Si Christian Mercier, PDG d’UV Mutuelle, a convié ses concurrents à parler de cybersécurité, l’automne dernier, c’est parce qu’il juge qu’il s’agit d’un enjeu sectoriel et qu’aucune entreprise ne peut garder ses secrets pour elle.
M.Mercier affirme que chaque fois qu’une grande entreprise est touchée par un vol de données majeur, c’est la confiance de tous les consommateurs qui est touchée. Cet ancien militaire se dit sur le « pied de guerre » face aux cyberpirates. Il souhaiterait que tous les assureurs québécois se préparent à se défendre contre ces ennemis invisibles.
« Dans le monde d’où je viens (les Forces armées canadiennes), a-t-il dit lors de son mot d’ouverture, ce qui primait toujours, c’était le degré de préparation par rapport à des choses que vous ne connaissez pas et qui pourraient arriver. J’ai déployé des efforts importants avec notre équipe pour avoir un état de préparation sur différents volets qui va nous aider à bien réagir en cas de besoin. »
Ce qu’il observe dans l’industrie l’inquiète toutefois quelque peu.
« Malheureusement, déplore-t-il, on est en mode “attente”. Ce n’est pas un sujet dont les gens aiment beaucoup discuter. Je le ramène à la table à l’Association canadienne des compagnies d’assurances de personnes (ACCAP) lors de nos planifications stratégiques. Il est là, on le voit, mais on en parle très rarement, et tous les patrons assument que quelqu’un d’autre chez eux s’occupede ça. Éventuellement, à tour de rôle, nous serons confrontés à une situation de près ou de loin. C’est une question de temps. »Comment UV Assurance a amélioré ses mesures de sécurité
Sensibilisation de la direction, sécurisation du périmètre, formation répétée des employés, mise en place de contrôles, maintien et amélioration continue: UV Assurance a elle-même pris toute une série de mesures sur plusieurs fronts afin de réduire son exposition aux cyberattaques, a décrit son directeur de la sécurité et des infrastructures, Dominic Villeneuve.
En principe, la protection du périmètre contre les grandes menaces serait l’étape quatre du plan d’action, a-t-il indiqué, mais l’entreprise a plutôt choisi de sécuriser immédiatement le périmètre parce que c’est là où les attaques arrivent. « Sur Internet, souligne Dominic Villeneuve, c’est une guerre, et on se bat contre les pirates. »
Après une analyse des risques, UV a posé plusieurs gestes:
• Des outils de surveillance réseau plus poussés ont été mis en place.
• Les plateformes de sécurité ont été actualisées, et on a validé l’utilité des accèsde chacun des systèmes sur Internet.
• On a aussi validé les accès au système central, créé des rapports journaliers etinstauré trois niveaux d’antivirus et d’antilogiciels malveillants.
• Les systèmes d’alarme ont été renforcés et optimisés.
« Toutes ces mesures ont permis de nous donner une vision à 360 degrés de l’état du réseau et du comportement même des utilisateurs, commente Dominic Villeneuve. La mise en place des analyses comportementales des postes de travail a été la plus payante, car on voyait exactement sur ce qui se passait sur leréseau. Si quelqu’un ouvre une session ou branche une clé USB, on est avertis. Maintenant, on a une vision exacte de ce tout ce qui se passe dans l’infrastructure. »
Il admet que tout cela n’a pas été facile à mettre en place. Il a fallu s’ajuster et procéder rapidement, pas toujours exactement comme on le voulait. S’il avait fallu tout refaire selon les politiques et procédures, précise-t-il, l’exercice aurait été difficile. UV Assurance a donc travaillé avec les cadres qui étaient en place.
Formation des employés
Sur un autre plan, UV a formé ses employés. C’est probablement l’élément qui a le plus changé l’assureur, dans la dernière année, dit Dominic Villeneuve.
Quelque 85 % des attaques passent par les humains. Seulement 15 % des attaques réussies arrivent par les systèmes, explique M.Villeneuve. « C’est beaucoup plus facile d’exploiter des humains que des systèmes, surtout quand ils sont mis à jour. »
L’une des mesures a été de sensibiliser les employés à la sécurité pour changer la culture dans l’entreprise. « Si les employés n’ont pas un sentiment d’insécurité, observe-t-il, on ne pourra pas changer leur attitude. Il a fallu créer cesentiment d’urgence face à la cybersécurité. »
Le message a été rappelé de différentes façons: images frappantes, fonds d’écrans et communiqués dans l’intranet. De plus, tous les employés ont suivi deux formations d’une heure où ils ont assisté à des démonstrations de piratage en laboratoire.
« L’effet de ces formations a dépassé les attentes, se réjouit Dominic Villeneuve. Les habitudes des gens ont changé instantanément. Maintenant, ils ne laissent plus leur écran ouvert. Leur téléphone a toujours un mot de passe. Ce mot de passe, même personnel, est compliqué, car les pirates utilisent des comptes personnels pour établir des connexions et une confiance avec la personne pour ensuite pouvoir la pirater jusqu’au travail. »
Formation de cyberagents
UV Assurance a en outre formé des cyberagents à l’interne. Ces employés de différents services ont reçu une formation supplémentaire pour détecter les tentatives d’hameçonnage et de piratage et les appels frauduleux. Pour mieux frapper l’imaginaire, on leur a remis un badge de cyberagent.
Des tournées régulières pour recenser les postes sans surveillance et non verrouillés permettent de repérer les infractions à cette règle de sécurité et d’agir s’il y a un relâchement. En cas de faute, la sécurité appelle directement les employés concernés. Si quelqu’un branche une clé USB, l’équipe de sécurité lui demande d’expliquer pourquoi il l’a fait.
Campagnes sur l’hameçonnage
De plus, UV Assurance mène une à deux campagnes d’hameçonnage par mois à l’interne. Elles sont inspirées des tentatives d’hameçonnage vécues au cours des semaines précédentes ou des nouvelles tendances en matière de cybercriminalité.
« À ça, nous ajoutons un évènement circonstanciel, dévoile Dominic Villeneuve. Par exemple, deux jours avant une réunion générale, je vais envoyer une campagne d’hameçonnage avec le nouvel organigramme de la compagnie. C’est sûr que tout le monde va cliquer. Pourquoi? Parce que c’est ça qui va arriver dans la vie! On fait différents types d’attaques basées sur ce qu’on reçoit. Les utilisateurs vérifient aussi tous les courriels. On aime mieux traiter 50 faux positifs qu’un vrai cas. »
Au futur siège social d’UV Assurance, actuellement en construction à Drummondville, des lumières bleues seront installées sur les étages. On les fera clignoter cinq fois l’heure en cas de cyberattaque ou de risque d’attaque. Les employés sauront qu’ils devront être doublement prudents avec les courriels et les appels.
« De toutes les actions que nous avons prises, la formation des employés a été sans contredit le point ayant le plus d’effets positifs sur la sécurité de l’entreprise, a constaté Dominic Villeneuve. Les démonstrations de piratage ont frappé l’imaginaire des employés. Les gens nous rapportent des cas, des appels. C’est correct ; on veut que les gens remontent l’information jusqu’à nous. Ainsi, ils ont réalisé que le piratage est un enjeu d’aujourd’hui bien réel, et non seulement unecampagne de peur. »
Le plus grand défi dans ce tout ce processus, constate-t-il, est de garder le momentum. « C’est facile d’y parvenir lors du premier cycle, dit-il, mais il faut le maintenir aux deuxième, troisième et quatrièmecycles. Avec des formations deux fois par an, les gens n’ont pas le temps de s’endormir. »