Bien consciente des besoins des petites entreprises à anticiper et se prémunir contre les cyberattaques, BOXX Insurance a mis au point une solution simple à utiliser.

« Les petites entreprises sont souvent confrontées à des difficultés importantes pour obtenir un soutien adéquat contre les cyberrisques, ce qui peut avoir des conséquences dévastatrices sur leurs activités, a déclaré Vishal Kundi, chef de la direction et cofondateur de BOXX Insurance. Animés par notre mission de rendre le monde plus sûr sur le plan numérique, nous avons mené des recherches approfondies pour comprendre les besoins spécifiques des petites entreprises. Les résultats de ces recherches soulignent l’importance non seulement de réagir aux cyberattaques et de s’en remettre, mais aussi de les anticiper et de les prévenir. »

Grâce à ce partenariat innovant avec AXA, les petites entreprises peuvent se procurer cette nouvelle solution qui se concentre sur l’atténuation des risques en améliorant leur capacité à prévenir les cyberattaques. Elle offre ainsi :

• une évaluation de l’analyse du périmètre externe : les entreprises reçoivent un score de cyberrisque en fonction de l’analyse de leur surface d’attaque externe, ainsi qu’une analyse des facteurs contributifs et un comparatif des offres des pairs du secteur ;
• des alertes en cas de risque pour les identifiants : les utilisateurs bénéficient d’une surveillance du dark web 24 heures sur 24 et 7 jours sur 7 qui identifie les risques pour les identifiants tels que les adresses courriel, les numéros de carte de crédit et les coordonnées bancaires, avec des conseils d’experts pour répondre aux violations de données ;
• sensibilisation et formation des employés : la solution fournit des évaluations des risques numériques et une formation sur la cybersécurité pour évaluer l’exposition aux risques critiques en fonction des activités de l’entreprise. Les modules de formation comprennent des informations à l’écran et téléchargeables, de courtes vidéos et des auto-évaluations ;
• et un portefeuille de réponse instantanée : en cas de piratage, les utilisateurs peuvent accéder à un portefeuille de réponse instantanée pour obtenir des conseils sur les mesures à prendre.

« Sachant que 80 % des cyberattaques sont dues à des mesures de sécurité inadéquates, cette nouvelle solution permet aux entreprises de lutter de façon proactive contre les cybermenaces. En fournissant des alertes en temps réel, des évaluations des risques numériques et une formation continue, nous sommes fiers de présenter cet outil indispensable pour soutenir nos clients commerciaux, en commençant par l’Espagne aujourd’hui, explique Alfonso Zayas Satrustegui d’AXA Seguros España. En proposant aux entreprises une liste de tâches actualisée de manière dynamique pour une protection durable et en dotant les chefs d’équipe d’un tableau de bord de suivi des progrès, nous fournissons un outil puissant qui garantit la protection numérique de nos précieuses entreprises clientes. »

L’article BOXX Insurance s’associe à AXA est apparu en premier sur Finance et Investissement.

Récemment, la banque a déclaré avoir subi une attaque par rançongiciel qui l’a empêchée de régler les transactions des clients sur les actions et les bons du Trésor américain, ce qui a poussé les gestionnaires d’actifs, les fonds spéculatifs et d’autres à réacheminer leurs transactions vers d’autres entreprises.

Bien que la BICC n’ait pas révélé l’impact total de l’événement, DBRS a déclaré qu’il soulevait des « problèmes de réputation et de vulnérabilité » pour la banque, étant donné sa position en tant que seule banque chinoise disposant d’une licence de compensation de titres américains.

« En tant qu’attaque la plus importante sur le marché de la compensation du Trésor américain à ce jour, l’incident de la BICC met en évidence le risque d’une défaillance du système de paiement mondial », souligne le rapport.

« Une interruption suffisamment longue de la compensation des bons du Trésor américain peut potentiellement déclencher un cas de défaillance ou une situation de force majeure dans le cadre de nombreux contrats de produits dérivés, étant donné l’utilisation courante de titres d’État comme garantie commerciale », ajoute le rapport.

En outre, les cyberattaques et les attaques par rançongiciels deviennent de plus en plus fréquentes et sophistiquées, note DBRS.

