Collaborateurs :
Charles Eckert, associé, Cybersécurité, protection des renseignements personnels et lutte contre la criminalité financière, PwC Canada
Justin Abel, associé, PwC Canada
Pour les organismes gouvernementaux et du secteur public, les dommages causés par une cyberattaque dépassent les coûts financiers et opérationnels directs. Par exemple, au cours de la dernière année seulement, l’un des hôpitaux les plus occupés de Toronto a été la cible d’une attaque qui a forcé la mise hors service de ses systèmes pendant des jours, tandis qu’un cyberincident a perturbé des milliers de rendez-vous médicaux dans une province canadienne, notamment pour des tests de dépistage de la COVID-19. De tels incidents peuvent entraîner des répercussions immédiates et à long terme sur la vie des citoyens, et miner leur confiance envers les institutions essentielles.
Dans ce contexte, notre dernier rapport de Renseignements sur les cybermenaces au Canada explore les principales tendances et répercussions potentielles auxquelles font face les entreprises, les organismes et les citoyens à travers le pays. Nous constatons que les gouvernements reconnaissent de plus en plus le cyberrisque comme une question de sécurité nationale. Un nouveau projet de loi invite d’ailleurs les organismes gouvernementaux à jouer un rôle plus actif dans la coordination et la supervision des mesures de sécurité des infrastructures essentielles du pays. Cela dit, les organismes gouvernementaux et du secteur public doivent aussi faire face aux cyberrisques qui leur sont propres, car c’est en comprenant les risques uniques auxquels ils sont confrontés que les dirigeants de ces secteurs peuvent mieux orienter les investissements en cybersécurité vers l’optimisation de la résilience et la mise en place de solutions qui améliorent la vie des citoyens.
Une cible unique et attrayante
Les entités gouvernementales de l’ensemble du Canada sont dans la mire des cybercriminels. L’an dernier, seul le secteur des télécommunications et de la technologie a connu une plus forte proportion d’attaques (14,1 %) que le secteur de la santé (11,9 %) et le secteur public (11 %) au pays. Les entités gouvernementales et du secteur public sont des cibles très attrayantes pour plusieurs raisons :
- Beaucoup d’entre elles détiennent des volumes importants de données très convoitées;
- Elles sont perçues comme ayant des ressources financières pratiquement illimitées;
- Elles ont souvent sous-investi dans la cybersécurité, et ont de la difficulté à moderniser leurs systèmes ainsi qu’à attirer et à retenir des professionnels talentueux de la cybersécurité.
Pour ces raisons, les organismes gouvernementaux et du secteur public continueront probablement à compter parmi les principales cibles des cybercriminels en quête de gains financiers ou de renseignements sur la concurrence au cours des prochaines années.
Comment les auteurs de menaces obtiennent – et exploitent – les accès
Plusieurs groupes de menaces persistantes avancées (APT) sont liés à des attaques contre des organismes gouvernementaux et du secteur public au Canada. Contrairement aux rançongiciels ou aux attaques motivées par des considérations financières, qui ont tendance à être rapidement visibles, les auteurs de menaces persistantes avancées veulent généralement demeurer indétectables pendant une longue période. Dans certains cas, ils ne savent pas immédiatement comment ils exploiteront leur accès et se contentent de rester discrets en attendant une opportunité future. La découverte de ces intrus peut donc s’avérer particulièrement difficile et compliquée, ce qui souligne l’importance de déployer de solides capacités de détection des intrusions et de mener régulièrement des chasses aux menaces pour déceler celles qui existent dans votre environnement.
Cela dit, de telles mesures ont aussi leurs limites. Des campagnes d’hameçonnage méticuleusement conçues sont devenues des vecteurs d’accès initial dans les attaques contre les organismes gouvernementaux et du secteur public. La protection de votre organisation contre ces attaques commence donc par des campagnes de sensibilisation et de la formation destinées aux utilisateurs, notamment pour familiariser vos employés avec les types de stratagèmes auxquels ils peuvent être confrontés. Il importe en effet que ceux-ci comprennent bien les étapes à suivre s’ils sont victimes d’hameçonnage. Grâce à un signalement rapide, les équipes de cybersécurité pourront disposer d’un temps précieux pour contenir et éliminer les menaces. Or, il s’agit d’un luxe dont les organisations ne bénéficient pas toujours quand les employés, par crainte de répercussions, gardent le silence et espèrent que leur erreur de jugement passera inaperçue.
