CIRA publie un sondage annuel auprès des décideur·ses canadien·nes responsables de la sécurité des technologies de l’information pour mieux comprendre comment iels font face aux cyberrisques. Le sondage de cette année, mené en août par le cabinet de recherche The Strategic Counsel, a recueilli les réponses de 500 professionnel·les des technologies de l’information de tout le pays. Il s’agit ici du deuxième article de blogue d’une série de quatre pour 2023.
Les organisations canadiennes, dans pratiquement tous les secteurs, continuent d’être la proie des cybercriminel·les avec une fréquence alarmante. Au cours des derniers mois, Suncor Energy, Indigo, The Weather Network et Sick Kids ont tous été victimes de cyberattaques dévastatrices et coûteuses. Et ce ne sont là que les grands titres. Les données du sondage sur la cybersécurité de CIRA de 2023 ont révélé que quatre organisations sur dix (41 %) ont subi une cyberattaque au cours des 12 derniers mois.
Si les professionnel·les de la cybersécurité s’inquiètent naturellement de leur capacité à renforcer leurs défenses pour protéger leurs organisations, ils sont tout aussi préoccupés par la hausse des coûts associés à la reprise. Pour les organisations malchanceuses, victimes d’une attaque réussie, une chose est très claire : se remettre d’un cyberincident est extrêmement coûteux.
Payer les pirates informatiques après une attaque par rançongiciel est l’un des coûts les plus évidents que les victimes doivent assumer. Ces types d’attaques sont maintenant courants au Canada et continueront de croître avec la vaste disponibilité de programmes payants « rançongiciels en tant que service », qui permettent aux pirates peu qualifiés de lancer des attaques en un seul clic.
Dans le sondage de cette année, un peu moins d’un quart des organisations (23 pour cent) disent avoir subi une attaque par rançongiciel au cours des 12 derniers mois. De ceux-ci, la majorité (70 pour cent) a accepté de payer la rançon. Dans l’ensemble, les organisations qui ont payé une rançon ont généralement payé au moins 25 000 $, tandis que près d’un quart (22 %) ont payé à leurs attaquant·es entre 50 000 $ et 100 000 $.
Dans certains cas, payer la rançon initiale n’est toujours pas suffisant pour commencer à se rétablir. Lors d’une attaque dite à double extorsion, la victime ne paie pas une rançon, mais deux : une pour regagner l’accès à ses données et une seconde pour empêcher l’attaquant d’exposer ces données sur le dark Web.
Payer les pirates informatiques n’est que le début.
Aussi coûteux que soient les paiements de rançon, ils ne sont souvent que la pointe de l’iceberg en ce qui concerne l’impact financier total d’une attaque réussie. Prenez des revenus perdus. Tout type de cyberincident peut entraîner une perte de ventes, et c’est souvent le cas. Près de 30 % des organisations affirment avoir subi une perte de revenus à la suite d’une cyberattaque, qui est en hausse par rapport à 17 % en 2022.
Indigo est un exemple. Lorsque la plus grande librairie du Canada a subi une attaque catastrophique par rançongiciel en février 2023, elle n’a pas pu traiter les transactions par carte de débit ou de crédit dans ses magasins pendant plusieurs jours, et les ventes en ligne ont été gravement touchées pendant près d’un mois. En expliquant les raisons de sa perte de 50 millions de dollars au cours de l’exercice financier 2023, l’entreprise a spécifiquement cité la cyberattaque. Réparer les dommages à l’infrastructure informatique d’une organisation à la suite d’une attaque est une tâche coûteuse. Six organisations sur 10 (61 %) disent avoir demandé de l’aide-externe pour la réponse aux incidents et la récupération en lien avec les cyberattaques ou les incidents au cours des 12 derniers mois. Parmi ceux-ci, 63 % disent s’être tournés vers une société de conseil en cybersécurité pour obtenir de l’aide, tandis que 36 % ont demandé l’aide d’un organisme gouvernemental ayant une expertise en cybersécurité.
La plupart des organisations disent qu’il a fallu moins d’un mois pour récupérer les données compromises ou volées, et 44 % disent qu’il a fallu moins d’une semaine. Et en ce qui concerne la récupération des systèmes informatiques de leur organisation à la capacité d’avant, la plupart disent qu’il a fallu moins d’un mois pour se faire, et un peu moins de la moitié (47 %) disent qu’il a fallu moins d’une semaine. Pour les organisations dotées d’une technologie opérationnelle (TO) sophistiquée avec de longs cycles de vie, ce temps de rétablissement sera assurément plus long.
Grande réputation?
Ce n’est peut-être pas une priorité lors de la gestion d’un cyberincident, mais la récupération de la réputation prend beaucoup de temps. Un quart des organisations canadiennes (24 %) affirment avoir subi des dommages à leur réputation à la suite d’une cyberattaque. Une publicité négative et un retour sur les médias sociaux peuvent être extrêmement difficiles à contrer, et si les consommateur·rices ont des doutes sur la capacité d’une organisation à fournir des services en toute sécurité ou à protéger leurs données, ils peuvent être portés à dépenser leur argent ailleurs.
Pour les organisations canadiennes, la voie à suivre est claire. Le coût de la mise en œuvre des dernières protections en matière de cybersécurité, de la formation et des meilleures pratiques est beaucoup moins élevé que le coût de la récupération après une attaque majeure. Vous ne voulez pas être un autre grand titre et vous ne voulez pas avoir à consacrer du temps et des ressources lorsque vous pourriez faire des affaires comme d’habitude.
Si vous recherchez une protection au niveau de l’entreprise contre les menaces malveillantes pour votre organisation, consultez la suite de produits de cybersécurité de niveau entreprise de CIRA.
Eric est gestionnaire en marketing produit pour les Services de cybersécurité de CIRA. Son expérience en marketing numérique l’a amené à apprécier le rôle vital que jouent les données pour les organisations et les particuliers canadiens, ainsi que la nécessité de les protéger. Eric est titulaire d’un MBA en Commerce International de Sup de Co La Rochelle.
