Catégorie: Blogue

Créer une capacité de cybersécurité pour protéger les organisations jamaïcaines

Les perspectives en matière de protection de la vie privée et de sécurité des données en Jamaïque?

Ah, la Jamaïque. L’évocation de cette île des Caraïbes évoque d’agréables pensées de palmiers qui se balancent, de plages magnifiques, de musique reggae et de bon rhum jamaïcain. Toutefois, comme la plupart des pays qui se numérisent rapidement, la Jamaïque n’est pas à l’abri du fléau de la cybercriminalité.

Dans ce billet, nous allons nous pencher sur la question de la cybersécurité et de la confidentialité des données en Jamaïque, en examinant la nature et l’ampleur de la menace actuelle et les mesures prises par le gouvernement et les entreprises pour mieux se protéger.

La Jamaïque est confrontée à une augmentation de la cybercriminalité

Avec une population de 2,98 millions d’habitants, la Jamaïque est la troisième nation anglophone la plus peuplée des Amériques, après les États-Unis et le Canada. En janvier 2022, il y avait 2,03 millions d’internautes en Jamaïque. Cela représente environ 68,2 % de la population totale, un chiffre en hausse par rapport aux 55 % de 2017. Les attaques de cybersécurité ont augmenté en Jamaïque et dans le reste des Caraïbes et de l’Amérique latine à un rythme proportionnel à la numérisation en cours de la région:

  • Au début de l’année 2021, le gouvernement jamaïcain a été victime de trois failles de sécurité importantes liées à son application JamCOVID, une plateforme conçue pour mettre en relation les citoyens et les voyageurs avec des ressources qui les aident à gérer leurs déplacements, la quarantaine, la vérification des symptômes et d’autres questions liées au COVID.
  • Au cours des six premiers mois de 2022, les Caraïbes ont connu 144 millions de tentatives de cyberattaques, les rançongiciels étant la violation la plus courante.
  • La Guyane a été la cible la plus populaire avec 71 millions de tentatives de cyberattaques, le Suriname en a connu 16 millions, la Barbade est troisième avec 13 millions de tentatives et la Jamaïque quatrième avec 12 millions.
  • Les entreprises d’Amérique latine et des Caraïbes ont déboursé environ 124 millions de dollars au cours du premier semestre 2022 à la suite d’attaques par rançongiciels.

En octobre 2022, une cyberattaque contre Massy Distribution Jamaica, l’un des plus grands fournisseurs de biens de consommation et de produits pharmaceutiques du pays, a fait la une des journaux. Il s’agit du deuxième cyberincident à frapper un membre du groupe Massy, basé à Trinidad, cette année. En avril, une attaque par ransomware a contraint l’entreprise à fermer des magasins à Trinité-et-Tobago. Les pirates ont gelé le système de cartes à points de la chaîne de magasins et ont exfiltré environ 216 gigaoctets de données avant de les crypter. Les fichiers exfiltrés auraient ensuite été publiés sur le dark web. Les institutions financières du pays sont souvent la cible de ces attaques.

Le rapport 2018 sur la stabilité financière publié par la Banque de Jamaïque (BOJ) a révélé que les banques jamaïcaines étaient victimes en moyenne d’environ deux cyberattaques par semaine et que les acteurs de la menace avaient siphonné jusqu’à 10 millions de dollars en un seul mois. À l’époque, les pertes moyennes s’élevaient à plus de 4 millions de dollars par mois.

Le rapport 2021, publié en mars de cette année, a noté qu’entre janvier 2018 et octobre 2021, les pertes liées à la fraude bancaire s’élevaient en moyenne à 1 milliard de dollars par an. Ce chiffre représente environ 0,05 % du produit intérieur brut de la Jamaïque. Il a également noté que la fraude par carte de débit et de crédit était la plus répandue, représentant 84,6% (3,3 milliards de dollars) des pertes de fraude au cours de la période. Les cas de virements électroniques, de chèques et de prêts frauduleux, de fraude interne et de fraude bancaire sur Internet étaient également très répandus.