Évaluez le contenu
de cette page
Merci d'avoir partagé votre avis
Ce contenu est pertinent
Ce contenu m’a été utile
« Nous avons vu des organisations améliorer leur sécurité en combinant de solides contrôles internes avec la gestion des risques liés aux fournisseurs et aux tiers. Gérez-vous les risques liés aux tiers avant ou après avoir subi leur impact? »
Renforcer la confiance en vos capacités, et la résilience de celles-ci
De bons outils, une culture appropriée et un leadership fort constituent la base de la gestion des menaces au sein de votre organisation. Mais vous devez aussi avoir confiance en vos plans. Pour perfectionner et tester vos capacités, voici deux exercices qui ont eu une incidence notable sur des organisations gouvernementales et du secteur public :
Nommer un groupe de travail pour gérer les risques liés à des tiers
Les attaques liées à des tiers et à la chaîne d’approvisionnement sont en augmentation, car les auteurs de menaces cherchent à exploiter les vulnérabilités de l’écosystème étendu des organisations. Il importe donc d’identifier les entreprises qui vous fournissent des données ou qui ont accès à vos informations, notamment par le biais de logiciels tiers. L’évaluation du niveau de risque associé à chaque relation de votre organisation vous permettra de prioriser vos efforts de détection des anomalies en les dirigeant vers des tiers à haut risque. Une partie de cet exercice peut comprendre la remise en question de certaines relations d’affaires ayant une faible valeur sur le plan commercial, mais qui présentent des cyberrisques élevés.
Participer à des exercices de simulation pour vous entraîner à réagir à une cyberurgence
La simulation d’une attaque peut aider les organisations à sensibiliser les gens aux cybermenaces et aux défis potentiels auxquels les équipes peuvent être confrontées lors d’un incident réel. Pour être efficace, un tel exercice devra reproduire un événement réel le plus fidèlement possible, ce qui peut impliquer, dans certains cas, de lancer une attaque simulée sans avertissement. Par la suite, il sera utile d’évaluer la réaction de vos équipes, jusqu’à quel point elles ont suivi – et connaissaient – les plans de votre organisation et si ceux-ci ont fonctionné comme prévu.
« Discuter de la meilleure façon d’aligner les investissements en cybersécurité sur votre transformation numérique et votre stratégie d’affaires est l’une des conversations les plus utiles que vous pouvez avoir pour votre organisation. Qu’est-ce qui est possible, et qu’est-ce qui ne l’est pas encore, en fonction de votre cybersécurité actuelle? »
Protéger et favoriser votre mission
Aucun organisme gouvernemental ou du secteur public n’est seul devant ses défis de cybersécurité. La collaboration avec d’autres paliers de gouvernement, de même qu’avec des entreprises du secteur privé, peut vous aider à prévenir les incidents critiques, à vous y préparer et à y répondre. Lorsque vous évaluerez vos propres capacités, il sera utile de vous poser les questions suivantes :
- À quelle vitesse votre programme de gestion de la vulnérabilité évalue-t-il les nouvelles menaces et en détermine-t-il l’impact potentiel sur votre environnement ? Recevez-vous des prévisions ou des signes avant-coureurs d’incidents liés à des menaces ?
- Quel pourcentage de vos actifs est couvert par vos contrôles de protection en matière de sécurité et vos programmes de surveillance ?
- Comment surveillez-vous et catégorisez-vous les risques liés à vos relations avec des tiers ?
- Avez-vous un manuel opérationnel bien rodé pour guider votre intervention en cas d’incident ?
- Comment vos investissements en cybersécurité contribuent-ils à votre vision pour votre organisation au cours des prochaines années ?
La dernière question est particulièrement importante, car les mesures pour mitiger les risques et les contrôles pour protéger votre organisation ne représentent qu’une partie du sujet de la cybersécurité au sein des organismes gouvernementaux et du secteur public. Vos investissements devraient aussi vous permettre d’innover rapidement et en toute confiance, alors que vous élaborez de nouvelles méthodes numériques pour réaliser votre mission. Et pour que vous puissiez continuer dans ce sens, les électeurs doivent avoir l’assurance que leurs données personnelles sont en sécurité. Une solide stratégie de cybersécurité est un élément clé de la fondation sur laquelle les dirigeants du gouvernement et du secteur public peuvent bâtir leurs nouvelles solutions qui entraîneront des répercussions positives et qui amélioreront la vie des citoyens.
Consultez le rapport complet sur les Renseignements sur les cybermenaces au Canada pour avoir une bonne idées des risques auxquels sont confrontées les organismes gouvernementaux et du secteur public, ainsi que d’autres secteurs. Pour en savoir plus sur la façon dont votre organisation peut utiliser ces renseignements, communiquez avec nous afin d’en discuter.
Contenu connexe
Contactez-nous
Associé, leader national du groupe Cybersécurité, Services gérés, PwC Canada
Tél. : +1 416 815 5274
Associé, Cybersécurité, protection des renseignements personnels et lutte contre la criminalité financière, PwC Canada
Tél. : +1 403 509 7522
Suivre PwC Canada
