Comment répondre rapidement et efficacement à une cyberattaque


Les cyberattaques représentent l’un des plus grands risques auxquels sont exposées les entreprises de tout type et de toute taille. Selon Statistique Canada, en 2017, les entreprises canadiennes ont consacré 14 milliards de dollars à la cybersécurité. Ce montant, sans doute beaucoup plus élevé pour 2019, ne tient pas compte des dommages inconnus sur les plans financier et réglementaire, ni des incidences de l’atteinte à la réputation découlant des intrusions et des tentatives d’intrusion. Qui plus est, la somme ne fera qu’augmenter à mesure que les attaques deviendront plus nombreuses, plus ciblées et plus élaborées.

[ En bref ]

  • La prévention des cyberincidents ne représente qu’une partie d’une stratégie efficace de gestion du risque.


  • Une planification d’intervention en cas d’incident est cruciale pour limiter les dommages causés par une attaque, remédier aux vulnérabilités et assurer la continuité des activités.


  • La nouvelle législation fédérale accroît les enjeux pour les entreprises canadiennes qui doivent désormais signaler aux parties prenantes et aux autorités de réglementation toute attaque réussie, en plus de communiquer l’ampleur des dégâts et les mesures prises pour corriger la situation.

Malgré les risques majeurs et croissants d’une cyberattaque et les investissements accrus en gestion des cyberrisques, bon nombre d’entreprises tardent toujours à mettre en place un plan exhaustif d’intervention en cas d’attaque et de reprise des activités. Investir dans la prévention est bien entendu un premier pas aussi nécessaire qu’encourageant. Cela dit, presque toutes les entreprises seront un jour ou l’autre la cible d’une intrusion quelconque. La vraie question est donc la suivante : comment protégerez-vous vos clients, vos employés et votre réputation si une cyberattaque parvenait à contourner toutes vos lignes de défense?

La valeur d’un plan d’intervention en cas d’incident

Toute entreprise doit connaître son plan d’intervention en cas d’urgence. Certaines tactiques, comme des exercices fréquents d’évacuation en cas d’incendie, permettent à chacun de réagir de façon sécuritaire, méthodique et avisée si le pire devait se produire. Le plan d’intervention en cas de cyberincident suit un peu le même principe.


Administré par une équipe ad hoc, elle-même gérée par le service des TI à l’interne ou par un tiers, ce plan présente une marche à suivre détaillée et facile à exécuter pour détecter une intrusion, la contenir et relancer les activités. Tout y est prévu : la procédure pour signaler une intrusion, les personnes à alerter, des directives pour neutraliser la menace et joindre les parties prenantes, les responsabilités clés, les obligations légales, un plan de reprise des activités et des instructions pour appliquer les leçons apprises.


Si un plan d’intervention en cas d’incident n’immunise pas vos systèmes contre les attaques, il vous fournit par contre une structure et de la cohérence pendant une période stressante et chaotique où chaque minute compte. Plus important encore, il est votre meilleur allié pour réduire les dommages au minimum et assurer la poursuite de vos activités.

Structure d’un plan d’intervention en cas de cyberinfraction

Lorsque votre entreprise est victime d’un cybercrime, vous devez réagir promptement. Dès que vous décelez une activité suspecte dans votre réseau, mobilisez sur-le-champ votre équipe d’intervention et suivez les étapes ci-dessous.

1. Isolez le problème et empêchez qu’il ne s’aggrave.

Localisez la menace dans votre réseau, puis mettez-la en quarantaine ou neutralisez-la. Si la situation le permet, éliminez la capacité du pirate ou du logiciel malveillant à accéder à vos renseignements ou à causer d’autres dommages.

2. Trouvez la cause de l’intrusion et mettez sur pied un plan d’action.

Déterminez la technique utilisée ou la vulnérabilité exploitée pour accéder à vos systèmes (p. ex., le piratage psychologique ou un bris technique). Établissez les mesures à prendre pour sécuriser votre réseau et empêcher qu’une attaque similaire se reproduise.

3. Tenez un registre des événements, des mesures prises et des éléments probants.

Reconstituez la chronologie détaillée de l’intrusion en précisant comment et à quel moment elle est survenue et de quelle façon elle a été détectée. Indiquez-y ensuite toutes les étapes, directives et communications subséquentes. Conservez la totalité des journaux, des captures d’écran et des témoignages directs des membres du personnel.

4. Faites le nécessaire pour résoudre le problème, relancer les activités et corriger les vulnérabilités.

Comblez toutes les lacunes identifiées ou supprimez de votre réseau le logiciel malveillant mis en quarantaine. Lorsque vous avez la certitude d’avoir éliminé la menace, mettez en place de nouveaux contrôles afin d’éviter toute récurrence et remettez vos systèmes en marche.

5. Communiquez de manière concise avec les parties prenantes internes et externes.

Tenez informées toutes les parties intéressées – notamment le conseil et la direction, l’équipe juridique, les autorités de réglementation, les employés, les médias et les clients – du statut de l’intrusion et des moyens pris pour éradiquer la menace. Assurez-vous de connaître vos obligations de déclaration et les meilleures pratiques de communication des cyberincidents.

6. Observez le règlement sur les atteintes aux mesures de sécurité du gouvernement fédéral.

Déterminez si, et dans quelle mesure, l’intrusion pose un risque réel de dommages importants. Informez les parties intéressées, à savoir les clients (s’il y a lieu) et le commissaire à la protection de la vie privée du Canada de l’atteinte, de sa cause et des circonstances. Conservez tous les documents pendant au moins 24 mois et assurez-vous d’avoir à portée de main vos documents d’attestation de conformité, comme l’exige la Loi sur la protection des renseignements personnels numériques.

7. Dressez une liste des leçons apprises et intégrez-les à votre plan d’intervention en cas d’incident.

Faites une autopsie pour déterminer ce qui a bien et mal fonctionné et ce que vous pourriez faire à l’avenir pour mieux prévenir d’autres incidents du genre et y répondre plus efficacement. Revoyez votre plan d’intervention et effectuez une analyse de la préparation et des menaces pour réévaluer les possibles vulnérabilités de votre cybersécurité.

Renforcez votre cyberrésilience

Les programmes de cybersécurité les plus fiables sont proactifs, multidimensionnels et capables de s’adapter à l’évolution des risques. Les contrôles usuels, comme les pare-feu et les antimaliciels, mais aussi les certifications obtenues au moyen des protocoles de sécurité clés, de l’analyse périodique des menaces et des tests d’intrusion, sont tous des composantes essentielles de l’équation. Cependant, même les mesures les plus complètes ne suffisent pas toujours à empêcher un pirate assidu d’obtenir vos accès.


Vous doter d’un plan d’intervention en cas d’incident et, surtout, le mettre en pratique régulièrement sont vos meilleures protections contre d’éventuelles répercussions sur les plans financier et légal, et sur votre réputation. Compte tenu des innombrables stratagèmes dont disposent les cybercriminels pour infiltrer votre réseau, vous n’aurez l’esprit tranquille qu’en adoptant une stratégie qui permet de détecter et de contenir une attaque, puis de vous remettre de l’incident avant de subir des dommages durables.

La technologie de demain façonne les affaires d’aujourd’hui. Pour en savoir plus sur la façon dont MNP peut vous aider à élaborer une stratégie efficace de réponse aux cyberincidents, communiquez avec Tom Beaupré, Chef du groupe de Cybersécurité chez MNP à Montréal.