Les rançongiciels : mieux vaut prévenir que guérir
Il faut des années pour se forger une bonne réputation, mais une cyberattaque peut l’entacher en quelques secondes.
Après avoir accédé aux systèmes d’une organisation et aux informations qui y sont stockées, des criminels peuvent se livrer au vol d’identité et causer des pertes économiques et des torts considérables à la réputation de leur cible.
Des renseignements personnels sensibles sont confiés aux gouvernements, institutions publiques, organismes de soins de santé et fournisseurs de services à l’enfance et à la famille pour leur permettre de fournir une variété de programmes et de services. Les citoyens doivent avoir la certitude que ces renseignements seront bien protégés.
Les enjeux sont de taille, au point où la prévention n’a jamais été aussi cruciale. Octobre est le Mois de la sensibilisation à la cybersécurité, une campagne internationale visant à faire connaître l’importance de la cybersécurité alors que se multiplient les menaces à la technologie et aux données confidentielles.
Les cyberattaques sont en hausse dans le monde entier. Le Centre canadien pour la cybersécurité (CCC) a fait état d’une augmentation de 151 % du nombre d’attaques par rançongiciel dans le monde en 2021 par rapport à une période comparable en 2020, et a fait état des rançons et des paiements les plus élevés jamais enregistrés. Le CCC a déclaré que cette tendance était marquée « par des attaques par rançongiciel audacieuses et sophistiquées de plus en plus fréquentes et, pour les cybercriminels, très lucratives ».
Les organisations canadiennes n’ont pas été épargnées par cette flambée d’attaques par rançongiciel, en particulier le secteur des infrastructures essentielles et les grandes institutions publiques comme les hôpitaux, les gouvernements et les universités. La Canadian Internet Registration Authority (CIRA) a décrit 2022 comme étant « une année cruciale pour la cybersécurité », 60 % d’organisations de plus qu’avant la pandémie ayant déclaré des atteintes aux données sur leurs clients et employés. Selon une étude menée en 2022 sur les rançongiciels au Canada, TELUS a constaté que 83 % des 450 entreprises canadiennes interrogées avaient été la cible d’une attaque par rançongiciel, et seulement 42 % d’entre elles ont affirmé que leurs données leur avaient été rendues après le paiement d’une rançon.
Un rançongiciel est un logiciel malveillant. Après avoir obtenu l’accès aux systèmes d’une organisation, l’attaquant utilise un rançongiciel pour empêcher cette organisation d’accéder à ses propres fonds de données, et il exige d’elle une rançon pour rétablir cet accès.
Les organisations doivent prendre des mesures raisonnables pour protéger les renseignements personnels dont elles ont la garde et le contrôle contre les menaces croissantes dont ils font l’objet. En cybersécurité, mieux vaut prévenir que guérir.
C’est pourquoi nous avons mis à jour notre feuille-info sur la protection contre les attaques par rançongiciel. Elle propose aux organisations des conseils à suivre pour éviter les pièges courants par la sensibilisation et la prévention.
Cette feuille-info porte sur les nombreuses mesures proactives que peuvent prendre les organisations pour renforcer leur posture de sécurité. Mentionnons notamment la tenue d’un inventaire à jour des actifs de données pour faire le suivi de la circulation des données, et la destruction sécuritaire des renseignements personnels à la fin de leur cycle de vie.
Un autre aspect de cette approche proactive visant à minimiser l’exposition de votre organisation consiste à réduire le nombre de voies d’accès à vos réseaux qu’un attaquant est susceptible d’emprunter. Vous pouvez le faire, par exemple, en désactivant les services informatiques inutilisés, en vérifiant régulièrement vos systèmes pour déterminer s’ils présentent des vulnérabilités, en installant des correctifs sans tarder et en limitant qui peut installer des logiciels dans votre organisation. Évaluer régulièrement la sécurité de vos systèmes informatiques internes, et aussi de ceux de fournisseurs externes, revêt une importance cruciale.
Une autre étape essentielle pour protéger votre organisation contre les menaces éventuelles, particulièrement l’hameçonnage, consiste à donner à votre personnel une formation en cybersécurité pour les sensibiliser aux menaces. De même, il y a lieu de dresser un plan d’intervention en cas d’incident de cybersécurité qui est bien coordonné et mis à l’essai, et qui décrit clairement les rôles et les responsabilités, les protocoles de communication et les procédures d’escalade.
Je vous invite à lire cette feuille-info et à consulter nos autres ressources pour protéger votre organisation contre les cyberattaques, notamment , ainsi que notre à ce sujet.
Visitez notre chaîne YouTube pour regarder de brèves vidéos proposant des conseils pour vous protéger contre l’hameçonnage et protéger votre vie privée en ligne. Nous ajoutons souvent de nouvelles vidéos à notre chaîne, alors n’hésitez pas à vous abonner pour ne rien manquer.
Faites part de ces ressources à vos collègues et amis et aux membres de votre famille. Vous pouvez aussi suivre le mot-clic #MoisCyber2022 pour apprendre comment vous protéger, vous et votre organisation, contre les cybermenaces.
« Mieux vaut prévenir que guérir », dit-on, et ce vieux proverbe reste toujours très pertinent de nos jours quand on pense aux cybermenaces!
— Patricia
Contact média
Pour une réponse rapide, veuillez nous envoyer un e-mail ou nous téléphoner avec les détails de votre demande tels que le média, le sujet et la date limite :
E-mail : @email
Téléphone : 416-326-3965
Médias Sociaux
Le CIPVP maintient des chaînes sur Twitter, YouTube et Linkedin afin de communiquer avec les Ontariens et les autres personnes intéressées par la vie privée, l'accès et les questions connexes.