Sommaire
L’objectif de ce cadre est de fournir une méthode d’évaluation qui permettra à votre organisme de mieux comprendre et de quantifier l’ampleur des pertes découlant d’un cyberincident. La gestion des risques, des responsabilités et des coûts associés à un cyberincident est un défi auquel sont confrontés de nombreux organismes.
- L’utilisation de ce cadre d’évaluation permettra à votre organisme :
- de comprendre et de mesurer la gravité d’un cyberincident pour le personnel, les services, les données, les logiciels et le matériel;
- d’améliorer vos procédures et opérations existantes;
- de comprendre les outils et les ressources nécessaires à une intervention efficace;
- de calculer les coûts d’un incident, notamment en tenant compte du nombre d’heures passées à résoudre l’incident, de la perte de productivité et de la réduction des revenus associés à l’incident.
Conséquences internes et coût pour le secteur parapublic et l’organisme
Des conséquences internes surviennent à chacune des quatre étapes du cycle de vie de la réponse aux incidents : découverte, enquête, confinement et récupération. Le suivi des heures enregistrées par les équipes et les individus à chaque phase vous aidera à évaluer la gravité et les conséquences de l’incident.
Les coûts liés aux conséquences internes d’un cyberincident sont engagés à chacune des quatre étapes : découverte, enquête, confinement et récupération.
Pour estimer le coût total des conséquences internes, multipliez le nombre total d’heures passées à chaque étape par le taux horaire du personnel de la TI et de soutien.
Le nombre d’heures doit prendre en compte la participation de chaque personne. Par exemple, une réunion d’une heure avec dix personnes représente un total de dix heures.
Cliquer sur chaque icône pour obtenir plus de détails
Au stade de la découverte, le secteur parapublic ou l’organisme est responsable de signaler l’incident à votre équipe d’intervention en cas de cyberincident et aux personnes-ressources du ministère. Le coordonnateur de l’incident peut organiser une réunion avec les parties concernées et les équipes pour convenir des prochaines étapes.
1 Combien d’heures l’équipe d’intervention et d’autres personnes ont-elles passées sur la découverte?
Au stade de l’enquête, l’équipe d’intervention examine la technologie déployée et les carnets de l’environnement applicables pour évaluer l’ampleur de l’attaque cybercriminelle. Il est possible que l’on demande aux équipes de la TI de fournir des carnets de leurs actifs de renseignements (p. ex. carnets IIS, carnets Web) pour une enquête plus approfondie.
2 Combien d’heures l’équipe d’intervention a-t-elle passées sur l’enquête?
3 Combien d’heures l’équipe de soutien de la TI a-t-elle passées sur l’enquête?
Au stade du confinement, l’actif de renseignements ou le réseau informatique est isolé pour éviter toute conséquence sur le reste de l’organisme. L’équipe d’intervention et celle des antivirus (si elle fait partie de votre équipe TI ou de votre équipe d’intervention) peuvent isoler les actifs du réseau s’il a été compromis. La connexion réseau peut être temporairement déconnectée si les lieux ou l’étage ont été touchés.
4 Combien d’heures l’équipe d’intervention a-t-elle passées sur le confinement?
5 Combien d’heures l’équipe de soutien TI a-t-elle passées sur le confinement?
Le stade de la récupération aura souvent recours à un soutien informatique ou à celui de votre équipe de soutien des actifs, en particulier si les actifs de l’organisme doivent être reconstruits, réimagés ou restaurés. La récupération peut également inclure la restauration de la connectivité réseau si un lieu ou un étage a été déconnecté, ainsi que des services de reconstruction de l’information en cas de perte de données financières.
6 Combien d’heures l’équipe de soutien TI ou les services de soutien aux actifs ont-ils passées sur la récupération?
Conséquences externes et coût pour le secteur parapublic et l’organisme
Les conséquences externes découlent de l’interruption des activités, des dommages causés au matériel endommagé, de la perte ou du vol de renseignements, des coûts intangibles et des services supplémentaires. L’estimation du coût de chaque conséquence permettra de quantifier les effets du cyberincident sur votre organisme.
Les coûts liés aux conséquences externes d’un cyberincident peuvent être entraînés par l’interruption des activités, les dommages causés au matériel, la perte ou le vol de renseignements, les coûts intangibles et les services supplémentaires.
Cliquer sur chaque icône pour obtenir plus de détails
Coût de remise en état du matériel et des autres actifs informatiques à la suite de la cyberattaque.
Formule
Perte de productivité = Salaire de l’employé / h x % d’utilisation x nombre d’employés (avec le même % d’utilisation)
Perte de revenus = Revenus / h x temps d’arrêt( h ) x temps de disponibilité (%)
Example:
L’employé gagne 80 000 $ par an
/ 52 semaines
/ 36,25 heures par semaine
= Perte de productivité d’un
(1) employé (42,44 $ par heure)
7 Quel est le coût estimé d’une interruption d’activités?
Perte ou vol de renseignements sensibles ou confidentiels résultant de la cyberattaque. Il peut s’agir de secrets commerciaux, de propriété intellectuelle (y compris le code source), de renseignements sur les clients et de dossiers d’employés.
8 Quel est le coût d’une perte ou d’un vol de renseignements?
Coût de remise en état du matériel et des autres actifs informatiques à la suite de la cyberattaque.
9 Quel est le coût du remplacement ou de la réparation du matériel ou des actifs informatiques?
Coûts engagés sous forme de temps d’arrêt de vos services. Cette inactivité peut nuire à la réputation de l’organisme.
10 Quel est le coût estimé de l’atteinte à la réputation?
Contact
Le Centre des opérations en matière de cybersécurité (COC) de la Division de la cybersécurité de l’Ontario a préparé ce guide de calcul du cadre sur les coûts des incidents afin de connaître les conséquences et les coûts associés à un incident. Les organismes sont priés d’envoyer un courriel au COC à cyberadvice@ontario.ca tout en remplissant le guide suivant afin de garantir l’exactitude et l’exhaustivité des données et de fournir des conseils tout au long du processus. Toutes les questions concernant le guide de calcul doivent également être envoyées à cyberadvice@ontario.ca.