Cybersécurité: comment mettre en place les bons contrôles?

Publié dans le Journal de Montréal/Journal de Québec, section Dans vos poches, 23  octobre 2021On peut lire l'article ici.Quelles mesures une PME doit-elle implanter pour se protéger contre les cyberattaques?«Avant de changer quoi que ce soit, il faut identifier les systèmes, données, actifs, applications et fournisseurs critiques aux opérations de l’entreprise, explique Guillaume Caron, président-directeur général de VARS, division en cybersécurité de Raymond Chabot Grant Thornton. Et ça passe par une évaluation de la posture de sécurité, ou audit.»On confie une telle opération à un expert, pas au beau-frère ou au responsable des TI, qui n’a souvent pas le recul approprié pour déceler les failles recherchées. On parle ici d’une dépense de quelques milliers à plusieurs dizaines de milliers de dollars, selon la taille et la complexité de l’entreprise.Une fois identifiés les risques, les écarts, les vulnérabilités, les lacunes et les contrôles que l’on souhaite implanter, on peut se donner un objectif, comme de se conformer à une norme de cybersécurité (par exemple ISO 27001).«De nos jours, il est incontournable d’investir pour se conformer à de telles normes, tranche Frédéric Bove, directeur général de Prompt, un regroupement sectoriel de recherche en TI. Sinon, tôt ou tard, vous allez perdre des contrats, peu importe la taille de votre entreprise.» Évidemment, le choix d’une norme dépend du secteur d’activité et des opérations visées (production, distribution, commerce en ligne, gestion, etc.).Qui fait quoi?L’étape suivante, c’est d’appliquer la nouvelle stratégie soi-même, si on dispose de l’expertise interne, ou avec un spécialiste. Ce dernier va aider à fournir et à gérer les technologies appropriées, à écrire les politiques de cybersécurité et à offrir des conseils pour les processus de gestion.L’important, c’est d’établir une politique claire, facile à comprendre et à implanter. «Elle doit expliquer les processus à suivre afin de protéger l’information et les systèmes de l’organisation à tous les niveaux », poursuit M. Caron. Par exemple :

• la gestion des accès dans l'entreprise
• la gestion des mots de passe
• l'utilisation acceptable de l'équipement informatique
• les processus de sauvegarde de donnée

Évidemment, l’élément humain est au cœur d’une bonne stratégie de cyberdéfense. Et la politique de l’entreprise abordera la formation et la responsabilisation des employés.«Un programme de sensibilisation et de formation routinière est incontournable, poursuit M. Caron. Tous les employés doivent comprendre les menaces et maîtriser les bons comportements. La politique prévoit des contenus poussés et adaptés aux employés-clés, aux membres du conseil d’administration et aux équipes techniques.»SurveillanceAutre élément important de toute stratégie de cyberdéfense: la surveillance axée sur la détection des menaces en temps réel sur 24 heures. Les PME sont habituellement très peu outillées dans ce domaine. Une telle surveillance détecte pourtant les comportements anormaux (vol de données, hameçonnage, attaques de rançon).On peut simplement implanter une application, comme SentinelOne ou Cynet, ou faire appel à un centre de surveillance comme VARS. Il faudra prévoir un budget mensuel de quelques centaines à plusieurs milliers de dollars par mois, peu importe le nombre d’employés.«J’ai des clients qui bénéficient de ce service et qui n’ont qu’un seul poste de travail», révèle Guillaume Caron.L’IMPORTANCE DU PLAN DE CONTINUITÉ DES AFFAIRESUne politique de cyberdéfense appropriée s’accompagne d’un plan de continuité des affaires assez solide et clair pour que l’entreprise puisse continuer ses opérations (ou redémarrer en quelques heures ou jours) même en cas de cyberattaque, de panne de centre de données ou d’électricité, d’inondation, d’incendie ou de vol.Ce plan prévoit des moyens pour répondre aux incidents dès qu’ils surviennent en identifiant, notamment, les personnes-contacts à appeler en ordre de priorité, selon la nature et la gravité de l’incident (responsable des TI, président de l’entreprise, assureur, partenaire de sécurité, représentants des gouvernements locaux et supérieurs...), ainsi que des simulations.

UNE RÉALITÉ

Avec la COVID-19, de nombreuses PME se sont mises en mode télétravail et commerce en ligne, souvent en catastrophe. Ainsi, 60% de 500 PME canadiennes interrogées par Rogers en septembre affirment mener la plupart de leurs activités en ligne.Pourtant, elles sont plus que jamais vulnérables aux cyberattaques: 47% de leurs propriétaires disent ne consacrer aucun budget annuel à la cybersécurité, selon un sondage publié en octobre par le Bureau d’assurance du Canada (BAC). Moins de la moitié (46%) auraient intégré des moyens de défense et seulement le quart (24%) entendent souscrire une cyberassurance au cours de la prochaine année.De janvier à mars, le BAC signale que les assureurs ont versé plus de 106 millions de dollars en indemnités de cyberresponsabilité.En 2021, 41% des PME canadiennes ayant subi une cyberattaque ont déclaré que cette dernière leur avait coûté au moins 100 000 dollars, soit une hausse de 37% par rapport à 2019.