Tandis que les entreprises recourent de plus en plus à l’IA générative, 46% des spécialistes de la sécurité avertissent qu’elles vont devenir plus vulnérables aux cyberattaques qu’elles ne l’étaient auparavant. Les pourcentages de répondants qui identifient les principales zones de vulnérabilité oscillent tous un peu au-dessus du tiers. Ainsi, 37% prévoient une hausse d’attaques de type « phishing » indétectables, 39% se soucient de problèmes de vie privée tandis que 33% disent assister à une augmentation du nombre et de la vélocité des attaques en même temps qu’à un recours à des falsifications profondes pour orchestrer les attaques.

Les cybercriminels gagnent

Comme le souligne CFO, la principale raison qui explique une intensification des cyberattaques est simple : les criminels gagnent. Contre toute attente, on découvre que 47% des répondants disent que leur compagnie a mis en place une politique acceptant de payer n’importe quelle rançon exigée par des cyber pirates, un pourcentage en hausse de 13% depuis l’année précédente. Dans la dernière année, 42% des participants disent avoir payé pour que des données qui leur avaient été volées leur soient retournées; l’année précédente, ce pourcentage était de 32%.

Ironiquement, cette complaisance à l’endroit des cyberfraudeurs est loin d’avoir garanti quelque indemnité que ce soit : 45% de ceux qui ont payé une rançon aux cyber criminels ont vu leurs données exposées quand même. On comprend pourquoi, parmi les hauts dirigeants, 62% des répondants disent que les ransomwares constituent leur principale préoccupation.

Une des vertus majeures de l’IA générative tient à sa capacité d’apprentissage extrêmement rapide qui peut lui permettre, dans le cas de cyberattaques, d’évoluer et de s’adapter pour éviter la détection par les systèmes de sécurité traditionnelle, souligne une analyse de Dataconomy.

Par bonheur, ces mêmes habiletés peuvent être mises à contribution pour améliorer la cyber sécurité en analysant de vastes quantités de données pour déceler des tendances et anomalies susceptibles de révéler une attaque. Des systèmes de protection à base d’IA peuvent être mis au point pour répondre de façon automatique et systématique à des cybermenaces, par exemple en déconnectant des systèmes infectés ou en mettant en quarantaine des fichiers malicieux.

Risques étendus de l’IA

Cependant, les risques de l’IA générative ne se limitent pas aux cyberattaques, soutient une étude de McKinsey. D’autres zones de vulnérabilité concernent le manque de transparence et d’explicitation, l’introduction de bais et de discrimination, le manque de supervision humaine et la vie privée.

Dans le cas de la transparence, un manque de visibilité sur la manière dont un modèle a été développé (par exemple, la manière dont les ensembles de données alimentant un modèle ont été combinés) ou l’incapacité d’expliquer comment un modèle est parvenu à un résultat particulier peut entraîner des problèmes. Cela peut entraîner des conséquences légales; par exemple si un consommateur demande à savoir comment ses données ont été utilisées, l’organisation qui utilise les données devra savoir dans quels modèles les données ont été introduites.

Les applications d’IA, si elles ne sont pas mises en œuvre et testées correctement, peuvent présenter des problèmes de performance susceptibles d’enfreindre des garanties contractuelles et, dans des cas extrêmes, menacer la sécurité des personnes. McKinsey donne l’exemple d’un modèle qui aurait été développé pour garantir la mise à jour en temps voulu des machines dans l’industrie manufacturière ou minière ; une défaillance de ce modèle pourrait constituer une négligence dans le cadre d’un contrat et entraîner des réclamations pour dommages.

Les dangers à la vie privée sont nombreux en tenant compte du fait que les données sont au fondement de tout modèle d’IA. Les lois sur la protection de la vie privée en vigueur dans le monde entier déterminent la manière dont les entreprises peuvent utiliser les données, tandis que les attentes des consommateurs fixent des normes. Le non-respect de ces lois et de ces normes peut entraîner un préjudice pour les consommateurs. Et même si l’utilisation des données est légale, un usage inadéquat peut endommager la réputation d’une entreprise et en éloigner ses clients.

L’article L’IA propulse de plus en plus les cyberattaques est apparu en premier sur Finance et Investissement.

Le rapport 2023 d’IBM sur le coût d’atteinte à la protection des données (IBM’s 2023 Cost of a Data Breach) révèle entre autres que des secteurs comme les banques et l’énergie ont représenté des cibles de choix au cours de la dernière année au Canada, les cyberattaquants perturbant les opérations et extorquant des entreprises.