« Les institutions bancaires restent une cible privilégiée pour les cybercriminels en raison de l’importance et de la sensibilité des données qu’elles gèrent. L’essor de l’intelligence artificielle pose également le risque de logiciels malveillants, de rançongiciel et d’attaques d’ingénierie sociale de plus en plus sophistiqués. »

Dans le même temps, la disponibilité et l’utilisation accrues de la cyberassurance ont considérablement augmenté l’interconnexion entre les secteurs de la banque et de l’assurance, a noté DBRS.

« Comme pour d’autres produits d’assurance potentiellement exposés à des pertes catastrophiques, les compagnies de réassurance et d’assurance accordent une plus grande attention au « risque d’accumulation », c’est-à-dire au risque qu’un seul cyberévénement affecte un grand nombre d’assurés en même temps. »

« Le risque cybernétique a le potentiel de générer une chaîne de pertes fortement corrélées en raison de la connectivité croissante des communications mondiales et de l’utilisation généralisée de systèmes d’exploitation spécifiques. Un événement systémique d’une telle ampleur peut potentiellement coûter des multiples de la taille estimée du cybermarché actuel ».

Récemment, les autorités européennes de régulation des marchés de valeurs mobilières ont fait de la surveillance du risque cybernétique une priorité absolue pour les autorités européennes dans les années à venir.

L’article La cyberattaque de la BICC révèle des risques croissants est apparu en premier sur Finance et Investissement.

Cet article explore l’importance de la communication dans le secteur financier, en mettant particulièrement l’accent sur la nécessité de protéger les données sensibles et de gérer les coûts associés à cette action.

Un Impératif absolu

Dans le monde financier, la confiance est le socle sur lequel repose toute relation entre les acteurs. La communication transparente et sécurisée est essentielle pour maintenir cette confiance, surtout dans un environnement où les transactions financières se déroulent à une vitesse vertigineuse. La protection des données confidentielles devient ainsi une priorité incontournable.

Les institutions financières gèrent une quantité massive d’informations sensibles, allant des données personnelles des clients aux données transactionnelles complexes. Les attaques cybernétiques sont devenues monnaie courante, mettant en péril la sécurité de ces données. Afin de garantir l’intégrité du système financier, les entreprises doivent investir dans des protocoles de sécurité de pointe et former leur personnel à reconnaître et contrer les menaces potentielles.

La confidentialité des données est également cruciale pour se conformer aux réglementations strictes qui régissent le secteur financier. Les institutions doivent non seulement protéger les informations des clients pour prévenir les risques de fraude, mais aussi garantir leur conformité aux lois telles que le Règlement Général sur la Protection des Données (RGPD) en Europe ou la Loi 25 au Québec.

Les coûts de la communication financière

Alors que la communication est essentielle, elle n’est pas sans coût. Les entreprises financières doivent gérer judicieusement leurs investissements dans les technologies de communication pour éviter une hausse exponentielle des coûts. Les canaux de communication, tels que les plateformes de messagerie sécurisées et les réseaux privés, nécessitent des investissements significatifs.

La gestion des coûts de communication dans le secteur financier implique également la recherche constante d’efficacité opérationnelle. Cela inclut l’optimisation des processus de communication interne, l’utilisation judicieuse des technologies de communication unifiée et la mise en place de politiques de gestion des coûts claires. La surveillance des coûts doit être intégrée dans la culture organisationnelle, avec un accent particulier sur l’alignement des dépenses avec les objectifs stratégiques.

Fusionner les technologies de l’information et la communication

Dans un monde de plus en plus interconnecté, la gestion de crise est devenue un aspect vital de la planification stratégique dans le secteur financier. Cette gestion doit transcender les silos traditionnels et englober à la fois les technologies de l’information (TI) et la communication dans son ensemble.

Les attaques cybernétiques, les pannes de système et les crises économiques peuvent avoir des répercussions immédiates sur la stabilité financière. Une stratégie de gestion de crise efficace nécessite une collaboration étroite entre les équipes de communication et de TI. La communication doit être rapide, précise et coordonnée pour minimiser l’impact d’une crise sur la réputation et la performance financière d’une institution.

La technologie joue un rôle central dans la gestion de crise. Les outils de surveillance en temps réel, les systèmes d’alerte précoce et les plans de continuité des activités basés sur des technologies de pointe permettent aux institutions financières de réagir rapidement aux situations critiques. De plus, une communication transparente avec les parties prenantes internes et externes est essentielle pour maintenir la confiance et atténuer les risques.