La BOJ a également mis en évidence une recrudescence inquiétante des escroqueries par échange de cartes SIM, par lesquelles des fraudeurs tentent d’accéder à des plates-formes bancaires en ligne via des numéros de téléphone portable liés aux comptes des clients. Les consommateurs qui sont victimes d’escroqueries de ce type sont souvent confrontés à une bataille longue et difficile pour récupérer leur argent, comme l’a expliqué une victime dans un article récent:

« Je dois vous dire qu’en Jamaïque, récupérer de l’argent volé peut être un processus extrêmement long et frustrant. J’ai récemment été victime d’une attaque. Tout mon argent a été effacé de mes comptes et des avances de fonds ont été prélevées sur mes cartes de crédit. Cela s’est produit le jour où mon salaire a été versé sur le compte.

« Lorsque j’ai contacté le service clientèle, on m’a envoyé à l’agence la plus proche pour faire une déclaration officielle. J’y suis resté de 8 h 15 à 15 h 50. À la fin de la journée, on m’a dit que le recouvrement de mon salaire mensuel et des autres fonds prélevés sur mon compte prendrait entre 30 et 120 jours.

Renforcer les défenses en matière de sécurité et de protection de la vie privée en Jamaïque

Face à l’augmentation inquiétante et à la sophistication des cyberattaques dans le pays, la Jamaica Cyber Incident Response Team (JaCIRT), qui surveille les cybermenaces et y répond, s’est lancée dans des initiatives de sensibilisation du public afin d’informer les groupes ciblés sur la manière dont ils peuvent mieux se protéger. Dans le cadre de cet effort, JaCIRT s’est entretenu directement avec plus de 80 entités au cours de l’année financière écoulée.

En outre, avec l’aide de l’Organisation des États américains, elle a déployé un système d’alerte précoce qui lui permet de voir les attaques se produire en temps réel, de surveiller les activités des attaquants et de réagir en conséquence. Selon le ministre jamaïcain des sciences, de l’énergie et de la technologie, Daryl Vaz, « cette installation fournit des informations inestimables sur les attaques, qui sont utilisées pour aider à réduire la probabilité de récurrence et à raccourcir le temps de réponse ».

 

 

La Jamaïque, comme d’autres juridictions de la région, a également progressé sur la voie législative de la lutte contre la cybercriminalité en adoptant une législation sur la confidentialité des données similaire au règlement général européen sur la confidentialité des données (RGPD).

La loi sur la protection des données de 2020, promulguée en mai 2020, s’applique à toute personne ou entité qui recueille les données personnelles de tout individu. La loi jamaïcaine sur la protection des données de 2020 (« JDPA ») est la première loi complète de la Jamaïque sur la protection de la vie privée, régissant la collecte, le traitement, le stockage, l’utilisation et la divulgation des informations personnelles. Le CONSENTEMENT est la base juridique du traitement des informations et doit être considéré comme « librement donné » par une déclaration écrite ou un acte affirmatif signifiant l’accord du traitement des informations personnelles.

Selon la loi, ces parties doivent concevoir des contrôles organisationnels et techniques qui protègent la manière dont elles utilisent les données personnelles sensibles, sous peine de se voir infliger de lourdes amendes pour non-conformité, voire une peine d’emprisonnement. Voici quelques-unes des principales exigences et spécifications de la loi:

 

  • La loi définit le « responsable du traitement » comme toute personne ou autorité publique qui détermine la finalité et les modalités du traitement des données à caractère personnel collectées auprès des individus.
  • Elle s’applique à tout responsable de traitement établi en Jamaïque ou à toute entité qui traite des données à caractère personnel par l’intermédiaire de la Jamaïque, quel que soit son lieu d’implantation.
  • Toute entité qui traite les données d’une personne se trouvant en Jamaïque tout en offrant un produit ou un service à des personnes se trouvant en Jamaïque, ou toute entité qui surveille le comportement de personnes se trouvant en Jamaïque, est également considérée comme un responsable du traitement des données.
  • Toute personne ou entité qualifiée de responsable du traitement des données au sens de la loi doit nommer un représentant du responsable du traitement des données. Cette personne doit être un résident jamaïcain, une entité établie et formée en Jamaïque ou une personne qui exerce régulièrement en Jamaïque.
  • Le responsable du traitement des données est légalement tenu de signaler toute violation de données dans les 72 heures après en avoir pris connaissance.

