Cyberincidents : état des lieux

La gestion du cyberespace : un défi

Les cybermenaces et les interconnexions financières font partie des vulnérabilités du système financier canadien présentées dans la Revue du système financier de 2019, produite par la Banque du Canada.

Cela dit, pour beaucoup d’entreprises, les cyberrisques sont difficiles à quantifier. La technologie, les capacités des auteurs de cybermenaces et la complexité avec laquelle les institutions financières utilisent les renseignements évoluent continuellement. De plus, le secteur financier est composé d’un grand nombre d’entités fortement connectées : banques, courtiers, gestionnaires d’actifs, assureurs, exploitants de systèmes de paiement et bourses. Chacune de ces entités a une situation qui lui est propre en matière de cybersécurité. Ce qui complique aussi les choses, c’est que les experts n’offrent pas toujours une définition et des classifications claires des cyberincidents.

Sans écarter la possibilité que les futurs événements porteurs de risques soient plus graves que ceux survenus dans le passé, nous étudions l’information publique concernant les cyberincidents passés afin de mieux comprendre les risques actuels.

Les cyberincidents, une multitude d’événements découlant d’actes malveillants et non malveillants

Un cyberincident est un événement qui compromet la confidentialité, l’intégrité ou l’accessibilité des systèmes d’information ou qui enfreint les politiques relatives à l’utilisation acceptable de l’information1.

Cela comprend des événements découlant d’actes malveillants et non malveillants, dont ceux-ci :

  • utilisation abusive involontaire d’informations (p. ex., diffusion accidentelle de données sur la clientèle);
  • utilisation abusive volontaire d’informations (p. ex., vente inappropriée de données sur la clientèle);
  • erreurs informatiques causant des interruptions ou des pertes généralisées2;
  • menaces internes, où un initié ou un ancien initié détourne de l’information3.

Le présent document met en lumière les données disponibles pour quantifier les cyberrisques. Nous étudions ce que les données nous révèlent sur la façon dont les entreprises perçoivent les effets et la fréquence des cyberincidents découlant d’actes malveillants (que nous appellerons « cyberincidents malveillants »). De plus, nous soulevons les différences entre cette perception et les données sur les cyberincidents découlant d’actes non malveillants (que nous appellerons « cyberincidents non malveillants »).

Utiliser les données pour comprendre les risques

Nous nous servons de l’ensemble de données d’Advisen sur les pertes attribuables à des cyberincidents, qui comprend plus de 90 000 incidents recensés dans l’ensemble des secteurs et dans le monde entier4. Nous soulignons les tendances mondiales plutôt que celles propres au Canada. Cela nous permet de tirer parti de plus de données, et de tenir compte des menaces qui planent à l’échelle internationale et qui affectent tant les institutions financières domiciliées à l’étranger et actives au Canada que les institutions financières canadiennes actives à l’étranger.

La plupart des cyberincidents et des incidents liés au risque opérationnel ne sont pas signalés. Normalement, seuls les incidents majeurs et plus flagrants sont rendus publics et sont compris dans des bases de données comme celles d’Advisen et d’autres qui lui sont comparables5. Seulement un sous-ensemble de ces données comporte des renseignements sur l’ampleur des pertes. De plus, uniquement certaines pertes (p. ex., le montant volé, les amendes et la décision de justice) sont signalées. Souvent, les autres formes de pertes, comme celles de productivité ou certains coûts d’intervention (Jones et Freund, 2014), ne sont pas rendues publiques.

Enfin, d’autres types de coûts, comme ceux liés aux répercussions sur d’autres entreprises et les dépenses en cybersécurité effectuées avant un incident ou en réponse à celui-ci, sont aussi rarement signalés6. Par conséquent, nos constatations correspondent probablement à la fourchette inférieure de la valeur des pertes encourues.

Ces données font surtout état de pertes de plus grande valeur qui ont plus de chances d’être rendues publiques. Les résultats révèlent le nombre de fois où des cyberincidents ont été rendus publics et combien ils ont coûté aux entreprises.