En conclusion, la communication dans le milieu financier requiert un équilibre délicat entre la nécessité de partager des informations cruciales et la protection des données sensibles. La gestion des coûts et la préparation à la gestion de crise sont des éléments clés pour assurer le bon fonctionnement du secteur financier dans un environnement en constante évolution. Les institutions qui parviennent à harmoniser ces aspects seront mieux positionnées pour prospérer dans un paysage financier de plus en plus complexe et exigeant.

L’article La communication dans le milieu financier est apparu en premier sur Finance et Investissement.

Tandis que les entreprises recourent de plus en plus à l’IA générative, 46% des spécialistes de la sécurité avertissent qu’elles vont devenir plus vulnérables aux cyberattaques qu’elles ne l’étaient auparavant. Les pourcentages de répondants qui identifient les principales zones de vulnérabilité oscillent tous un peu au-dessus du tiers. Ainsi, 37% prévoient une hausse d’attaques de type « phishing » indétectables, 39% se soucient de problèmes de vie privée tandis que 33% disent assister à une augmentation du nombre et de la vélocité des attaques en même temps qu’à un recours à des falsifications profondes pour orchestrer les attaques.

Les cybercriminels gagnent

Comme le souligne CFO, la principale raison qui explique une intensification des cyberattaques est simple : les criminels gagnent. Contre toute attente, on découvre que 47% des répondants disent que leur compagnie a mis en place une politique acceptant de payer n’importe quelle rançon exigée par des cyber pirates, un pourcentage en hausse de 13% depuis l’année précédente. Dans la dernière année, 42% des participants disent avoir payé pour que des données qui leur avaient été volées leur soient retournées; l’année précédente, ce pourcentage était de 32%.

Ironiquement, cette complaisance à l’endroit des cyberfraudeurs est loin d’avoir garanti quelque indemnité que ce soit : 45% de ceux qui ont payé une rançon aux cyber criminels ont vu leurs données exposées quand même. On comprend pourquoi, parmi les hauts dirigeants, 62% des répondants disent que les ransomwares constituent leur principale préoccupation.

Une des vertus majeures de l’IA générative tient à sa capacité d’apprentissage extrêmement rapide qui peut lui permettre, dans le cas de cyberattaques, d’évoluer et de s’adapter pour éviter la détection par les systèmes de sécurité traditionnelle, souligne une analyse de Dataconomy.

Par bonheur, ces mêmes habiletés peuvent être mises à contribution pour améliorer la cyber sécurité en analysant de vastes quantités de données pour déceler des tendances et anomalies susceptibles de révéler une attaque. Des systèmes de protection à base d’IA peuvent être mis au point pour répondre de façon automatique et systématique à des cybermenaces, par exemple en déconnectant des systèmes infectés ou en mettant en quarantaine des fichiers malicieux.

Risques étendus de l’IA

Cependant, les risques de l’IA générative ne se limitent pas aux cyberattaques, soutient une étude de McKinsey. D’autres zones de vulnérabilité concernent le manque de transparence et d’explicitation, l’introduction de bais et de discrimination, le manque de supervision humaine et la vie privée.

Dans le cas de la transparence, un manque de visibilité sur la manière dont un modèle a été développé (par exemple, la manière dont les ensembles de données alimentant un modèle ont été combinés) ou l’incapacité d’expliquer comment un modèle est parvenu à un résultat particulier peut entraîner des problèmes. Cela peut entraîner des conséquences légales; par exemple si un consommateur demande à savoir comment ses données ont été utilisées, l’organisation qui utilise les données devra savoir dans quels modèles les données ont été introduites.

Les applications d’IA, si elles ne sont pas mises en œuvre et testées correctement, peuvent présenter des problèmes de performance susceptibles d’enfreindre des garanties contractuelles et, dans des cas extrêmes, menacer la sécurité des personnes. McKinsey donne l’exemple d’un modèle qui aurait été développé pour garantir la mise à jour en temps voulu des machines dans l’industrie manufacturière ou minière ; une défaillance de ce modèle pourrait constituer une négligence dans le cadre d’un contrat et entraîner des réclamations pour dommages.

Les dangers à la vie privée sont nombreux en tenant compte du fait que les données sont au fondement de tout modèle d’IA. Les lois sur la protection de la vie privée en vigueur dans le monde entier déterminent la manière dont les entreprises peuvent utiliser les données, tandis que les attentes des consommateurs fixent des normes. Le non-respect de ces lois et de ces normes peut entraîner un préjudice pour les consommateurs. Et même si l’utilisation des données est légale, un usage inadéquat peut endommager la réputation d’une entreprise et en éloigner ses clients.

