Jad Saliba : La cybercriminalité est plus importante au Canada que nous ne le pensons — et c’est là le problème

0

À moins que les chefs d’entreprise ne signalent les attaques, nous ne pouvons pas les combattre

Statistique Canada rapporte que seulement 18 % des entreprises canadiennes ont subi des cyberattaques alors que le nombre réel pourrait être près de cinq fois plus élevé, selon le groupe CyberEdge. Photo par Sean Gallup/Getty Images

Au cours des deux dernières années, les cybercriminels ont prouvé à quel point les infrastructures critiques étaient vulnérables pour eux, même dans les pays les plus sûrs. Leurs efforts ont paralysé le pipeline colonial américain pendant six jours et compromis les informations personnelles de 10 millions de clients du fournisseur de télécommunications australien Optus. Le Canada n’a pas été à l’abri : une brèche a mis le système de santé de Terre-Neuve hors ligne et a forcé des milliers de personnes à reporter leurs rendez-vous médicaux.

Les gouvernements en ont pris note et ont introduit une législation obligeant ces organisations à signaler les cyberattaques. Au Canada, le projet de loi C-26 obligera les entreprises des secteurs des télécommunications, des banques, de l’énergie et des transports à faire de même s’il est adopté.

Seulement 10 % des entreprises ont effectivement signalé des cyberattaques en 2021

Toutes les autres entreprises canadiennes, cependant, n’auront pas une telle obligation légale. Cela devrait préoccuper les Canadiens, car seulement 10 % des entreprises ont effectivement signalé des cyberattaques en 2021. À moins que les entreprises victimes ne commencent à comprendre qu’il est impératif pour elles de signaler les cyberattaques, le Canada ne peut pas commencer à s’attaquer à la flambée des taux de cybercriminalité de manière significative. façon.

Il a été difficile de saisir la véritable ampleur du défi de la cybercriminalité au Canada. Selon Statistique Canada, seulement 18 % des entreprises canadiennes ont subi des cyberattaques alors que le nombre réel pourrait être près de cinq fois plus élevé, selon le Groupe CyberEdge.

Il existe une foule de raisons pour lesquelles une entreprise peut choisir de ne pas signaler un cyberincident. La réputation de la marque est souvent citée comme principale préoccupation. Les clients, les partenaires et les investisseurs peuvent tous réévaluer leur confiance dans une entreprise s’ils apprennent l’existence d’un cyberincident.

L’assureur australien Medibank fait actuellement face à un retour de flamme après que des cybercriminels ont accédé à 10 millions de dossiers et ont commencé à divulguer des informations sur les soins de santé. Les actions de la société ont chuté d’environ 20 % depuis que l’attaque a été rendue publique.

Les chefs d’entreprise craignent également que le signalement d’un incident n’entraîne une augmentation des primes de cyber-assurance déjà coûteuses. Les cyberassureurs ont augmenté de manière agressive le coût de la couverture en raison du volume croissant de la cybercriminalité et des dommages associés. Entre 2020 et 2021, les primes perçues par les cyberassureurs américains augmenté de 92 %selon l’Association nationale des commissaires aux assurances.

Certaines entreprises qui ont subi des violations ou sont considérées comme à plus haut risque voient même leurs renouvellements de police déclinés. Pendant ce temps, les assureurs généraux envisagent de réduire la couverture ou de quitter complètement l’espace de la cyber-assurance.

Compte tenu de ces défis, les entreprises sont confrontées à une double menace économique pour leur prospérité : elles sont soit extorquées par des cybercriminels, soit accablées par les primes de cyberassurance. Les entreprises canadiennes ne peuvent pas être des victimes éternelles, mais sur leur chemin actuel, elles le seront.

Refuser de signaler les cyberattaques les laissera à la merci des cybercriminels qui intensifient et font évoluer leurs attaques en permanence. Les gangs de ransomwares, par exemple, chiffrent désormais les données, les divulguent en ligne, ferment les sites Web de leurs victimes et contactent leurs partenaires commerciaux et les médias pour les informer de l’attaque.

Le signalement des cyberattaques est une première étape cruciale pour modifier le statu quo. Dans un premier temps, les gouvernements, les associations professionnelles et les compagnies d’assurance devraient se réunir pour comprendre les préoccupations perçues et réelles des entreprises en matière de signalement de la cybercriminalité et mettre à jour les politiques pour y répondre.

Avec plus de données provenant d’un nombre accru de rapports, les agences de sécurité publique peuvent développer une meilleure compréhension du paysage actuel des cybermenaces et, à leur tour, aider à protéger de manière proactive les entreprises.

Les renseignements recueillis à partir de ces rapports pourraient aider à alerter les entreprises de tout, d’une nouvelle souche de logiciels malveillants à un gang de rançongiciels qui vise le Canada. Avec suffisamment d’avertissement, les entreprises canadiennes peuvent modifier leurs stratégies de cybersécurité pour faire face aux nouvelles cybermenaces.

Au niveau fédéral, l’augmentation des signalements ne servirait pas seulement à façonner les postures défensives et les stratégies d’enquête du Canada, cela nous pousserait également à faire pression sur les gouvernements étrangers pour qu’ils agissent contre les cybercriminels qui s’attaquent aux Canadiens.

L’augmentation des rapports pourrait également guider les décisions législatives et de financement. Dans son dernier budget, le gouvernement fédéral a réservé 893 millions de dollars sur cinq ans pour la cybersécurité, continuant de sous-dépenser ses alliés aux États-Unis, au Royaume-Uni et en Australie.

Nous n’avons pas encore vu de financement proportionnel pour la cybersécurité et les services de police du Canada manquent de ressources pour répondre à la cybercriminalité. Ils n’ont ni la formation, ni les outils nécessaires pour agir sur tous les cybercrimes, en particulier ceux dont sont victimes les petites et moyennes entreprises et les citoyens ordinaires. Nos services de police municipaux pourraient devenir les premiers intervenants face à la cybercriminalité et aider à répondre aux violations de données avec les ressources appropriées.

Cette approche pourrait même servir à encourager d’autres signalements de la part des entreprises victimes. Si le travail des services de police aboutit à un résultat valable pour les chefs d’entreprise, ils peuvent commencer à croire que les avantages de l’auto-déclaration l’emportent sur les risques potentiels. Les cyberattaques n’ont pas besoin de faire partie du coût de routine des affaires d’aujourd’hui. Avec le projet de loi C-26, le gouvernement canadien a sagement décidé d’imposer aux exploitants d’infrastructures essentielles des normes plus élevées pour protéger les Canadiens. Il appartient maintenant à tous les autres chefs d’entreprise canadiens d’envisager d’atteindre ce nouveau seuil.

Jad Saliba est fondateur et directeur de la technologie de la société de cyber-enquête Magnet Forensics Inc.

commentaires

Postmedia s’engage à maintenir un forum de discussion animé mais civil et encourage tous les lecteurs à partager leurs points de vue sur nos articles. Les commentaires peuvent prendre jusqu’à une heure pour être modérés avant d’apparaître sur le site. Nous vous demandons de garder vos commentaires pertinents et respectueux. Nous avons activé les notifications par e-mail. Vous recevrez désormais un e-mail si vous recevez une réponse à votre commentaire, s’il y a une mise à jour d’un fil de commentaires que vous suivez ou si un utilisateur vous suivez des commentaires. Consultez nos directives communautaires pour plus d’informations et de détails sur la façon d’ajuster vos paramètres de messagerie.

Source link-29