Cyber attack: Not if... but when

June 17, 2024

On June 10, the NATIONAL Public Relations firm hosted an event on cyber threats and the importance of preparation.

Led by Sébastien Boudreau, Vice-President, Corporate Communications, the event featured expert insights from Sabrina Duguay, Vice-President at NATIONAL; Patrick Naoum, Eng, Executive Vice-President – Chief, Strategic Consulting & Emerging Practices, CEO Virtual Guardian; Natacha Boivin, Partner, RPRP at Groupe TJC inc.; and Roxanne Caron, Privacy and Technology lawyer at Norton Rose Fulbright.

The panel unanimously agreed that cyber incidents are inevitable for all businesses, even those previously attacked. They noted a significant increase in cyber incidents across all sectors, with many companies, especially SMEs, being ill-prepared. The experts emphasized the need for a three-step approach: prevention, active monitoring, and incident response planning. They also highlighted the importance of pre-crisis preparation, including establishing a crisis team and conducting simulations. The event concluded with participants acknowledging the need to enhance their preparedness, reassured by the high-level expertise shared.

The full article is available only in French.

Le 10 juin, le Cabinet de relations publiques NATIONAL recevait une cinquantaine de clients et collaborateurs dans le cadre d’un événement-causerie sur invitation portant sur les cybermenaces et la nécessité de bien se préparer à y faire face en amont.

Animé par Sébastien Boudreau, vice-président communications d’entreprise au Cabinet NATIONAL, l’événement a permis d’entendre les analyses et recommandations d’un panel d’expert(e)s composé de Sabrina Duguay, vice-présidente chez NATIONAL, Patrick Naoum, ing., PDG de Gardien virtuel/Virtual Guardian et vice-président exécutif d’ESI Technologies, Me Natacha Boivin, associée, RPRP de Groupe TJC inc., de même que Me Roxanne Caron, avocate en protection des renseignements personnels et en technologie au cabinet Norton Rose Fulbright.

Premier constat unanime de nos panélistes : la question n’est pas de savoir si vous serez victime d’un cyberincident, mais quand la chose se produira. Toutes les entreprises sont à risque, même celles qui ont déjà été attaquées ! Le second constat inquiète tout autant : il y a bel et bien une recrudescence marquée de cyberincidents dans toutes les sphères d’activité. Paradoxalement, la plupart des entreprises, spécialement les PME, sont mal préparées contre une cyberattaque susceptible de paralyser leurs opérations ou la possibilité de voir les renseignements personnels et/ou sensibles en leur possession mis à haut risque soit par une exfiltration de données vers le « dark web », ou encore par un « empoisonnement » des données, appelé « prompt injection ».

De telles menaces sont directement liées à la transformation numérique de la société. Ainsi, les coûts directs des incidents de cybersécurité à travers le monde devraient atteindre 265 milliards de dollars d’ici 2031, hormis les rançons versées aux organisations malveillantes. Il s’agit d’un bond hallucinant quand on sait que ces mêmes coûts étaient de cinq milliards de dollars en 2017. En 2023, le FBI a recensé des paiements de trois milliards de dollars à titre de rançons. Et ces chiffres sont loin de refléter la réalité puisqu’à peine 20 % des entreprises victimes d’incidents rapportent ceux-ci.

Pour Patrick Naoum, toute entreprise se doit d’adopter une démarche en trois temps : prévention, surveillance active et plan de réaction à tout incident. Les outils à cette fin sont nombreux et adaptables à la situation propre de l’entreprise.

Sabrina Duguay a expliqué pour sa part que de partir de rien en plein crise nous faire perdre un temps précieux, un facteur crucial lors d’une cyberattaque, en plus d’ajouter à la confusion, d’augmenter le risque de commettre des erreurs et, conséquemment, d’amplifier la crise. Voilà pourquoi il est primordial de se préparer en amont en mettant sur pied une cellule de crise qui établit les tâches et responsabilités de chacun, puis en élaborant un plan de gestion de crise comprenant une boîte à outils à jour (cartographie et documents) et, enfin, en procédant à une simulation de gestion de crise, seul moyen de prouver l’efficacité des deux premiers éléments.

Me Natacha Boivin a évoqué le fait que même avant l’adoption de la loi 25 sur la protection des renseignements personnels, au Québec, les assureurs avaient commencé à inciter leurs clients à adopter des comportements de protection vis-à-vis une possible cyberattaque visant tant les données opérationnelles que personnelles en leur possession. Aujourd’hui, la loi 25 oblige les entreprises à protéger les renseignements personnels qu’elles détiennent. D’ailleurs un nombre croissant d’assureurs prennent maintenant en compte la mise en place d’un plan élaboré d’intervention en cas de cyberincident dans le calcul de la prime annuelle d’assurance.

Me Roxanne Caron a aussi vanté les mérites d’une préparation en amont d’un cyberincident, car cette préparation permet par la suite d’affronter une situation réelle avec calme et cohérence, puis de rebâtir sa résilience pour mieux rebondir après la crise. Devant la recrudescence inquiétante du nombre de cyberincidents, Me Caron suggère d’identifier d’abord les éléments d’information (données et service) sans lesquels l’entreprise ne peut fonctionner. Puis il faut demeurer vigilant, car les attaques peuvent survenir par organisations interposées. En effet, un nombre croissant de « pirates » tentent maintenant d’infiltrer les fournisseurs de services TI pour leur permettre d’accéder aux données de leurs nombreux clients.

Lors de l’activité de réseautage qui a suivi le panel, plusieurs participants ont reconnu la nécessité de rehausser leur degré de préparation. Ils se disaient toutefois rassurés de pouvoir compter sur l’expertise à 360 degrés de haut niveau à laquelle ils ont eu accès grâce aux éléments d’information diffusés lors de cette rencontre des plus réussies.

Written byRobert LupienSenior Counsel
Written bySabrina DuguayVice-President, Public Affairs
Written bySébastien BoudreauVice-President, Corporate Communications