L’article L’IA propulse de plus en plus les cyberattaques est apparu en premier sur Finance et Investissement.

Le nouveau grand patron de la Laurentienne est Éric Provost, qui avait récemment été nommé chef de groupe des services bancaires aux particuliers et aux entreprises, a annoncé l’institution dans un communiqué lundi. Michael Boychuk, pour sa part, est nommé président du conseil d’administration. Il remplace Michael Mueller.

La priorité « immédiate » de Éric Provost « sera de rétablir la confiance avec les clients de la Banque et de traiter les conséquences de la panne du système central qui s’est produit la semaine dernière ».

« Nous avons connu des difficultés récemment et le conseil d’administration est convaincu qu’Éric (Provost) saura recentrer l’organisation sur l’expérience client et l’efficacité opérationnelle. La nomination d’Éric au poste de président et chef de la direction fait suite à ses performances exceptionnelles à la tête de nos Services aux entreprises et s’inscrit dans notre processus formel de planification de la relève », a souligné Michael Boychuk, le nouveau président du conseil d’administration de la banque.

La mission de Éric Provost se déclinera en trois volets: veiller à ce que la banque résolve rapidement tous les problèmes liés à la panne, améliorer les communications avec les clients et lancer un examen approfondi des facteurs qui ont conduit à la panne.

« Une fois que les problèmes liés à la panne seront entièrement réglés, nous élaborerons un nouveau plan pour assurer le succès durable de notre Banque. Nous concentrerons nos efforts pour regagner la confiance de nos clients fidèles tout en poursuivant nos actions pour accroître l’efficacité opérationnelle et la croissance dans tous nos secteurs d’activité », a affirmé Éric Provost.

Éric Provost travaille pour la Banque Laurentienne depuis plus de dix ans. Il est titulaire d’une maîtrise en finance de l’Université du Québec à Montréal.

L’analyste de RBC Marché des capitaux, Darko Mihelic, considère que la panne semble être « un enjeu suffisamment important pour mener à un changement de garde abrupte ».

Départ de Rania Llewellyn

La présidente et chef de la direction, Rania Llewellyn, quitte ainsi ses fonctions au moment où l’institution se trouve dans une situation de gestion de crise pour ses communications auprès des clients.

Bien qu’elle suivait des leçons de français, Michael Boychuk n’aurait pas eu une maîtrise suffisante pour effectuer une communication de crise auprès des clients francophones de l’institution financière québécoise.

La dirigeante était arrivée en poste en 2020 pour redresser la Laurentienne au moment où elle avait un important retard technologique. Sous sa gouverne, la banque a rattrapé une partie de ce retard, notamment avec le lancement de son application mobile. Elle est aussi parvenue à atteindre certaines cibles de rentabilités.

Ces efforts ont toutefois été ralentis par le récent contexte difficile pour l’industrie bancaire. La Banque Laurentienne a lancé en juillet un processus d’examen stratégique qui aurait pu aboutir sur la vente de l’institution. La banque n’a pas été en mesure de trouver un acheteur.

Suivi sur la panne

La semaine dernière, la panne informatique a touché les services bancaires en ligne de l’institution sur son site web et son application mobile. Il était possible de faire des retraits bancaires au guichet automatique, mais il n’était pas possible de faire d’autres opérations comme les dépôts.

La banque dit être en train de rétablir ses services progressivement, mais note toujours sur son site web qu’il est possible que certains soldes et transactions ne soient pas encore entièrement mis à jour.

La Banque Laurentienne a expliqué que la panne était liée à la mise à jour du système informatique. Elle a assuré qu’elle n’était pas liée à une cyberattaque et que les données des clients n’avaient pas été compromises.

Par ailleurs, même si lundi est un jour férié fédéral, à l’occasion de la Journée nationale de la vérité et de la réconciliation qui a eu lieu samedi, plusieurs succursales de la Banque Laurentienne seront ouvertes. Tous les frais bancaires mensuels pour le mois de septembre seront aussi annulés, a mentionné l’institution.

L’action de la Banque Laurentienne perdait 1,22 $, ou 4,03 %, à 29,05 $ à la Bourse de Toronto.

L’article Rania Llewellyn quitte la Banque Laurentienne après la panne majeure est apparu en premier sur Finance et Investissement.