Le coût d’une atteinte

Parmi les principales constatations du rapport, il appert que les entreprises canadiennes ont dépensé près de 7 millions de dollars (M$) en coût d’atteinte à la protection des données, soit le troisième montant le plus élevé au monde.

Le coût moyen d’un incident est maintenant de 6,94 M$, ce qui ne constitue qu’une faible amélioration par rapport aux 7,05 M$ de l’an dernier.

Les entreprises des secteurs des services financiers et de l’énergie enregistrent les coûts de violation de données les plus élevés. De loin le plus touché au pays, le secteur financier canadien dépense près de 12 M$ en moyenne par incident de violation de données, tandis que le secteur de l’énergie paie en moyenne 9,37 M$.

L’attaque la plus répandue

L’hameçonnage est le type d’attaque le plus courant, mentionne le rapport, représentant 17 % des atteintes subies par les entreprises canadiennes et coûtant en moyenne 6,98 M$.

L’IA en renfort

Seule bonne nouvelle du rapport d’IBM, l’utilisation de l’intelligence artificielle (IA) et de l’automatisation a permis d’identifier et de contenir les violations et de réduire les coûts.

De fait, les organisations canadiennes qui recourent largement à l’IA et à l’automatisation dans leurs opérations de sécurité arrivent à limiter la durée de ces incidents à 33 jours, et paient 1,74 M$ de moins, en moyenne, que les organisations qui n’utilisent pas l’IA et l’automatisation.

Et dans le monde

Aon, un cabinet mondial de services professionnels, a publié récemment son rapport 2023 sur la cyber-résilience (2023 Cyber Resilience Report), révélant qu’en moyenne, un cyber incident majeur a entraîné une baisse de 9 % de la valeur actionnariale – au-delà du marché – dans l’année suivant l’événement.

Ce rapport a été réalisé à partir d’un sondage ayant recueilli les scores d’auto-évaluation CyQu auprès de 2 946 organisations clientes d’Aon dans le monde en 2020 et 2022. L’étude s’est concentrée sur six domaines de risque – cyber, interne, opérationnel, réputationnel, chaîne d’approvisionnement et systémique – dans les secteurs de la finance et de l’assurance, de la santé et de la fabrication.

Parmi les autres fait saillants du rapport, dans les secteurs de la finance et de l’assurance, les réclamations d’assurance sont en hausse, avec une augmentation de 38 % des réclamations liées aux rançongiciels entre le quatrième trimestre de 2022 et le premier trimestre de 2023.

Dans le secteur de la santé, le score global de cyber risque pour les clients est passé de 2,6 à 2,8, sur une échelle de 1 à 4. En 2022, pour les entreprises et les clients mondiaux du secteur de la santé, le profil de risque global est passé de « de base » à « géré », plus de 80 % des entreprises ayant déclaré des scores de 2,5 ou plus.

Enfin, dans le secteur de la fabrication, les données CyQu d’Aon indiquent que le score de risque global est passé de 2,2 à 2,5 – sur une échelle de 1 à 4 – en 2022 pour les clients du marché intermédiaire de l’industrie manufacturière. Cependant, 56 % des entreprises ont déclaré des scores de risque inférieurs à 2,5 en 2022. Le pourcentage médian du budget informatique consacré à la sécurité a également augmenté à l’échelle mondiale, les entreprises déclarant que 8,5 % du budget informatique était consacré à la sécurité.

Des solutions

D’après le rapport d’IBM, la formation des employés reste le meilleur moyen de réduire les coûts de violation de données. Les entreprises canadiennes combinant cette formation avec les renseignements sur les menaces, le chiffrement, la gestion de l’identité et des accès, la chasse proactive aux menaces ainsi que l’IA peuvent réduire considérablement le coût total d’une atteinte.

L’article Atteinte à la protection des données est apparu en premier sur Finance et Investissement.

Le coût moyen pour les entreprises d’une atteinte à la cybersécurité au Canada en 2023, selon une enquête réalisée par le géant mondial IBM auprès de 26 organisations victimes, est de 6,94 millions $, soit en légère baisse par rapport aux 7,05 millions $ de l’an dernier. Le montant moyen est malgré tout le deuxième plus élevé de l’histoire de neuf ans de cette étude.

En plus des coûts techniques, juridiques et de relations publiques encourus par les entreprises dans la foulée de tels incidents, le rapport montre que les organisations victimes d’une cyberattaque passent un temps considérable à réparer les dégâts.