 

 

Si ces initiatives et réglementations peuvent être considérées comme des progrès bienvenus dans la lutte contre la cybercriminalité en Jamaïque, les entreprises doivent également veiller à protéger leurs employés, leurs clients et leurs actionnaires contre les effets dévastateurs d’une atteinte à la protection des données. Examinons quelques moyens d’y parvenir:

Étapes pour renforcer votre cyber-résilience

  • Appliquer strictement les mises à jour des logiciels : Certes, de nombreux employés trouvent ces mises à jour ennuyeuses, mais le rapport coût-bénéfice est significatif. En effet, de nombreuses mises à jour logicielles comprennent des correctifs pour des failles de sécurité connues, de sorte que sans ces mises à jour, les systèmes sont vulnérables à des violations évitables.
  • Renforcez vos protocoles de mots de passe : Parfois, les gens facilitent trop la tâche des pirates qui veulent pénétrer dans leurs réseaux. Si vos utilisateurs et administrateurs utilisent (et réutilisent !) régulièrement des mots de passe standard et peu sûrs, vous courez un risque. Veillez à ce que chacun sache que ses mots de passe doivent être complexes, c’est-à-dire comporter des caractères différents, des majuscules et des chiffres. Ils doivent également être changés régulièrement et ne jamais être dupliqués sur des applications ou des sites web. Ajoutez également une authentification à deux facteurs pour les mots de passe.
  • Utilisez l’analyse du courrier électronique entrant : ces outils vous protègent contre les acteurs malveillants qui envoient des pièces jointes nuisibles ou qui se font passer pour un cadre de l’entreprise ou une autre personnalité influente.
  • Effectuez des sauvegardes de routine : si vos données sont déjà stockées sur un système distinct, vous éviterez d’être pris en otage par un pirate informatique, même s’il compromet vos systèmes.
  • Faire appel à un fournisseur de services de sécurité gérés: La mise en place et le maintien d’un dispositif de cybersécurité solide peut s’avérer une entreprise complexe et coûteuse si vous essayez de le faire seul. Les fournisseurs de services de sécurité gérés ont pour mission d’offrir des solutions fiables en matière de cybersécurité, de conformité et de confidentialité des données aux organisations de toute taille et de tout secteur d’activité.

Conclusion

Des signes encourageants montrent que le gouvernement et les entreprises de la Jamaïque unissent leurs forces pour lutter contre la menace que la cybersécurité fait peser sur l’économie jamaïcaine et les moyens de subsistance de ses citoyens.

Nous pensons que le chef de JaCIRT, le lieutenant-colonel Godphey Sterling, a le mieux résumé la situation lors d’un récent discours:

« Les entreprises doivent également reconnaître le rôle important qu’elles jouent dans l’ensemble de l’écosystème de la cybersécurité [and understand] que la résilience ne peut être atteinte que si nous jouons tous notre rôle. En ce qui concerne le coût de la cybersécurité[is concerned], l’absence de cybersécurité coûtera beaucoup plus cher. Allons de l’avant avec nos différentes forces et faiblesses et, dans un esprit de collaboration, tirons-en parti afin de contribuer à renforcer les capacités de l’écosystème de la cybersécurité en Jamaïque ».

 

L’équipe de sécurité des systèmes d’Hitachi recommande une évaluation de l’impact sur la vie privée (PIA), qui est un examen de la structure d’un système d’information visant à identifier et à atténuer les risques, y compris les risques pour la confidentialité, à chaque étape du cycle de vie du système. L’évaluation de l’impact sur la vie privée indique quelles informations personnelles identifiables (PII) sont collectées et fournit un moyen systématique de répondre à des questions telles que:

  • Quelles données personnelles traitez-vous?
  • Comment sont-elles traitées?
  • Quelles sont les mesures existantes en matière de protection des données?
  • Quels sont les aspects du traitement qui peuvent potentiellement porter préjudice aux personnes concernées, à l’organisation ou au public?
  • Comment traiter les risques de préjudice?

En fin de compte, votre organisation aura une idée claire des lacunes qui existent dans les environnements et qui pourraient être exploitées par des acteurs malveillants. Pour plus d’informations, contactez notre équipe dans la région – Contactez-nous.

Partager cet article

  • Blogue

    - 28 novembre 2024

    Comment améliorer la posture de cybersécurité de votre entreprise

  • Blogue

    - 14 novembre 2024

    L’évolution des cybermenaces : naviguer dans le paysage actuel

  • Blogue

    - 31 octobre 2024

    Quels sont les types de cyberattaques les plus courantes ?

Voulez-vous planifier un appel de découverte?