« La cybersécurité offre un univers de possibilités aux cybercriminels et aux gouvernements délinquants », a-t-il affirmé, ajoutant que son gouvernement devait travailler à sécuriser l’univers numérique tant pour les entreprises que pour les citoyens et le gouvernement.

Les entreprises de technologies financières ont un rôle important à jouer dans ce combat. Le gouvernement veut créer avec les entreprises du secteur « un réseau pour rendre cela tellement compliqué pour les cybercriminels qu’on ne sera pas une cible comme on l’a été récemment ».

Dans la nuit du 12 au 13 septembre, plusieurs sites Web du gouvernement du Québec ont été victimes d’attaques groupées de cyberpirates d’origine russe. Ces attaques visaient entre autres le Conseil du Trésor, l’Autorité des marché financiers, le ministère de l’économie et Investissement Québec. La cyberattaque fait toujours l’objet d’une enquête.

Pour éviter que d’autres méfaits du genre se répètent, le gouvernement veut mettre en place un système de cybersécurité sur l’exemple de celui de l’Israël, reconnu comme un leader dans le domaine, et dont la population de 9,3 millions se compare à celle du Québec.

Le ministre estime que la Belle province dispose des ressources nécessaires pour atteindre ce niveau. « En termes d’entreprises, de financement, de capacité et de main d’œuvre, les ingrédients sont là », a-t-il indiqué. Il a également signalé que le rôle des fintechs consistait à chercher et à trouver des applications concrètes pour ces technologies dans le quotidien.

Il a voulu se montrer rassurant envers les représentants des entreprises de technologies financières présents dans la salle, concernant les inquiétudes suscitées par les géants Google et Méta, qui rachètent de nombreuses fintechs. « Vous êtes potentiellement les prochains Google et Meta », a-t-il lancé, ajoutant que les fintechs n’avaient par le choix de faire mieux que les géants « pour les battre ».

L’article Il faut sécuriser l’univers numérique au Québec, dit Eric Caire est apparu en premier sur Finance et Investissement.

Pour répondre à vos questions, j’ai décidé de vous offrir six étapes comme base de départ à votre plan de gestion de crise.

Étape 1 : Identification des risques

Le point de départ de tout plan de gestion de crise est l’identification des risques auxquels une organisation est exposée. Cela nécessite une analyse approfondie des menaces internes et externes qui pourraient perturber les opérations normales. Il est essentiel d’impliquer les parties prenantes clés de l’organisation dans ce processus, y compris les employés, les partenaires, les clients et les fournisseurs.

Étape 2 : Évaluation de la gravité et de la probabilité

Une fois les risques identifiés, il est important d’évaluer leur gravité potentielle et leur probabilité de survenir. Cela permet de hiérarchiser les risques et de se concentrer sur ceux qui auraient le plus grand impact sur l’organisation. Les scénarios de crise doivent être réalistes et basés sur des données objectives plutôt que sur des suppositions.

Étape 3 : Développement de plans d’action spécifiques

Chaque risque identifié devrait avoir un plan d’action spécifique associé. Ces plans doivent être conçus pour répondre de manière appropriée à chaque situation de crise, en tenant compte de ses caractéristiques uniques. Il est essentiel de déterminer qui sera responsable de chaque aspect de la gestion de crise, quelles ressources seront nécessaires, et quelles étapes doivent être suivies pour atténuer les effets de la crise.

Étape 4 : Formation et sensibilisation

Un plan de gestion de crise ne peut être efficace que si toutes les parties prenantes comprennent leur rôle et leurs responsabilités en cas de crise. Il est donc essentiel de former régulièrement les employés et les parties prenantes sur les protocoles et les procédures de gestion de crise. La sensibilisation à la gestion de crise doit être une priorité constante.

Étape 5 : Exercices de simulation

Pour s’assurer que le plan de gestion de crise est opérationnel et que tous les acteurs savent comment réagir en cas de crise, des exercices de simulation doivent être régulièrement organisés. Ces simulations peuvent inclure des scénarios réalistes, tels qu’une fausse cyberattaque, une fausse catastrophe naturelle, ou une crise financière simulée. Les leçons tirées de ces exercices peuvent ensuite être utilisées pour améliorer le plan.

Étape 6 : Mise en œuvre et révision continue

Lorsqu’une crise se produit, il est essentiel de mettre en œuvre le plan de gestion de crise de manière rapide et efficace. Cependant, la gestion de crise ne s’arrête pas une fois que la crise est résolue. Il est important de mener une analyse post-crise pour évaluer la réponse de l’organisation et identifier les domaines d’amélioration. Le plan de gestion de crise doit être révisé régulièrement pour tenir compte des nouvelles menaces et des changements dans l’environnement de l’organisation.