Selon IBM, il faut en moyenne 215 jours aux entreprises pour identifier et contenir une violation de données. Cela signifie que de nombreuses entreprises passent une bonne partie de l’année à gérer les retombées d’une cyberattaque réussie.

« En réalité, le processus de nettoyage est très long, a observé Chris Sicard, responsable des conseils de sécurité chez IBM Canada. Une fois que vous faites face à une attaque et que vous travaillez pour contenir cette brèche — même si elle n’est plus dans le cycle de l’actualité — il y a énormément d’investissements et de travail qui sont nécessaires pour s’assurer que cela ne se reproduise plus jamais. »

Le rapport d’IBM fait suite à une série d’incidents qui ont fait les manchettes des médias au Canada. Le libraire Indigo, l’épicier Sobeys, le producteur de pétrole et de gaz naturel Suncor Énergie et l’hôpital pour enfants SickKids de Toronto ont tous reconnu publiquement avoir été victimes de cybercriminalité dans la dernière année.

Les cibles préférées des cyberpirates

Selon le rapport d’IBM, les cybercriminels — en particulier ceux qui ont recours à des rançongiciels — ont davantage tendance à s’en prendre aux entreprises et aux industries qui ont peu ou pas de tolérance pour les temps d’arrêt, et qui sont plus susceptibles de payer une rançon rapidement afin de remettre leurs systèmes en marche dès que possible.

Le rapport précise que les services financiers et les sociétés énergétiques sont les principales cibles de la cybercriminalité, le secteur financier subissant en moyenne près de 12 millions $ de dommages par attaque, et le secteur de l’énergie déboursant 9,37 millions $ en moyenne.

Des incidents très médiatisés qui font l’actualité — comme l’attaque par rançongiciel de 2021 contre Colonial Pipeline aux États-Unis, qui a forcé un arrêt temporaire des activités du pipeline — ont sensibilisé le public à la menace de cybersécurité qui existe.

Et il y a probablement beaucoup plus d’entreprises victimes de cyberattaques dont nous ne savons rien, a souligné M. Sicard.

« Tout le monde ne révèle pas qu’il a eu un cyberincident ou qu’il a été compromis. Et cela fait partie du problème, a-t-il affirmé. On peut dire que nous ne faisons pas encore un bon travail de partage et de soutien mutuel. »

Répercuter les coûts aux clients

Le rapport d’IBM suggère également que plus de la moitié des entreprises piratées choisissent de répercuter les coûts d’un incident de cybersécurité sur les clients en augmentant les prix, plutôt que d’investir dans une cybersécurité supplémentaire.

Mais même les entreprises intelligentes qui investissent dans le chiffrement, l’intelligence artificielle et d’autres outils pour protéger les données sensibles des entreprises et des clients ne font pas bouger l’aiguille de manière aussi importante que M. Sicard le souhaiterait. Selon lui, le coût moyen pour les entreprises canadiennes d’une violation de données a augmenté de plus de 1,5 million $ depuis qu’IBM a commencé son enquête en 2015.

Une partie de la raison pour laquelle les retombées financières de la cybercriminalité continuent de croître, a estimé M. Sicard, est que les cybercriminels deviennent de plus en plus sophistiqués.

« Ils ont le même accès à la technologie que nous. C’est juste qu’ils l’utilisent pour le mal plutôt que pour le bien », a-t-il souligné.

Il existe également plus de points d’entrée pour les pirates que jamais auparavant, car les entreprises transfèrent de plus en plus de données sensibles vers le nuage, et la tendance au télétravail augmente le risque d’une violation par l’entremise de l’appareil mobile d’un employé individuel.

La guerre en Ukraine et les tensions géopolitiques qui en résultent ont également accru le risque que des pirates informatiques parrainés par l’État tentent de pénétrer dans des infrastructures critiques à des fins de sabotage ou d’espionnage.

« J’aimerais être optimiste, mais je pense que ça va empirer avant de s’améliorer », a affirmé M. Sicard.

Il a ajouté qu’il pensait que la plupart des grandes entreprises devraient « accepter » le fait qu’il y a une bonne probabilité qu’elles deviennent un jour victimes de la cybercriminalité. Néanmoins, investir dans des éléments tels que la formation des employés et la détection des menaces peut réduire ces risques, a-t-il indiqué.

« Il y a des choses que les entreprises peuvent et doivent faire pour réduire leur risque d’être victimes. »

L’article Cyberpiratage : le coût moyen par attaque atteint près de 7 M$ est apparu en premier sur Finance et Investissement.

