Imaginez que vous soyez propriétaire d'une petite entreprise prospère. Vous vous présentez au travail un matin d'une journée comme n'importe quelle autre et découvrez que vous ne pouvez pas accéder à votre système. Un message s'affiche alors à l'écran indiquant qu'un pirate informatique a crypté votre ordinateur; votre matériel, vos logiciels, votre réseau et vos données sont tous verrouillés. À moins que vous ne payiez des frais de 10 000 $ (par Bitcoin), la personne effacera définitivement vos renseignements. Sans disque dur de secours, vous êtes pris entre le marteau et l'enclume. Et ce n'est pas un endroit confortable.
Bienvenue dans le monde inquiétant des cyberattaques, où la fréquence et la gravité des violations de données ont rendu la gestion d'une entreprise de plus en plus risquée. Ne pas sécuriser correctement vos ordinateurs peut entraîner des conséquences dévastatrices, pouvant aller jusqu'à la faillite de votre entreprise. C'est pourquoi il est si essentiel de comprendre vos risques de cyberattaque, ainsi que de contracter une assurance contre la cyberresponsabilité et les atteintes à la protection des données.
Qu'est-ce que les cyberattaques ? Ce sont des actes criminels qui proviennent d'un seul ordinateur (ou de plusieurs ordinateurs). Ils tentent de désactiver votre système ou d'accéder à vos données privées pour un gain financier. Les cyberattaques se présentent sous différentes formes, mais les motifs sous-jacents sont une intention malveillante et un gain financier. Du point de vue d'un propriétaire d'entreprise, le piratage est extrêmement stressant, d'une part en raison de la perturbation des opérations normales que cela entraîne et d'autre part en raison des coûts supplémentaires que cela engendre. Pour aider votre entreprise à survivre à une violation de données, il est important d'anticiper les attaques potentielles et de les atténuer grâce à une assurance complète contre la cyberresponsabilité et les violations de données.
Exemples de cyberattaques
La première étape pour vous protéger contre les cyberattaques est de vous familiariser avec leurs principaux types. Les cybercriminels sont extrêmement inventifs, modifiant leurs attaques en fonction des défenses qu'ils rencontrent. Mais voici quelques exemples courants auxquels votre entreprise peut faire face un jour :
- Logiciel malveillant : Désigne un logiciel malveillant conçu pour endommager un ordinateur, un serveur ou un réseau informatique ou les empêcher de fonctionner. Pour ce faire, il transmet un ver, un virus ou un cheval de Troie au sein d'un seul ordinateur ou dans l'ensemble d'un réseau. L'objectif est de faire des dommages, de prendre le contrôle d'un système ou les deux.
- Hameçonnage : Il s'agit souvent d'un courriel trompeur qui incite les utilisateurs à prendre une mesure qui causera des dommages. Par exemple, les pirates informatiques peuvent envoyer aux employés un courriel contenant un lien entraînant le téléchargement du code infecté. Ou ils peuvent inclure une URL dans le corps d'un courriel qui amènera les gens vers un formulaire fictif de site Web qui leur demande de saisir des renseignements personnels confidentiels.
- Rançongiciel : Comme mentionné précédemment, le rançongiciel est un sous-type de logiciel malveillant qui chiffre vos ordinateurs, rendant vos fichiers inaccessibles jusqu'à ce que vous payiez une rançon pour une clé de déchiffrement. Si vous ne payez pas, le cybercriminel effacera vos données de façon permanente.
- Déni de service (Denial of service, DoS) : Cela implique l'application d'une force brute pour rendre un site Web ou un service en ligne inopérant. Comment cela fonctionne-t-il ? Les pirates dirigent un flot d'utilisateurs vers un site Web ou une base de données afin de surcharger sa capacité à réagir. Une variante de cette attaque est appelée une attaque par déni de service distribué (distributed denial of service attack, DDoS) dans laquelle les cybercriminels utilisent des logiciels malveillants pour prendre en charge des milliers d'ordinateurs, puis dirigent ces appareils pour faire tomber un site Web ciblé.
- Homme du milieu : Grâce à cette attaque, les pirates se positionnent entre les utilisateurs et un site Web auquel ils tentent d'accéder. Ils le font en créant un écran de connexion d'apparence légitime qui incite les gens à saisir leurs renseignements personnels, que les pirates informatiques utilisent ensuite pour voler leur identité pour un gain financier.
- Attaque du jour zéro : Cela implique que les criminels tentent de tirer parti des défauts récemment annoncés dans le logiciel avant que les utilisateurs n'installent les correctifs nécessaires. En d'autres termes, l'horloge se dirige vers le « jour zéro » au cours duquel tous les utilisateurs auront installé les correctifs, ce qui rend le défaut inutile pour les pirates informatiques.
- Injection SQL : Il s'agit d'attaques sur les bases de données d'entreprise, qui sont souvent codées dans Langage d'interrogation structuré (Structured Query Language, SQL). Les pirates informatiques utiliseront des formulaires Web de l'entreprise qui recueillent les données des clients pour émettre une commande SQL à la base de données afin de divulguer des renseignements privés sur les consommateurs. Si les programmeurs de l'entreprise n'ont pas programmé correctement leur base de données, il se peut qu'ils répondent par erreur à la requête et transmettent vos renseignements aux criminels.
- Cryptominage pirate : Prendre le contrôle de l'ordinateur de quelqu'un d'autre pour créer (ou extraire) la cryptomonnaie est l'essence même de cette attaque. Les pirates installent des logiciels malveillants sur des ordinateurs tiers qui lancent le calcul ou qui utilisent JavaScript pour les exécuter dans le navigateur Web de l'entreprise.