En conclusion, la gestion de crise axée sur le réel repose sur une approche proactive, réaliste et bien planifiée. Elle exige l’implication de toutes les parties prenantes et une préparation constante pour faire face aux défis imprévus. Un plan de gestion de crise bien élaboré et régulièrement mis à jour peut aider une organisation à minimiser les perturbations, à protéger sa réputation et à assurer sa survie dans des moments difficiles.

L’article Élaborer un plan de gestion de crise axé sur le concret ! est apparu en premier sur Finance et Investissement.

Rien ne sert d’attendre au Nouvel An pour prendre de bonnes résolutions. Elles peuvent se prendre durant toute l’année. Dans un contexte de croissance continue des incidents liés à la cybersécurité que l’on observe partout sur la planète, et dont les premières victimes proviennent régulièrement du secteur financier, la communication de crise doit trouver sa place dans chacune des organisations.

Entendons-nous bien ! il n’est pas question ici d’une communication de base et préformatée. Les entreprises en gestion de crise, qui sont autant familiers avec les milieux informatiques que journalistique, sont rares au Québec. Et je sais de quoi je parle, puisque, Dieu merci, je fais partie de cette rareté. Si, de prime abord, nous sommes considérés comme une dépense, au bout d’une semaine, notre statut d’alliés de l’entreprise n’est plus sujet à débat !

Hausse de cyberattaques

Le Canada connaît une hausse de cyberattaques et le contexte pandémique (COVID-19) a accentué cette tendance.  L’Autorité canadienne pour les enregistrements Internet (ACEI) révélait dans son Rapport sur la cybersécurité de 2020 que près de trois organisations sur 10 ont constaté un pic dans le nombre d’attaques survenues pendant la pandémie.

Statistiques Canada révélait pour sa part en 2020 que 21 % des entreprises canadiennes avaient déclaré avoir été touchées par des incidents de cybersécurité. On indique dans ce même rapport que les entreprises canadiennes ont déclaré avoir dépensé un total de 7 milliards de dollars (G$) en 2019, directement dans le cadre de mesures visant à prévenir et à détecter les incidents de cybersécurité, et à s’en remettre. Ce qui représente moins de 1 % de leurs revenus totaux.

Dans une étude de Deloitte, près de 60 % des personnes interrogées dans le cadre d’une enquête menée auprès de plus de 500 responsables de la gestion de crise, évaluent que les organisations sont confrontées à plus de crises aujourd’hui qu’il y a 10 ans. Certains répondants ajoutent que selon eux, l’ampleur, ainsi que le nombre de crises augmentent. « Les crises deviennent de plus en plus intenses à mesure que le monde devient plus dynamique », a déclaré un répondant. « Tout événement peut transformer une situation simple en une situation massive ».

De fait, pour préciser le niveau de menace, 80 % des organisations dans le monde ont dû mobiliser leurs équipes de gestion de crise au moins une fois au cours des deux dernières années, les incidents de cybersécurité et de sécurité arrivant en tête de liste des crises nécessitant une intervention de la direction.

Refuser un soutien en gestion de crise

Il va sans dire que le fait d’ignorer les bénéfices de confier la gestion d’une crise à des experts peut entraîner plusieurs désavantages lors d’un incident. Il suffit de penser aux dégâts que pourraient subir la crédibilité de l’entreprise, sa réputation ainsi que celle de ses dirigeants et employés. Il faut en effet être conscient qu’un incident majeur, s’il n’est pas géré adéquatement, pourrait mettre à mal la poursuite des opérations courantes, le maintien des emplois et même, ultimement, menacer la survie de l’entreprise.

Selon la nature de l’incident, par exemple une fuite de donnée confidentielles, on pourrait assister à un rapide emballement de fausses rumeurs sur les réseaux sociaux qu’il serait par la suite difficile d’endiguer. Une situation ajoutant aux effets déjà désastreux de l’incident initial, à laquelle il faut alors consacrer du temps et de l’énergie qu’il serait plus constructif d’attribuer à l’incident original.