Durant l’année 2023, les gestionnaires devraient avoir comme priorité de réaliser un plan de communication et un plan d’intervention en cas d’attaques informatiques, car celles-ci deviennent de plus en plus intenses et sophistiquées.

Le secteur de la finance et des investissements compte parmi les plus ciblés par les attaquants dans le monde, alors que, pour plusieurs de ces « pirates », l’unique but est de mettre à mal l’économie mondiale.

Malheureusement, le Canada n’est pas à l’abri de ce type de méfaits. En effet, selon Statiques Canada, en 2021, un peu moins d’un cinquième (18 %) des entreprises canadiennes ont été touchées par des incidents de cybersécurité, comparativement à 21 % en 2019 et en 2017.

Cela variait considérablement selon la taille de l’entreprise : 16 % des petites entreprises (de 10 à 49 employés), 25 % des moyennes entreprises (de 50 à 249 employés) et 37 % des grandes entreprises (250 employés ou plus) ont déclaré avoir été victimes d’incidents de cybersécurité en 2021.

Les incidents de cybersécurité les plus fréquents chez les entreprises en 2021 étaient les tentatives de vol d’argent ou les demandes de paiement de rançon (7 %) ainsi que les tentatives de vol de renseignements personnels ou financiers (6 %). Plus du tiers (39 %) des entreprises canadiennes touchées par des incidents de cybersécurité ont indiqué qu’il n’y avait pas de motif clair.

Connaître son maillon faible

La réalisation des deux plans mentionnés ci-dessus permet notamment d’identifier son (ou ses) maillon(s) faible(s) et, surtout, de chercher à voir comment « colmater ces points d’entrées » adéquatement ou, à tout le moins, atténuer les risques et ainsi, réduire les conséquences qui pourraient découler d’une attaque. Chaque plan devra décrire les grands axes de communications et d’intervention de toutes les parties prenantes ainsi qu’une définition exacte du rôle distinctif de chacune.

Un spécialiste en gestion de crise en cas de cyberattaques devrait être mandaté pour vous guider et animer les rencontres dès lors qu’un incident surviendra. Il sera votre assurance et votre allié pour protéger votre image de marque auprès de vos clients, de vos partenaires d’affaires et de vos collaborateurs. Cette personne vous préparera à répondre adéquatement aux médias, qui peuvent se révéler des alliés s’ils sont correctement informés. De plus, il suivra les réseaux sociaux afin de voir comment la perception de l’incident évolue de manière à déterminer les actions à prendre pour recentrer le message au besoin, en accord avec la direction générale et le conseil d’administration, le cas échéant.

L’importance d’une simulation

Dans le but d’éviter toutes actions non productives, compte tenu que le plan de communication et le plan d’intervention devront être déployés en situation d’urgence, il est important d’effectuer une simulation une fois par année avec les personnes concernées, un peu comme avec les exercices d’alerte incendie. La simulation pourrait porter sur un thème spécifique, par exemple une panne de réseau, un vol de données, une infection par l’entremise d’un virus, etc.

Cet exercice permettra de mettre à jour et de peaufiner les axes de communications, et d’analyser les meilleures actions permettant un retour des activités à la normale dans les meilleures conditions.

En cas de véritable incident, la réaction de l’entreprise ne pourra être improvisée parce que vos données ont un prix. Pensez-y !

L’article Une communication se prépare en amont et non dans l’urgence est apparu en premier sur Finance et Investissement.

Cinquante-six pour cent des entreprises sondées par la firme de consultation en technologies de l’information Novipro, en collaboration avec Léger, ont payé le plein montant de la rançon demandée, selon l’étude.

Les entreprises canadiennes sont devenues de plus en plus vulnérables aux cyberattaques, alors que de nombreux employés continuent de travailler à distance.

L’étude a révélé que près de 43 % pour cent des personnes interrogées étaient plus préoccupées par les cyberattaques aujourd’hui qu’avant de travailler dans un modèle hybride, où le télétravail et le présentiel coexistent.

L’étude a suggéré que les organisations avançaient lentement sur les mesures préventives, avec seulement 40 % des répondants qui prévoyaient d’offrir une formation sur les cyberattaques. Le pourcentage d’entreprises offrant une formation pour leurs équipes a diminué au cours des dernières années, selon Novipro.

Ces données proviennent d’une enquête menée entre le 1er et le 25 octobre 2021, auprès de 491 répondants.

L’article Rançongiciel : la moitié des entreprises menacées ont payé est apparu en premier sur Finance et Investissement.