«En cybersécurité, la question n’est pas de savoir si une cyberattaque surviendra, mais plutôt quand», soutient Olivier Bilodeau, directeur de la recherche en cybersécurité pour GoSecure.

Le cas de Sobeys n’est pas une exception. En quelques années seulement, la fréquence des cyberattaques a augmenté de façon exponentielle, menaçant la pérennité de toutes les entreprises, petites ou grandes, affirme le spécialiste.

Personne n’est à l’abri

Les récents incidents de cybersécurité qui ont immobilisé les activités de Sobeys et Les Aliments Maple Leaf ont démontré que ni les entreprises de commerce au détail, ni l’agroalimentaire ne sont à l’abri. «En fait, toutes les organisations et PME peuvent être ciblées», renchérit M. Bilodeau.

Une petite organisation, tout comme une grande, peut subir de graves conséquences d’une cyberattaque, que ce soit sur le plan financier ou sur le plan de la réputation de l’entreprise auprès de ses clients, des investisseurs et des fournisseurs, rappelle pour sa part Jean-François Latreille, avocat spécialisé en droit des affaires et en technologies de l’information. Elle peut aussi être entraînée dans des litiges importants.

«C’est pourquoi les dirigeants ont la responsabilité de s'y préparer et de prendre des mesures de protection nécessaires», insiste Me Latreille.

Pour Me Latreille, la crise dans laquelle est plongé Empire Company peut être néfaste pour ses opérations, mais aussi pour sa notoriété. «L’attaque peut être complexe et sa résolution peut être longue et extrêmement coûteuse pour l’organisation qui en est victime.» Il faut d’abord identifier la source, les dommages et les moyens de sauvegarde et de protection, illustre-t-il. 

«Il s'agit ensuite pour Sobeys de déterminer quelle vulnérabilité a été exploitée, depuis quand son réseau a été infiltré, et quelles données ont été compromises (incluant le dispositif de sauvegarde). Il faut également établir si les données de l'entreprise ont été exfiltrées par les criminels», explique-t-il.

La gestion de crise est aussi une étape importante. Sur ce plan, les deux spécialistes interrogés estiment que Sobeys aurait avantage à faire preuve de plus de transparence. 

«Entre-temps, les communications sont très importantes. Sobeys devra sortir de son mutisme pour contrôler le message qu'elle diffuse auprès du public, de ses employés et des parties prenantes», juge Me Latreille.

Agir en prévention

Comment se prémunir d'une cyberattaque? Outre les mesures de prévention et de protection que toute entreprise devrait mettre en place, Me Latreille rappelle que la Loi 25 requiert l'existence d'un plan d'urgence au sein de chaque organisation et qu’une cyberassurance peut grandement réduire la portée des préjudices inhérents à ce type d'incident.

Il faut aussi revoir l'ensemble du réseau et ses accès. Selon Olivier Bilodeau de GoSecure, l’industrie alimentaire n’est pas «bien outillée» pour contrer des cyberattaques. «Comme dans plusieurs autres secteurs d’activités, il n’y a pas une culture de l’informatique très forte. Les postes de travail sont aléatoires, les connections sont fréquentes et il arrive que des sessions demeurent actives. Bien souvent, les organisations sont en réaction alors qu’elles auraient pu intervenir de façon préventive», constate-t-il.

C’est pourquoi il conseille à ses clients d'élaborer des activités de simulation de cyberattaque. Ce type d'activité est d'autant plus pertinent lorsque la chaîne d’approvisionnement met en lien plusieurs fournisseurs, des distributeurs et des franchisés. «Une simulation permet de repérer là où il y a des failles et de les colmater avant que survienne un incident», explique M. Bilodeau. 

Ayant des bureaux au Canada et aux États-Unis, l’entreprise GoSecure fournit à ses clients des solutions de sécurité automatisées. Ses technologies visent à détecter les problèmes plus rapidement et à mieux gérer d’éventuels incidents de cybersécurité. «Nous avons des clients dans toutes les sphères d’activités, dont l’agroalimentaire, qui utilisent ce type de services», dit M. Bilodeau.

Selon le spécialiste de GoSecure, l’industrie de la cybersécurité doit poursuivre sa tendance vers l’automatisation et l’optimisation de la défense et ainsi accélérer sa transition vers des procédés plus performants. «En cybersécurité, le but n'est pas de courir le plus vite, mais d'être toujours en mouvement», illustre-t-il.