Article paru initialement dans le magazine Canadian Gaming Business.<\/em><\/p>\n Nous sommes en 2017. Tout le monde devrait savoir maintenant qu\u2019aucune industrie, qu\u2019aucun organisme gouvernemental ou qu\u2019aucun \u00e9tablissement n\u2019est \u00e0 l\u2019abri des cyberattaques. Diff\u00e9rentes formes d\u2019attaques (les logiciels malveillants, les ran\u00e7ongiciels, les d\u00e9versements de donn\u00e9es, le piratage et l\u2019hame\u00e7onnage) contribuent \u00e0 fa\u00e7onner l\u2019univers des menaces qui guettent les casinos, les fournisseurs de jeux en ligne et les loteries. Un univers qui est aussi vaste que complexe. IBM a d\u00e9clar\u00e9 que les menaces de type ran\u00e7ongiciel avaient augment\u00e9 de 6\u00a0000\u00a0% en 2016[<\/a><\/a>1]<\/a>. Cette augmentation substantielle sur le plan de la fr\u00e9quence a de quoi faire peur \u00e0 elle seule, mais lorsqu\u2019elle s\u2019applique \u00e0 une industrie valant des centaines de milliards de dollars, comme l\u2019industrie du jeu, il est facile de comprendre pourquoi de tels crimes attirent les pirates informatiques et constituent une \u00e9norme menace pour les exploitants d\u2019entreprises.<\/p>\n Bien que les menaces \u00e9num\u00e9r\u00e9es plus haut ne soient pas propres \u00e0 un secteur d\u2019activit\u00e9 en particulier, il existe des types de menaces qui visent pr\u00e9cis\u00e9ment certains aspects de l\u2019industrie du jeu. S\u2019il est \u00e9vident que la protection des machines \u00e0 sous et des syst\u00e8mes de surveillance repr\u00e9sente une priorit\u00e9 pour les casinos, d\u2019autres zones sont expos\u00e9es au piratage, tels les magasins, les h\u00f4tels et les restaurants que l\u2019on retrouve souvent dans les casinos. En mati\u00e8re de loterie, les terminaux de distribution de billets peuvent \u00eatre cibl\u00e9s par un logiciel malveillant ou un ran\u00e7ongiciel qui les rendent inutilisables. Il est m\u00eame possible que des pirates informatiques tentent de voler les algorithmes des billets \u00e0 gratter. Au chapitre des jeux en ligne, ce sont les num\u00e9ros de carte de cr\u00e9dit et les autres renseignements personnels que les clients fournissent lorsqu\u2019ils ouvrent un compte ou font un paiement qui sont le plus convoit\u00e9s par les pirates informatiques.<\/p>\n Les professionnels dans le domaine de la cybers\u00e9curit\u00e9 r\u00e9p\u00e8tent \u00e0 tout vent que les mesures de s\u00e9curit\u00e9 de base peuvent contribuer \u00e0 pr\u00e9venir les attaques ou, \u00e0 tout le moins, \u00e0 r\u00e9duire les cons\u00e9quences d\u2019une attaque s\u2019il en est. Ces mesures de s\u00e9curit\u00e9 de base comprennent l\u2019\u00e9tablissement d\u2019un programme de s\u00e9curit\u00e9, la mise en \u0153uvre d\u2019un processus de gestion du risque, l\u2019identification des actifs qui doivent \u00eatre prot\u00e9g\u00e9s, et la mise en place et le maintien de param\u00e8tres de s\u00e9curit\u00e9 sur les syst\u00e8mes, de processus efficaces de sauvegarde et de r\u00e9cup\u00e9ration des donn\u00e9es, de contr\u00f4les appropri\u00e9s \u00e0 l\u2019\u00e9gard des logiciels malveillants aux points terminaux (portables, ordinateurs de bureau, serveurs) ainsi que de contr\u00f4les de s\u00e9curit\u00e9 efficaces aux p\u00e9rim\u00e8tres du r\u00e9seau. Le facteur humain constitue \u00e9galement un \u00e9l\u00e9ment de vuln\u00e9rabilit\u00e9 qui est souvent n\u00e9glig\u00e9. Une formation sur la sensibilisation \u00e0 la s\u00e9curit\u00e9 permettant aux employ\u00e9s d\u2019identifier les activit\u00e9s douteuses et d\u2019en faire \u00e9tat est primordiale sur le plan de la s\u00e9curit\u00e9.