coût souvent exorbitant de la facture qu’elles doivent payer aux criminels s’ajoute un autre coût plus difficile à calculer, mais tout aussi important, lié à l’impact réputationnel de l’entreprise auprès des clients, des fournisseurs et même des employés. Même si les experts s’entendent pour dire que si un voleur veut vraiment vous piller, il finira par trouver une façon d’y arriver, ultimement, la victime est blâmée. Plutôt que d’être perçue comme vulnérable, défaillante ou mal préparée, l’entreprise cherche alors, la plupart du temps, à étouffer la nouvelle comme si c’était quelque chose de honteux.
Ainsi, malgré leurs nombreuses tentatives, nos journalistes ont essuyé systématiquement des refus pour les demandes d’entrevues auprès d’entreprises privées ayant subi une attaque. Une seule a accepté de témoigner sous le sceau de l’anonymat, ce que nous lui avons exceptionnellement accordé tant il nous semblait important de pouvoir raconter la réalité des entreprises qui ont vécu de l’intérieur une prise d’otages de leurs données et ainsi sensibiliser les autres à l’importance d’être bien préparées pour y faire face. Avec ce dossier complet, vous aurez tous les outils en main pour minimiser les failles en amont et pour avoir la capacité de gérer la crise pendant et après sa survenance afin d’en limiter les effets.
Pour les entreprises qui continueraient à faire l’autruche, une réglementation — la fameuse loi 25 — est en place depuis quelques semaines pour les inciter à mieux protéger les données collectées et à faire preuve de plus de transparence en cas de violation de la confidentialité. Cela reste souvent insuffisant, mais surtout, cela fait encore une fois reposer le fardeau sur les entreprises sans réellement les soutenir face à des défis qui peuvent les dépasser.
Après tout, les attaques viennent souvent de l’international et sont commises par des groupes malfaisants très organisés. Le braquage a beau se faire de manière virtuelle, les dommages, eux, sont bien réels. Lorsqu’une usine ou un hôpital sont paralysés suffisamment longtemps, les conséquences peuvent même être fatales.
Dans un blogue intitulé « À quand une vraie “cyberpolice” et une “cyberarmée” ? », le PDG de Talsom, Olivier Laquinte, remettait en cause le statu quo, arguant que « nous nous attendons à ce que les différents corps policiers veillent sur nous et que l’armée protège nos frontières. En 2022, est-ce utopique de penser que notre sécurité et notre souveraineté numérique ne sont pas si différentes que notre sécurité physique ? » Si la prise d’otage avait lieu dans les locaux des entreprises, peut-on les imaginer laissées à elles-mêmes ? Poser la question, c’est évidemment y répondre.
Il est d’ailleurs frappant de constater à quel point le sujet du numérique, malgré son poids dans l’économie, a été aussi peu abordé pendant la campagne électorale. Il faut dire que dans un contexte d’inquiétude sur le pouvoir d’achat, le thème avait moins de chance d’intéresser le grand public. Puis, force est d’admettre que le manque de littératie numérique des chefs d’entreprises comme des politiques constitue le premier frein pour attaquer de front les immenses défis que celui-ci impose.
Alors que le gouvernement Legault entame un nouveau mandat avec une majorité confortable, peut-on espérer qu’il ose mettre le numérique et la cybersécurité en haut de la liste de ses priorités?
Marine Thomas
Rédactrice en chef, Les Affaires
marine.thomas@groupecontex.ca
@marinethomas