Apprendre Gestion affirme qu’une microgestion qui néglige le soutien que pourraient lui apporter des experts en  gestion de crise, est susceptible de subir des impacts négatifs sur les points suivants : stress dans la gestion du travail et de la vie familiale des employés; problèmes de santé comme les problèmes cardiaques ou l’hypertension artérielle; problèmes économiques et insécurité de l’emploi par crainte de rétrogradation ou même de perte d’emploi,  tension émotionnelle découlant  de la violence verbale ou émotionnelle des aînés ou des dirigeants, entraînant  un impact négatif sur l’estime de soi des employés.

Dix erreurs à éviter

Il est donc avisé de prendre conscience des erreurs suivantes en cas de crise, qu’un dirigeant est susceptible de commettre en balayant du revers de la main l’importance de l’accompagnement que peut offrir un expert en gestion de crise :

1. Ne pas être prêt – ça n’arrive qu’aux autres ;
2. Réagir avec retard / Ne pas en faire sa priorité ;
3. Paraître insensible / ne pas agir selon les meilleures pratiques ;
4. Se cacher ;
5. Nier les faits / ne pas se soucier du gros bon sens ;
6. Ne pas agir / ne pas modifier un comportement fautif ou critiquable ;
7. Tuer une mouche avec un bazooka ;
8. Museler ses employés ;
9. Faire cavalier seul ;
10. Ouf, la crise est finie – on passe à autre chose!

Enfin…

Une fois la crise passée, il sera temps de réaliser un post-mortem de l’événement. Une seconde étape peut alors s’ouvrir aux organisations ayant été victimes d’une cyberattaque : celle de réaliser une étude de cas, en collaboration avec des réseaux spécialisés en cybersécurité afin de faire de cette crise… un succès !

Bref… doit-on encore considérer les experts en gestion de crise comme une dépense ou des alliés ?

L’article Gestion de crise : « Vous êtes une dépense ! » est apparu en premier sur Finance et Investissement.

Certains clients de Placements Mackenzie ont vu des renseignements personnels, mais pas des avoirs ou des soldes de comptes, être révélés à des pirates informatiques lors d’une cyberattaque plus tôt cette année, a déclaré la société le 2 mai.

En janvier, Fortra LLC, basée au Minnesota, a découvert que des pirates informatiques avaient créé des comptes d’utilisateurs non autorisés avec des clients de son service de transfert de fichiers géré, GoAnywhere, qui est présenté comme un moyen sécurisé d’envoyer des données sensibles. L’un de ces clients était le fournisseur de logiciels torontois InvestorCOM Inc., un fournisseur de Placements Mackenzie.

Les pirates ont pu télécharger des fichiers, a déclaré Fortra dans un article de blog en avril. The Logic a rapporté l’incident lundi.

« Après avoir reçu un avis d’InvestorCOM, nous avons immédiatement pris des mesures pour commencer une enquête judiciaire complète », a écrit un porte-parole de Placements Mackenzie dans un courriel envoyé à Investment Executive. « Grâce à notre enquête, nous avons récemment découvert que des renseignements personnels d’investisseurs actuels et d’anciens investisseurs étaient concernés partie de cet incident. Les informations financières, telles que les avoirs des clients et les soldes des comptes n’ont pas été exposées.

Lire également : Avez-vous chiffré le coût d’une cyberattaque ?

L’incident n’a pas affecté les avoirs des investisseurs dans les fonds Mackenzie, a déclaré la société, et elle n’a constaté aucune preuve d’utilisation inopportune des données.

« Nous avons commencé à envoyer des avis aux investisseurs touchés avec des informations plus détaillées, incluant les mesures complètes que nous prenons et le soutien que nous fournissons pour les protéger. Cela comprend la surveillance du crédit pour une période de deux ans qui inclue des alertes de surveillance du crédit, des services de protection contre le vol d’identité, de l’aide aux victimes de fraude et une assurance contre le vol d’identité », a déclaré Mackenzie.

InvestorCOM a refusé de commenter la situation au-delà du communiqué de presse émis le 1er mai, qui indiquait que la société avait récemment pris connaissance de l’incident de cybersécurité de Fortra, qui a été contenu.

Fortra a appris l’incident pour la première fois le 30 janvier, a déclaré le fournisseur dans un courriel envoyé par l’intermédiaire de son agence de presse.

« Nous avons immédiatement pris plusieurs mesures pour remédier à cette vulnérabilité, y compris la mise en œuvre d’une interruption de service temporaire pour empêcher toute autre activité non autorisée », indique le communiqué. « À mesure que nous progresserons à la suite de cet événement, nous examinerons nos pratiques opérationnelles et notre programme de sécurité pour nous assurer d’en sortir plus forts en tant qu’organisation. »

Le Commissariat à la protection de la vie privée du Canada a déclaré mardi qu’il était au courant de l’affaire et qu’il « communiquait avec les organisations pour obtenir plus d’informations et déterminer les prochaines étapes ».