<\/p>\n Toutes les mesures de protection n\u2019ont pas la m\u00eame efficacit\u00e9, et il n\u2019existe pas de solution miracle pour pr\u00e9venir les attaques. Chaque jour, les pirates deviennent plus avertis. Les mesures de s\u00e9curit\u00e9 avant-gardistes d\u2019aujourd\u2019hui pourraient tr\u00e8s bien \u00eatre contourn\u00e9es demain. Afin d\u2019\u00eatre munies d\u2019une protection additionnelle, plusieurs entreprises se procurent une cyberassurance, mais est-ce suffisant pour prot\u00e9ger l\u2019ensemble de l\u2019entreprise? Bien qu\u2019une telle mesure puisse contribuer \u00e0 r\u00e9duire l\u2019incidence financi\u00e8re d\u2019une cyberinfraction, elle ne r\u00e9prime pas forc\u00e9ment les atteintes \u00e0 la r\u00e9putation ou la perte de confiance des consommateurs qui d\u00e9coule d\u2019une infraction. Ces deux facteurs ne peuvent \u00eatre quantifi\u00e9s, mais ils sont extr\u00eamement importants pour toutes les entreprises.<\/p>\n D\u2019abord et avant tout, le respect des meilleures pratiques et des meilleurs cadres devrait aller de soi. Le cadre de cybers\u00e9curit\u00e9 de la National Institute of Standards and Technology (NIST) est l\u2019une des ressources utiles. On retrouve \u00e9galement des mesures de protection propres \u00e0 l\u2019industrie du jeu. La World Lottery Association a \u00e9labor\u00e9 des normes de contr\u00f4le de s\u00e9curit\u00e9 fond\u00e9es sur lSO\u00a027001. L\u2019association fournit un cadre de contr\u00f4les pr\u00e9cis\u00e9ment pour l\u2019industrie de la loterie, et les exploitants de ce milieu peuvent en obtenir la certification. Bien qu\u2019il ne s\u2019agisse que de deux exemples de mesures, nous vous recommandons d\u2019en adopter au moins une ou d\u2019appliquer un cadre similaire afin de vous tenir inform\u00e9 des derni\u00e8res tendances et menaces. Qui plus est, vous montrerez au conseil d\u2019administration, au personnel et aux clients que vous prenez la s\u00e9curit\u00e9 des renseignements au s\u00e9rieux.<\/p>\n Pour faire un pas de plus en mesure de pr\u00e9vention, consultez des professionnels afin de vous assurer que vos activit\u00e9s ne font pas que r\u00e9pondent aux exigences, mais les d\u00e9passent. Par exemple, un examen de conformit\u00e9 l\u00e9gale effectu\u00e9 par des professionnels ayant une expertise sectorielle peut vous aider \u00e0 examiner vos politiques, vos contrats et vos ententes sur les niveaux de service conclus avec des tiers. Nous vous recommandons fortement de proc\u00e9der \u00e0 l\u2019examen du processus de s\u00e9curit\u00e9 et de la technologie afin de faire en sorte que vos processus de s\u00e9curit\u00e9, vos syst\u00e8mes, votre architecture de r\u00e9seau et vos \u00e9l\u00e9ments de stockage des donn\u00e9es r\u00e9pondent aux meilleures pratiques et aux normes r\u00e9glementaires de l\u2019industrie.