L’OCRI arme les entreprises pour faire face aux attaques de rançongiciel

Le rançongiciel devenant une menace de plus en plus persistante pour les entreprises financières, l’Organisme canadien de réglementation des investissements (OCRI) a publié un manuel de réponse aux crises à l’intention des courtiers en valeurs mobilières.

En 2023, l’organisme d’autorégulation (OAR) a organisé deux exercices de cybersécurité pour les petites et moyennes entreprises afin de partager des informations et de les aider à renforcer leur résistance aux cyberattaques, étant donné que les petites entreprises ne disposent généralement pas des mêmes types de ressources que les grandes entreprises pour se prémunir contre ce type de menaces et y faire face.

Dans le sillage de ces efforts, l’OAR a publié un rapport qui esquisse un cadre pour faire face aux attaques de rançongiciel, « qui continuent d’être répandues et augmentent en volume et en sophistication, [et] ont entraîné des pertes financières importantes et causé des dommages considérables à la réputation d’un certain nombre d’entreprises ».

Lorsqu’une entreprise est touchée par une attaque de rançongiciel, le rapport recommande que les équipes de continuité des activités et de réponse aux incidents des concessionnaires fournissent une analyse des impacts financiers, opérationnels et de réputation de l’événement, à la fois à court et à long terme, ce qui permet à l’équipe de direction de l’entreprise de prendre des décisions judicieuses pour faire face à l’attaque.

« Ce cadre permet à l’équipe dirigeante de prendre en compte l’ensemble des impacts sur l’entreprise et de décider en toute connaissance de cause de payer ou non la rançon. »

La décision de payer ou non un pirate exige que les équipes dirigeantes prennent en compte toute une série de facteurs, depuis l’évaluation de l’impact financier probable de l’incident, y compris la question de savoir s’il est moins coûteux de payer la rançon que de faire face aux effets de la violation, jusqu’à l’évaluation de l’impact opérationnel. Les considérations réglementaires, telles que la question de savoir si le paiement d’une rançon permet à l’entreprise de s’acquitter au mieux de son obligation de protéger les informations confidentielles de ses clients, entrent également en ligne de compte.

Des facteurs liés à la réputation doivent également être pris en compte, notamment l’impact d’une perturbation opérationnelle continue sur la réputation d’une entreprise, les retombées du fait que les données d’une entreprise ont été compromises et les répercussions sur la réputation en cas de paiement d’une rançon.

« La décision de payer une rançon à un acteur criminel est difficile à prendre, indique le rapport. Cela soulève des questions émotionnelles quant à la possibilité de payer une rançon qui, en fin de compte, récompense les criminels. Cependant, une attaque par rançongiciel présente une série de risques commerciaux pour une organisation, qui doivent tous être pris en compte lorsqu’il s’agit de décider de la manière de répondre à une demande de rançon. »