Le nouvel organisme d’autoréglementation observe également la situation. « À notre connaissance, aucun autre cabinet membre est un client direct de GoAnywhere. Cependant, nous surveillons la situation et examinons la portée potentielle de la violation qui a été commise », a déclaré Stephanie Teodoridis, spécialiste principale des affaires publiques et des communications d’entreprise au sein du nouvel OAR, dans un courriel.

L’article Placements Mackenzie : des données personnelles compromises  est apparu en premier sur Finance et Investissement.

Selon un rapport d’IBM Security, le coût moyen d’une cyberattaque est évalué à 4,35 M$. La firme informatique a interrogé plus de 550 entreprises entre mars 2021 et mars 2022 pour déterminer cette évaluation. De même, les rançons réclamées par les cyberattaquants sont dorénavant traitées en cryptomonnaies pour la quasi-majorité.

Que devons-nous chiffrer ?

C’est la question à laquelle je dois répondre le plus fréquemment lors de mes interventions en gestion de crise. Afin de réaliser un portrait réaliste de la situation, l’évaluation doit se diviser en deux parties :

Première partie : coûts visibles

• Enquête technique
• Relations publiques et conseils en image
• Communication au sujet de l’incident auprès des clients
• Frais de justice et de rançon
• Mise en conformité réglementaire
• Sécurisation des données corrompues
• Renforcement des moyens de sécurisation

Seconde partie : coûts cachés

• Perte de crédibilité
• Perte de la valeur de la marque commerciale
• Perte de propriété intellectuelle
• Augmentation du coût de la dette
• Perte de confiance de la part des collaborateurs
• Perte de confiance de la part des clients
• Perte de chiffre d’affaires à la suite de l’interruption de l’activité
• Augmentation des primes d’assurance
• Dévalorisation des partenariats
• Difficultés accrues à embaucher

Vecteurs d’attaque initiaux

Toujours selon le rapport d’IBM, l’hameçonnage demeure encore un fléau bien réel au sein des entreprises. À cela s’ajoutent : messagerie compromise, vulnérabilité d’un logiciel tiers, identifiants volés ou compromis, mauvaise configuration de l’infonuagique, perte de données accidentelle ou perte de dispositif.

Cycle de vie

Les entreprises qui vont le mieux s’en sortir et cela, le plus rapidement, seront celles qui auront planifié adéquatement la manière de réagir en cas de violations de données, car cela va leur permettre de gagner du temps et de l’argent. En 2022, il fallait en moyenne 277 jours (environ 9 mois) pour identifier et neutraliser une attaque. La mise en place d’un comité et d’intervenants en gestion de crise qui auront préparé l’entreprise aux risques propres aux cyberattaques permet de réduire à 200 jours ou moins le temps nécessaire pour identifier et neutraliser une violation de données, et ainsi, de réaliser de précieuses économies.

Il faut mentionner que le nombre d’attaques par rançongiciel a augmenté dans les dernières années et que l’aspect destructif de ces attaques est  devenu de plus en plus coûteux. Les violations de données par rançongiciel ont ainsi augmenté de 41 % depuis l’année dernière et il a fallu 49 jours de plus que la moyenne pour les identifier puis les neutraliser. De plus, les attaques destructrices ont coûté 430 000 $ de plus en comparaison des années précédentes.

Réponse aux incidents

Avoir un plan de réponse aux incidents est une bonne chose. Le tester est encore mieux. Le plan de réponse aux incidents (RI) est une première étape importante pour les entreprises. En testant régulièrement ce plan, vous serez en mesure d’identifier les faiblesses de votre cybersécurité de manière proactive et vous permettra de renforcer votre défense. Il s’agit d’un bénéfice certain à plusieurs égards, incluant les économies liées à la gestion d’une cyberattaque. On évalue que les entreprises ayant mis en place une équipe RI effectuent une économie moyenne de 2,6 M$.

Je vous rappelle qu’une bonne préparation en matière de gestion de crise est votre meilleur allié lorsque survient un incident susceptible d’entraîner une perte de réputation.

L’article Avez-vous chiffré le coût d’une cyberattaque ? est apparu en premier sur Finance et Investissement.