<\/p>\n Nous avons pu constater r\u00e9cemment que m\u00eame les infrastructures les plus sophistiqu\u00e9es ne sont pas \u00e0 l\u2019abri des attaques. L\u2019\u00e9tendue<\/em>\u00a0des dommages, par contre, est souvent tributaire de la fa\u00e7on dont la menace initiale a \u00e9t\u00e9 trait\u00e9e. Il est dans notre nature de paniquer ou de succomber \u00e0 la menace (ce qui explique en grande partie pourquoi le ran\u00e7ongiciel est devenu un outil aussi efficace pour les pirates informatiques). L\u2019\u00e9laboration d\u2019un processus de gestion des incidents ou d\u2019un plan d\u2019intervention en cas de violation est importante afin que tous les intervenants restent calmes et concentr\u00e9s sur l\u2019incident. De tels plans peuvent servir de guide sur la fa\u00e7on de traiter les incidents de s\u00e9curit\u00e9 sans perdre la t\u00eate dans le processus. \u00c0 l\u2019instar des plans de communication ou des plans strat\u00e9giques, les plans d\u2019intervention en cas de violation doivent \u00eatre \u00e9labor\u00e9s et test\u00e9s au pr\u00e9alable. Ainsi, ils peuvent \u00eatre soigneusement \u00e9labor\u00e9s. De plus, les groupes d\u2019intervenants concern\u00e9s sont pris en consid\u00e9ration et peuvent prendre part au processus.<\/p>\n Alors que \u00ab\u00a0r\u00e9duire, r\u00e9utiliser et recycler\u00a0\u00bb est le mantra des mesures environnementales, \u00ab\u00a0d\u00e9tecter, r\u00e9pondre et r\u00e9tablir\u00a0\u00bb devrait \u00eatre le slogan lorsqu\u2019il est question des incidents de cybers\u00e9curit\u00e9. Vous devriez \u00eatre \u00e0 l\u2019aff\u00fbt de nombreux signes lorsqu\u2019il s\u2019agit de cyberattaques, notamment\u00a0:<\/p>\n Il est impossible d\u2019affronter de telles situations par vous-m\u00eame. En termes simples\u00a0: vous devriez \u00eatre accompagn\u00e9 de trois \u00e9quipes de professionnels en cas d\u2019attaque\u00a0: une \u00e9quipe juridique, une \u00e9quipe de relations publiques et une \u00e9quipe de cybers\u00e9curit\u00e9. Dotez-vous d\u00e8s\u00a0maintenant<\/u>\u00a0de ces trois \u00e9quipes et assurez-vous qu\u2019elles connaissent vos pratiques, votre \u00e9quipe de gestion et votre tol\u00e9rance au risque actuelles. Nous voulons souligner l\u2019importance du terme \u00ab\u00a0maintenant\u00a0\u00bb, car si vous mettez ces professionnels au courant de votre entreprise,\u00a0puis<\/em>\u00a0donnez des pr\u00e9cisions sur la menace\u00a0lorsque<\/em>\u00a0la menace s\u2019est d\u00e9j\u00e0 faufil\u00e9e dans vos syst\u00e8mes, il sera peut-\u00eatre trop tard. Vous pouvez perdre un temps pr\u00e9cieux \u00e0 expliquer des d\u00e9tails; un temps qui peut \u00eatre consacr\u00e9 \u00e0 enrayer l\u2019attaque.<\/p>\n Les cabinets d\u2019avocats sont une ressource inestimable quand vient le temps de maintenir votre privil\u00e8ge client-avocat. Le bon cabinet d\u2019avocats peut travailler en votre nom aupr\u00e8s de vos compagnies d\u2019assurance pour s\u2019assurer que la gestion des violations satisfait aux exigences de la police d\u2019assurance. De m\u00eame, il peut vous d\u00e9fendre en cas de litige s\u2019il y a lieu.