L’actualité est malheureusement riche en événements qui touchent la cybersécurité et cette tendance n’est pas près de s’affaiblir. Cela s’explique facilement puisque la sécurité informatique s’applique à d’innombrables volets : le travail à distance et l’usage du téléphone intelligent, la gestion des banques de données, les nombreuses opérations bancaires d’une municipalité, de même que la perception des taxes et la gestion des renseignements personnels.
Les municipalités sont des cibles de choix. Le site BNDeStem.nl a rapporté le 25 avril dernier que les services en ligne de plusieurs municipalités et communes en Allemagne ont fait l’objet d’une attaque de grande ampleur de type DDoS (Distributed Denial-of-Service), qui neutralise le trafic sain provenant des citoyens, en créant des demandes fictives qui visent à contaminer l’affichage des pages Web et les services des plateformes.
Les plus hauts dirigeants de la municipalité ont le devoir de préserver les renseignements personnels et de veiller à une saine administration de la municipalité. Mais que faire pour mettre en œuvre non seulement le plan de protection des données, mais aussi préserver les opérations courantes de la municipalité?
Le soutien technique ne doit pas être négligé. Comme défi, une question revient : faut-il emboîter le pas vers des mesures de protection plus sévères et intrusives, ou maintenir le statu quo?
La seule protection « 100 % efficace » consisterait à ne plus utiliser les communications via internet, ce qui est impossible. Cependant, accorder plus de poids aux recommandations de la personne responsable de la sécurité informatique, qui détient les connaissances techniques, est une avenue à préconiser. Trop souvent, les avis appropriés vont être donnés, mais le coût d’implantation et les contraintes pour les usagers servent d’arguments pour s’y opposer. Il est conseillé d’accroître la participation des services techniques dans le processus décisionnel.
Avec les défis entourant la recherche de main-d’œuvre qualifiée et l’acquisition de talent, le recours à des services de mentorat pour former et assister les décideurs et les ressources internes est une solution alternative. C’est bien d’avoir les bons outils, mais sans les employés qui appliquent les bonnes pratiques, le risque d’erreurs est élevé.
Dans la grille des risques à évaluer, la gestion du flux de trésorerie par transfert bancaire et le processus de modification des coordonnées des institutions financières des fournisseurs demeurent une priorité pour les municipalités. Permettre de changer ces coordonnées bancaires par courriel, sans vérification téléphonique par exemple, est un risque majeur qui peut faire mal lorsque des fraudeurs transmettent de fausses coordonnées, ce qui cause des fraudes qui peuvent dépasser 100 000 $ en un seul clic.
La sensibilisation et la formation adéquate de l’équipe responsable de la comptabilité aident à réduire les risques. Cependant, un courriel qui a toutes les apparences d’être légitime peut provenir d’une personne malveillante qui réussit à détourner de l’argent. Dans ce cas, il faut réagir rapidement et aviser votre assureur et votre conseiller juridique pour tenter de récupérer l’argent transféré frauduleusement. Il s’agit alors d’une question d’heure ou même de minutes puisqu’en moins de deux ou trois jours, l’argent peut s’envoler pour toujours.
Il n’y a pas de normes à proprement parler dans le domaine. De plus en plus d’exigences sont mises en place par des assureurs qui évaluent si la garantie d’assurance cyberrisque est accordée. Ces exigences constituent des balises à respecter pour se conformer aux meilleures pratiques. Un accroissement de ces mesures est à prévoir et mieux vaut prévenir que guérir : nous recommandons de réaliser un audit technique bien que cela implique des coûts et l’allocation de ressources.
À l’instar du risque d’incendie, le risque relié aux technologies de l’information est « là pour rester ». C’est pourquoi des protections d’assurance adaptées sont offertes sur le marché.
L’assureur qui procure les garanties cyberrisques reste à l’affût avec un service d’urgence et ce dernier doit être rejoint sans délai dans toutes les situations, par exemple lors de transferts d’argent frauduleux, ce qui est habituellement couvert. Retarder l’avis à l’assureur est une bien mauvaise décision puisque les dommages risquent de s’aggraver rapidement, comme un incendie. En cybersécurité, il faut se débarrasser du réflexe qui consiste à ne pas aviser son assureur. Une personne qui n’informe pas son assureur d’une intrusion suspecte va peut-être croire qu’il évite une augmentation de sa prime d’assurance, mais le sinistre va s’aggraver si l’intrusion s’avère existante.
La culture organisationnelle est un autre point de vigilance et les coordonnées d’urgence de votre responsable des technologies de l’information doivent être diffusées afin de permettre à vos équipes de l’alerter lors de chaque intrusion suspecte ou mauvais clic.
Comme mot de la fin, il n’est jamais plaisant d’être victime d’une cyberattaque. De plus en plus d’organisations voient apparaître les renseignements personnels de leurs employés sur les sites Web utilisés par les pirates informatiques, qui les affichent pour les vendre tout en extorquant des rançons. Vous pouvez soit réagir, et mieux encore, vous préparer à compter d’aujourd’hui. 
Par Me Pierre-Alexandre Fortin, avocat
Tremblay Bois avocats