Les cyberincidents malveillants et les atteintes à la vie privée sont plus fréquents, mais les erreurs de mise en œuvre engendrent des coûts plus élevés

Nous répartissons les données d’Advisen dans trois catégories :

  • les cyberincidents malveillants, ou cyberattaques – dans ce cas, l’auteur de la menace a l’intention de causer des dommages (p. ex., une attaque perpétrée au moyen d’un rançongiciel, du piratage informatique, un vol de données commis par des employés);
  • les atteintes à la vie privée et les pertes de données – dans ce cas, l’entreprise utilise accidentellement de l’information de façon abusive, ou la perd;
  • les erreurs informatiques – dans ce cas, l’incident survient lorsque l’entreprise fait la maintenance, la mise à niveau ou le remplacement de son matériel informatique ou de ses logiciels, ou lors du traitement des données.

La grande majorité des cyberincidents qui surviennent dans le secteur financier sont soit des atteintes à la vie privée et des pertes de données, soit des cyberincidents malveillants (graphique 1). Deux facteurs expliquent probablement le nombre plus élevé d’atteintes à la vie privée et de pertes de données, ainsi que la perte financière médiane plus élevée7 et la variation moins prononcée des pertes (écart-type plus faible) qui leur sont associées. Tout d’abord, les exigences en matière de communication publique des atteintes à la vie privée sont en place depuis plus longtemps que celles liées aux cyberincidents malveillants. Puis, il est relativement plus facile d’attribuer la faute dans les affaires portant sur les renseignements personnels que dans celles afférentes aux cyberincidents malveillants. C’est pourquoi plus de causes concernant des atteintes à la vie privée ont été portées devant un tribunal et leur issue a été plus certaine. La responsabilité relative aux cyberincidents malveillants est un sujet en évolution, et tout indique qu’on parviendra de plus en plus à établir cette responsabilité à l’avenir8.

Les données montrent toutefois que les incidents liés aux atteintes à la vie privée et aux pertes de données sont également importants pour les institutions financières en raison de leur fréquence et de leur coût élevé. Cela démontre aussi que les États doivent avoir une législation rigoureuse afin de protéger les données et la vie privée des gens.

Graphique 1 : Cyberincidents dans le secteur de la finance et des assurances

Graphique 1 : Cyberincidents dans le secteur de la finance et des assurances

Sources : données d’Advisen sur les cyberpertes pour toutes les années (juillet 2019), indice des prix à la consommation du Bureau des statistiques du travail des États-Unis (données : Federal Reserve Economic Data) et calculs de la Banque du Canada

Les erreurs informatiques surviennent peu souvent, mais les pertes qu’elles occasionnent et leur variation sont nettement supérieures à celles signalées pour les autres types de cyberincident (graphique 1). Les changements de technologies de l’information peuvent être très risqués pour les entreprises du secteur financier et pour le système9. Dans cette étude, nous examinons plus particulièrement les pertes médianes, car elles avoisinent les pertes typiques des entreprises. Quelques incidents ayant entraîné des pertes élevées faussent considérablement les pertes moyennes, et les incidents ayant causé les pertes les plus élevées tendent à être des erreurs informatiques.

Les pertes médianes engendrées par des cyberincidents malveillants – la catégorie d’incident qui suscite habituellement le plus d’inquiétude chez le public et retient le plus l’attention des médias – étaient relativement faibles. Les cyberattaques contre le système financier ont souvent été « discrètes et lentes ». Leurs auteurs sont généralement patients et veulent dérober de l’argent des institutions financières sourdement. Bien que cette façon de faire ait été la plus fréquente jusqu’ici, les choses pourraient bien changer. Par ailleurs, ces données ne rendent pas bien compte de toutes les conséquences possibles des cyberincidents malveillants pour la stabilité financière et la sécurité nationale. L’ensemble des scénarios de risque de cyberincidents malveillants comprend probablement plus de scénarios basés sur des points de défaillance uniques ou des exploits du jour zéro10.