Beaucoup de cybercriminels peuvent attaquer le système informatique de votre entreprise. Pour assurer la sécurité des données de vos clients et de la propriété intellectuelle, il est important de maintenir une cyberdéfense robuste pour désamorcer les menaces multiples et en constante évolution. Si vous n'en êtes pas encore convaincu, considérez l'éventail suivant d'impacts potentiels d'une cyberattaque, y compris les pertes économiques, les atteintes à la réputation et les conséquences juridiques.
Perte économique
Les pertes financières potentielles après une cyberattaque peuvent être dévastatrices. Elles vont du vol direct de fonds aux coûts que vous engagerez pour évaluer et atténuer les dommages, puis réparer tous les systèmes impliqués. Si des applications commerciales essentielles tombent en panne — par exemple, celles liées aux ventes, à la fabrication, à la prestation de services et à la gestion financière — le fait de ne pas pouvoir mener les activités comme d'habitude peut retarder le revenu d'entreprise ou l'éliminer complètement.
Lorsque vous additionnez les coûts post-attaque, le total peut être stupéfiant. Selon le rapport sur le coût d'une atteinte à la protection des données de 2019 du Ponemon Institute et d'IBM Security, l'impact financier moyen d'une atteinte à la protection des données était de 3,92 ;millions de dollars. Cela représentait un coût de 150 $ par dossier perdu. L'étude a également révélé que les entreprises ont en moyenne mis 279 jours à identifier et à contenir une violation. Cela reflète la difficulté de découvrir une attaque et la complexité d'évaluer et de réparer les dommages. Pouvez-vous imaginer avoir à passer autant de temps à faire face aux conséquences d'une violation de données ?
Dommages à la réputation
La confiance des consommateurs est le fondement de toutes les entreprises prospères. Mais lorsqu'une cyberattaque viole les données des clients, la confiance qui a pris des années à se bâtir peut se dissoudre presque instantanément. C'est parce que les consommateurs s'attendent à ce que vous sauvegardiez leurs données et, si vous ne le faites pas, ils perdront automatiquement confiance en vous. La perte de confiance entraîne alors des défections de la part des clients, une diminution des ventes et une réduction des marges bénéficiaires. L'impact sur la réputation implique non seulement les clients, mais aussi les fournisseurs, les consultants et les alliés stratégiques. Lorsque le bruit courra que vous avez subi une importante atteinte à la protection des données, tout le monde commencera à remettre en question votre capacité à protéger ses données et votre valeur en tant que partenaire commercial.
Conséquences juridiques
En plus de gérer la perte de revenus et les dommages à la réputation, vous pourriez également subir des conséquences juridiques. Au Canada, nous sommes assujettis à la réglementation fédérale en vertu de Pipeda, qui prescrit comment les renseignements personnels d'autrui doivent être traités lorsqu'ils sont en votre possession. Cela décrit également les exigences en matière de rapports. Le non-respect de ces consignes pourrait entraîner des amendes ou des pénalités de la part du Commissariat à la protection de la vie privée. Vous pouvez également être assujetti aux lois provinciales en plus des lois fédérales en fonction de l'endroit où vous faites des affaires. Vous pourriez même être soumis à la réglementation internationale selon le pays d'où votre site a été consulté. Cela ne tient même pas compte des litiges civils !
Lorsque vous combinez les impacts économiques, à la réputation et juridiques, il est clair que les conséquences d'une cyberattaque peuvent être difficiles dans le meilleur des cas et fatales dans le pire. Selon une étude du Bureau d'assurance du Canada, une petite entreprise sur cinq a été touchée par une atteinte à la protection des données, plus de 40 % ayant dû dépenser plus de 100 000 $ pour résoudre le problème.
Compte tenu de ces impacts, il est essentiel de prendre des mesures dès maintenant pour protéger votre entreprise contre eux. En ce qui concerne l'assurance contre la cyberresponsabilité et les violations de données, il est important de comprendre le fonctionnement de la couverture et ce qu'une police d'assurance cybernétique couvre. Elle offre généralement deux types de protection : première partie et tierce partie.
La protection de première partie signifie que la politique vous aide à atténuer l'impact négatif d'une violation sur votre entreprise. Ainsi, elle paie pour des choses comme :
- Enquête : embauche d'un expert en informatique judiciaire pour déterminer comment la violation s'est produite et pour corriger la brèche de sécurité
- Rançons : répondre à la demande de paiement d'un cybercriminel pour déverrouiller vos ordinateurs, surtout si vous ne disposez pas d'une sauvegarde de votre système.
- Amendes réglementaires : fournir des fonds pour couvrir les pénalités ou les amendes découlant de l'incident
- Relations publiques : embauche d'une entreprise de relations publiques ou de gestion de crise pour aider à prévenir les défections des clients après une violation de données
- Surveillance du crédit à la consommation : assurer la surveillance du crédit à tous les patients impliqués dans l'incident
- Frais de notification : informer vos clients que leurs données personnelles ont été publiées dans le cadre d'une violation de données et dans certains États, leur offrant une surveillance du crédit gratuite
- Conseil juridique : retenir les services d'un avocat pour vous conseiller sur l'impact juridique de l'attaque
- Soutien en cas d'interruption des activités : fournir de l'argent pour remplacer la perte de revenu après un incident
La protection de tiers signifie que la police couvre vos frais juridiques si vous êtes poursuivi après une cyberattaque. Si un juge ou un jury juge que votre négligence a joué un rôle, votre assurance couvrira vos honoraires d'avocat et vos règlements et jugements juridiques.