<\/p>\n De toute \u00e9vidence, une atteinte \u00e0 la r\u00e9putation peut se r\u00e9v\u00e9ler irr\u00e9versible dans de tels cas. Inutile de pr\u00e9ciser que les professionnels en relations publiques peuvent vous aider \u00e0 \u00e9laborer vos messages, \u00e0 communiquer les points n\u00e9cessaires \u00e0 qui de droit au moment opportun et ils peuvent g\u00e9rer votre image de marque tout au long de cet \u00e9pisode. Il a \u00e9t\u00e9 d\u00e9montr\u00e9 que les \u00e9v\u00e9nements n\u00e9gatifs peuvent, s\u2019ils sont g\u00e9r\u00e9s correctement, ultimement am\u00e9liorer la r\u00e9putation d\u2019un client si la r\u00e9ponse est trait\u00e9e de fa\u00e7on appropri\u00e9e (non pas que nous recommandions ce moyen pour am\u00e9liorer votre image de marque).<\/p>\n Le plus important de tout, par contre, consiste \u00e0 s\u2019occuper de la menace r\u00e9elle. La coordination en mati\u00e8re de gestion de crise et la prise de mesures l\u00e9gales permettent de d\u00e9tecter et d\u2019\u00e9liminer les agents externes nuisibles susceptibles de demeurer dans vos syst\u00e8mes.<\/p>\n Nous avons entendu bon nombre de leaders de l\u2019industrie et d\u2019experts en s\u00e9curit\u00e9 d\u00e9clarer que, par les temps qui courent, les attaques sont malheureusement des menaces imminentes. Il ne s\u2019agit pas de savoir \u00ab\u00a0si\u00a0\u00bb, mais plut\u00f4t \u00ab\u00a0quand\u00a0\u00bb elles vont se produire, compte tenu des connaissances avanc\u00e9es de ces criminels et des perspectives lucratives que de telles attaques pr\u00e9sentent. Alors, discutez-en avec les principaux int\u00e9ress\u00e9s, mettez en place des mesures pr\u00e9ventives et ayez une \u00e9quipe de professionnels \u00e0 votre disposition.\u00a0Laissez les jeux de hasard \u00e0 vos clients, mais pas vos proc\u00e9dures de s\u00e9curit\u00e9.<\/strong><\/p>\n Nous aimerions remercier Peter\u00a0Czeglady<\/em>\u00a0d\u2019Aird & Berlis, et\u00a0<\/em>David\u00a0Greenham<\/em>, de Richter Groupe Conseil, d\u2019avoir collabor\u00e9 au pr\u00e9sent article.<\/em><\/p>\n [<\/a><\/a>1]<\/a>\u00a0http:\/\/www.cnbc.com\/2016\/12\/13\/ransomware-spiked-6000-in-2016-and-most-victims-paid-the-hackers-ibm-finds.html<\/a><\/p>\n","protected":false},"excerpt":{"rendered":" La cybers\u00e9curit\u00e9 n\u2019est pas un jeu. Article paru initialement dans le magazine Canadian Gaming Business. Nous sommes en 2017. Tout le monde devrait savoir maintenant qu\u2019aucune industrie, qu\u2019aucun organisme gouvernemental ou qu\u2019aucun \u00e9tablissement n\u2019est \u00e0 l\u2019abri des cyberattaques. Diff\u00e9rentes formes d\u2019attaques (les logiciels malveillants, les ran\u00e7ongiciels, les d\u00e9versements de donn\u00e9es, le piratage et l\u2019hame\u00e7onnage) contribuent […]<\/p>\n","protected":false},"featured_media":0,"template":"","insights-type":[1362],"class_list":["post-5491","insights","type-insights","status-publish","hentry","insights-type-assurer-la-cybersecurite-de-votre-entreprise"],"acf":[],"yoast_head":"\nAvant qu\u2019il ne soit trop tard…<\/h3>\n
D\u00e9tecter. R\u00e9pondre. R\u00e9tablir.<\/h3>\n
\n
\n
Vous avez \u00e9t\u00e9 pirat\u00e9. Que faire maintenant?<\/h3>\n