Les données révèlent que les cyberincidents surviennent surtout dans le secteur financier

De tous les secteurs, c’est celui de la finance qui a connu le plus grand nombre de cyberincidents malveillants et d’incidents ayant résulté en une atteinte à la vie privée ou une perte de données. Par ailleurs, ce secteur arrive deuxième pour ce qui est du nombre d’erreurs informatiques (graphique 2).

Graphique 2 : Part du nombre total d’incidents, par secteur du SCIAN

Graphique 2 : Part du nombre total d’incidents, par secteur du SCIAN

Sources : données d’Advisen sur les cyberpertes pour toutes les années (juillet 2019), indice des prix à la consommation du Bureau des statistiques du travail des États-Unis (données : Federal Reserve Economic Data), calculs de la Banque du Canada et Système de classification des industries de l’Amérique du Nord (SCIAN)

En ce qui concerne les pertes, le secteur financier émerge moins du lot : sa perte médiane découlant de cyberincidents malveillants était légèrement plus élevée que la perte médiane de l’ensemble des autres secteurs (graphique 3).

Quant aux atteintes à la vie privée et aux pertes de données, la perte médiane du secteur financier était supérieure à la perte médiane de l’ensemble des autres secteurs. Elle était d’ailleurs la plus élevée pour ce qui est des erreurs informatiques, et nettement plus importante que la perte médiane de l’ensemble des secteurs.

Graphique 3 : Perte médiane par type de cyberincident

Sources : données d’Advisen sur les cyberpertes pour toutes les années (juillet 2019), indice des prix à la consommation du Bureau des statistiques du travail des États-Unis (données : Federal Reserve Economic Data) et calculs de la Banque du Canada

Les cybermenaces malveillantes proviennent le plus souvent de sources externes

Nous regroupons les cyberincidents malveillants survenus dans l’ensemble des secteurs dans deux catégories :

  • de source interne (employés et consultants actuels et anciens);
  • de source externe (criminels, terroristes, États-nations ou cyberactivistes).

La plupart des cyberincidents malveillants connus du public ont été perpétrés par une source externe (graphique 4)11. De plus, les incidents causés par des sources externes ont entraîné des pertes médianes plus élevées, y compris dans le secteur financier. Les mesures de contrôle fondées sur l’évitement, la résistance et la dissuasion et dont l’objectif est d’atténuer les risques internes (comme la vérification des antécédents, les politiques d’accès et les avis de surveillance) réduisent probablement la fréquence des cyberincidents malveillants causés par ces sources et les dommages potentiels.

Graphique 4 : Cyberincidents malveillants par secteur du SCIAN et par source de la menace

Sources : données d’Advisen sur les cyberpertes pour toutes les années (juillet 2019), indice des prix à la consommation du Bureau des statistiques du travail des États-Unis (données : Federal Reserve Economic Data), calculs de la Banque du Canada et Système de classification des industries de l’Amérique du Nord (SCIAN)

La fréquence des cyberincidents malveillants perpétrés dans le secteur financier par une source interne avoisinait la moyenne de l’ensemble des secteurs. De plus, elle était inférieure à celle d’autres secteurs qui gèrent de grandes quantités de données de nature délicate, comme celui des soins de santé (graphique 5).

Graphique 5 : Part des cyberincidents malveillants attribuables à des sources internes, par secteur du SCIAN

Graphique 5 : Part des cyberincidents malveillants attribuables à des sources internes, par secteur du SCIAN

Sources : données d’Advisen sur les cyberpertes pour toutes les années (juillet 2019), calculs de la Banque du Canada et Système de classification des industries de l’Amérique du Nord (SCIAN)

Nous devons accroître la résilience à l’égard de tous les types de cyberincidents

Les cyberincidents sont chose courante dans le secteur financier, et les institutions financières ont épongé des coûts directs plus élevés que les sociétés d’autres secteurs. Un nombre important de ces cyberincidents sont de nature malveillante et la plupart sont causés par un intervenant externe.

