En cybersécurité, la menace ne vient pas toujours d’acteurs mal intentionnés

Les experts de la Banque du Canada se sont penchés sur les 90 000 cyberincidents publiquement rapportés jusqu’à présent dans le monde.
Photo: iStock Les experts de la Banque du Canada se sont penchés sur les 90 000 cyberincidents publiquement rapportés jusqu’à présent dans le monde.

La majorité des fuites de données personnelles, perturbations de services informatiques, menaces numériques et autres « cyberincidents » ne sont pas le fruit d’actes malveillants, mais de la négligence et de maladresses.

Secteur de l’économie qui a rapporté publiquement le plus grand nombre de cas en la matière, le domaine de la finance et des assurances a compté, au fil des ans, au moins 9800 cyberincidents malveillants dans le monde sous forme de piratage informatique, vol de données par des employés et autres rançongiciels, a rapporté vendredi la Banque du Canada dans une note analytique. Les atteintes involontaires à la vie privée et les pertes de données accidentelles ont toutefois été encore plus nombreuses, avec presque 11 700 cas rapportés, à quoi on pourrait aussi ajouter les quelque 275 cas d’erreurs informatiques commises dans le traitement des données ou lors de la mise à jour de systèmes.

La montée des cybermenaces

De plus en plus préoccupés par les risques que font peser les cybermenaces sur le système financier canadien, les experts de la Banque du Canada se sont penchés sur les 90 000 cyberincidents publiquement rapportés jusqu’à présent dans le monde, tel que recensés par la firme spécialisée américaine Advisen et dont 90 % se sont produits après 2008. Le nombre de cas rapportés, explique-t-on, est en hausse constante en même temps que s’étend de plus en plus la portée des technologies numériques, mais aussi à mesure qu’on resserre les exigences en matière de divulgation d’incidents particulièrement lorsqu’il est question d’atteinte à la vie privée.

134 milliards
C’est l’estimation des dépenses liées à la cybersécurité dans le monde d’ici 2022.

Le monde de la finance et des assurances compte, à lui seul, pour presque 20 % de l’ensemble des cas de cyberincidents malveillants, pour plus de 28 % des atteintes à la vie privée et des pertes de données et 18 % des erreurs informatiques. Le secteur des technologies de l’information arrive au deuxième rang aussi bien pour les actes malveillants (12 %) que pour les erreurs informatiques (20 %), alors que cette seconde place revient au secteur des services administratif et de soutien pour les atteintes à la vie privée et pertes de données (24 %).

Cette mesure reste bien imparfaite, admettent les auteurs de la note, la plupart des cyberincidents n’étant pas rapportés. « Normalement, seuls les incidents majeurs et plus flagrants sont rendus publics. » Quant aux coûts financiers infligés par ces événements à l’organisation touchée, ils n’ont été rapportés que dans 10 % des cas recensés.

L’ennemi intérieur

Le vol, par un employé, de renseignements personnels des 4,2 millions de membres particuliers du Mouvement Desjardins et de données sur 173 000 entreprises membres est le cas de cyberincident le plus récent et le plus spectaculaire qui ait frappé le secteur de la finance au Canada. Il n’est toutefois pas le seul, Capital One, Equifax et bien d’autres encore ayant fait les manchettes pour les mêmes raisons.

20 %
C’est la part des cas de cyberincidents malveillants que compte à lui seul le monde de la finance et des assurances.

La note de la Banque du Canada ne se penche pas sur des événements précis. Elle observe cependant que seulement 13 % des cas d’actes malveillants sont le fait de sources internes dans le secteur de la finance, contre 11 % en moyenne, et bien moins que d’autres secteurs « qui gèrent de grandes quantités de données de natures délicates », comme ceux de l’administration publique (18 %) et des soins de santé (25 %).

Elle observe également que si les erreurs informatiques se révèlent bien moins nombreuses que les autres types de cyberincidents, les dommages financiers qu’elles auraient infligés sont nettement supérieurs, à raison d’un coût médian de 1,4 million $US par incident pour l’ensemble des secteurs, contre 179 000 $ pour les actes malveillants et 156 000 $ pour les atteintes à la vie privée et les pertes de données. En guise de protection, on estime que les dépenses liées à la cybersécurité atteindront 134 milliards dans le monde d’ici 2022.