aux services alimentaires, à la
restauration, aux événements ou
à d’autres logiciels parce que tous
vos ordinateurs sont infectés par
un rançongiciel. Aucun problème,
dites-vous, vous paierez la rançon
et vous retrouverez alors l’accès
à vos données et à vos systèmes
informatiques. Si vous faites partie
des rares victimes chanceuses qui
récupèrent leurs données, vous
êtes chanceux, mais cela a un
prix. Vous êtes désormais étiqueté
comme une victime généreuse qui
a tendance à payer les rançons. Sur
le dark web, les nouvelles circulent
vite et vous deviendrez rapidement
une cible permanente. Il y a de
fortes chances que vous ne puissiez
pas récupérer vos données, car le
pirate prendra votre argent et ne
vous remettra pas les informations
de déchiffrement nécessaires pour
déverrouiller vos données.
Si vos données sont sauve-
gardées sur un même appareil qui
n’est pas connecté aux ordinateurs
infectés, vous pourriez vous en
sortir, avec pour seule conséquence
un achat de matériel informatique
très coûteux et inattendu.
Cependant, avez-vous pris en
compte le temps d’arrêt pendant
que vous demandez frénétique-
ment à l’informaticien d’acheter,
de configurer, de réinstaller les
programmes et d’importer vos
bonnes sauvegardes, en pleine
haute saison estivale?
D’un point de vue financier,
combien coûte une journée
complète d’interruption totale
pour votre club? Et deux ou trois
jours? Quelle est la perception du
public concernant cette attaque
par rançongiciel? Que pourraient
penser les gens des renseignements
qu’ils vous ont fournis et de la
façon dont ils sont soudainement
devenus vulnérables ou exposés?
6
Golf Business Canada
SCÉNARIO 2 : FUITES DE
DONNÉES
Cela m’amène à mon deuxième
scénario, qui concerne les renseigne-
ments personnels. Au Canada, nous
parlons de RPI (renseignements
personnels identifiables), soit
toute information pouvant servir
à identifier une personne, direct-
ement ou indirectement.
Selon la Loi sur la protection
des renseignements personnels
et les documents électroniques
(LPRPDE), cela comprend, sans s’y
limiter, les noms, les adresses, les
adresses courriel, les numéros de
téléphone, les numéros d’assurance
sociale (NAS) et les renseignements
financiers. Cela comprend
également des éléments comme
les adresses IP et les identifiants
d’appareils, s’ils peuvent être liés à
une personne.
Imaginez qu’un ou plusieurs
renseignements de vos membres
se retrouvent sur le dark web
et soient partagés entre pirates
informatiques (généralement
contre paiement). Imaginez un
instant qu’un membre du club
ait une faible tolérance envers
le manque de soin et d’attention
accordé à ses renseignements
personnels qu’il avait confiés à
votre club et qui sont maintenant
exposés au grand jour pour le
monde clandestin.
De nos jours, il est pratique-
ment impardonnable de ne pas
protéger les RPI. En fait, les
particuliers peuvent intenter des
poursuites contre les entreprises
privées qui divulguent ou sont
tenues responsables de la fuite de
RPI.
Selon la LPRPDE, les organ-
isations peuvent se voir imposer
des amendes allant jusqu’à 100
000 $ en cas d’infraction. Et selon
la loi spécifique et la nature de
l’infraction, les sanctions peuvent
être plus sévères, atteignant
potentiellement plusieurs millions
de dollars. Par exemple, en vertu
de la Loi sur la protection des
renseignements personnels sur
la santé (LPRPS), les particuliers
peuvent être condamnés à
une amende pouvant aller
jusqu’à 200 000 $ ou à une peine
d’emprisonnement, tandis que les
organisations peuvent recevoir une
amende allant jusqu’à 1 000 000 $.
TOUT COMMENCE PAR LA
DIRECTION
Alors, que peut-on faire pour
réduire les risques d’être la cible
d’une cyberattaque? La sécurité
doit être pilotée par la direction.
Si l’exploitant de l’entreprise ne
fait pas de la cybersécurité une
priorité, personne d’autre ne le fera.
Trop souvent, nous voyons des
programmes de sécurité échouer,
des formations être abandonnées,
et de l’argent dépensé dans des
technologies de sécurité inefficaces
ou excessives. L’une des principales
raisons est que l’initiative visant
à sécuriser l’entreprise est confiée
à la personne en informatique, et
non au propriétaire de l’entreprise.
Habituellement, la personne en
informatique est appelée lorsque
quelque chose ne fonctionne pas.
Elle se présente, règle le problème,
puis disparaît, comme un
technicien de maintenance après
avoir terminé ses réparations.
Rarement partage-t-elle ses
préoccupations avec la direction
concernant la sécurité ou d’autres
éléments liés aux TI, car elle pense
qu’elle sera rejetée, ignorée ou que
le gestionnaire ou le propriétaire se
contentera de paroles creuses.
Le spécialiste des TI sait peut-
être déjà que le réseau est une
catastrophe imminente, mais n’a