Toutefois, les cyberincidents ne sont pas tous de nature malveillante. La mauvaise gestion, par les institutions financières, de l’information en leur possession pourrait être plus fréquente que les cyberincidents malveillants, et impliquer des coûts similaires. Cela renforce la nécessité d’établir, au sein de ces institutions, des politiques de sécurité de l’information qui vont au-delà de l’aspect technologique et de l’utilisation malveillante de l’information.

Les erreurs qui surviennent lors de la mise en place de technologies de l’information et lors de changements de processus sont aussi des cyberincidents. Bien que rares, elles ont été beaucoup plus coûteuses pour les entreprises. Dans certains cas, elles ont eu des effets considérables sur la prestation des services financiers (Parlement du Royaume-Uni, 2019). Avant de procéder à tout changement technologique majeur, les entreprises devraient revoir leurs stratégies d’atténuation des risques. Les autorités devraient également faire une évaluation de leurs risques lorsque des acteurs importants du marché ou des institutions hautement interconnectées effectuent des changements technologiques à grande échelle.

Les autorités jouent un rôle primordial pour s’assurer que des mesures adéquates sont prises pour contrer les cybermenaces, surtout celles qui pourraient mettre en péril la stabilité financière. Un système financier résilient est avantageux pour le bien public. La Banque du Canada a pris des mesures afin d’améliorer la cyberrésilience du secteur financier, dont la mise sur pied du Groupe sur la résilience du secteur financier canadien ainsi qu’un projet visant à améliorer la cyberrésilience de l’écosystème de paiement de gros.

Notre analyse conforte le point de vue selon lequel le cyberespace est – et restera – une vulnérabilité importante du système financier. Qui plus est, les cyberrisques qui pèsent sur le système prennent plusieurs formes, dont certaines différentes des attaques malveillantes qui font le plus souvent les manchettes. Bien que ces attaques restent un enjeu de taille et une source de préoccupations, les entreprises du secteur financier doivent aussi prendre des mesures pour empêcher les fuites de données orchestrées par une source interne et se protéger des risques opérationnels liés aux technologies de l’information. Il faut adopter une vision plus globale afin de bien comprendre la nature du cyberrisque.

Notes

  1. 1. Conseil de stabilité financière (2018). Cyber Lexicon.[]
  2. 2. Par exemple, Mackenzie et Massoudi (2012) décrivent la perte subie par Knight Capital à cet effet. []
  3. 3. Voir Arsenault (2019), et Berthelsen, Turton et Surane (2019).[]
  4. 4. Les tout premiers incidents compris dans l’ensemble de données d’Advisen sur les « cyberpertes » se sont produits en 1973. Toutefois, plus de 90 % des cyberincidents compris dans ces données ont eu lieu après 2008.[]
  5. 5. Le nombre de cyberincidents rendus publics a augmenté à mesure que des exigences de déclaration de ce genre d’informations ont été imposées. Pour consulter des exemples de ces exigences, voir ACVM (2017) et SEC (2018).[]
  6. 6. Selon les estimations de l’International Data Corporation (IDC), les dépenses liées à toute forme de cybersécurité devraient atteindre 134 milliards de dollars américains d’ici 2022 (IDC, 2018).[]
  7. 7. Dans ce document, les données relatives aux pertes moyennes et médianes sont calculées en fonction du nombre d’incidents pour lesquels des pertes ont été signalées, et non du nombre total d’incidents. Moins de 10 % des cyberincidents inclus dans la base de données d’Advisen ont des pertes qui y sont associées.[]
  8. 8. Par exemple, voir Wm Morrison Supermarkets PLC c. divers demandeurs (2018), qui a établi que les employeurs peuvent être responsables du fait d’autrui dans des cas d’atteinte à la protection des données commise par des employés malveillants (Field LLP, 2019); et McGrath c. Marriott International, Inc. et al., qui illustre les actions collectives maintenant engagées couramment par des actionnaires en réponse aux cas d’atteinte à la protection des données.[]
  9. 9. Bien que le secteur financier n’ait pour l’instant aucun cyberincident systémique à déplorer, certaines des pannes de système prolongées les plus notables, c’est-à-dire celles qui auraient pu ébranler la confiance à l’égard du système financier, ont été causées par des incidents survenus lors de la mise en place de technologies de l’information et des erreurs de traitement. Pour des exemples, voir les erreurs informatiques qui se sont produites à la TBS Bank (Monaghan, 2018) et à la Royal Bank of Scotland (Masters, Moore et Pickard, 2012).[]
  10. 10. En analyse de risque, deux types de scénarios pourraient être particulièrement néfastes s’ils se réalisaient. Dans les scénarios qui incluent des conditions fragiles, la vulnérabilité aux attaques est de zéro jusqu’à ce qu’un mécanisme de contrôle s’enraye et que toutes les attaques soient réussies (p. ex., un point de défaillance unique). Dans les scénarios qui incluent des conditions instables, toutes les attaques seraient réussies, mais elles n’ont pas été lancées parce que les auteurs des cybermenaces ne savent pas quel type d’attaque est assuré de réussir (p. ex., les exploits du jour zéro).[]
  11. 11. Les initiés malveillants peuvent constituer une menace importante en raison de leur accès à une institution et de leur connaissance de celle-ci. Ils ne sont cependant pas aussi nombreux que ce que l’on rapporte généralement. Les rapports sectoriels tendent à regrouper les données sur les initiés malveillants et non malveillants.[]

Références bibliographiques

  1. Arsenault, J. (2019). « Desjardins security breach affected 4.2 million clients, many more than initially reported », Canadian Press, 1er novembre.
  2. Autorités canadiennes en valeurs mobilières (ACVM) (2017). Information sur les risques et les incidents liés à la cybersécurité, avis multilatéral 51-347 du personnel des ACVM, 19 janvier.
  3. Berthelsen, C., W. Turton et J. Surane (2019). « Tipster’s Email Led to Arrest in Massive Capital One Breach », Bloomberg, 30 juillet.
  4. Field LLP (2019). « Canada: Case Summary: Wm Morrison Supermarkets PLC v Various Claimants », mondaq, 3 janvier.
  5. International Data Corporation (IDC) (2018). Worldwide Semiannual Security Spending Guide, 4 octobre.
  6. Jones, J., et J. Freund (2014). Measuring and Managing Information Risk, Butterworth-Heinemann.
  7. Mackenzie, M., et A. Massoudi (2012). « NYSE cancels trades after algo glitch », Financial Times, 1er août.
  8. Masters, B., E. Moore et J. Pickard (2012). « The upgrade that downed Royal Bank of Scotland », Financial Times, 25 juin.
  9. Monaghan, A. (2018). « Timeline of trouble: how the TSB IT meltdown unfolded », The Guardian, 6 juin.
  10. Parlement du Royaume-Uni (2019). Regulators must act to reduce unacceptable number of IT failures in financial services sector, warns Treasury Committee.
  11. Security and Exchange Commission (SEC) (2018). Commission Statement and Guidance on Public Company Cybersecurity Disclosures, documents numéros 33-10459 et 34-82746.

Avis d’exonération de responsabilité

Les notes analytiques du personnel de la Banque du Canada sont de brefs articles qui portent sur des sujets liés à la situation économique et financière du moment. Rédigées en toute indépendance du Conseil de direction, elles peuvent étayer ou remettre en question les orientations et idées établies. Les opinions exprimées dans le présent document sont celles des auteurs uniquement. Par conséquent, elles ne traduisent pas forcément le point de vue officiel de la Banque du Canada et n’engagent aucunement cette dernière.