Dans le contexte actuel, la cybermenace est en évolution rapide et grandissante. On ne compte plus les organisations victimes devant interrompre leur production afin de gérer une réponse aux incidents. Les groupes criminels motivés par les gains financiers et concurrentiels ne connaissent aucune limite. Créativité, soutien financier : le crime paie, surtout si les organisations ne s’y préparent pas.
Mettre en place les bonnes pratiques de cybersécurité est un élément essentiel pour la pérennité des organisations. Les statistiques montrent une croissance constante du nombre de cyberincidents, avec de lourdes conséquences pour les organisations, notamment des fermetures définitives.
C’est une question de gestion du risque, touchant tant l’aspect opérationnel que les aspects de gouvernance et de réglementation.
Des pratiques gagnantes
Parmi les défis pratiques, on note le manque de ressources compétentes sur le marché du travail, forçant le recours à la consultation externe ponctuelle.
La consultation externe ponctuelle
Le défi de la consultation externe est le suivi non continu et, de ce fait, une gestion du changement complexe dans le suivi des processus, des technologies et des personnes.
La consultation ponctuelle est un service pertinent, par exemple, pour la réalisation d’un audit avant une fusion ou une acquisition. Elle peut également apporter une feuille de route comme point de départ en vue d’améliorer des processus globaux.
On pourra alors regarder du côté des services gérés, offrant une intégration sur la durée et un accompagnement stratégique.
Les services gérés
Deux axes sont à considérer en choisissant l’option des services gérés :
- Les actions à entreprendre immédiatement pour parer à l’urgence, soit la mise en place des piliers technologiques gérés, couvrant la protection des points de terminaison (postes de travail, serveurs), des canaux de courriels, le stockage infonuagique et l’empreinte numérique sur le Web caché (dark Web).
- Les actions à entreprendre à moyen terme, soit la mise en place de politiques officielles, de processus et de normes, ainsi que d’un programme de sensibilisation aligné sur les stratégies précédentes. On va ainsi augmenter le niveau de maturité de l’organisation et baisser le niveau de risque.
Programme de sécurité et gestion du risque
Le succès d’un programme de sécurité, comme pour tout projet, dépend du soutien et de l’implication des dirigeants. Il s’agit de protéger les ressources de l’organisation et d’assurer la résilience de cette dernière.
Pour les entreprises, avec la gestion du risque, on parle habituellement d’un plan de relève après sinistre et des assurances. C’est la même approche pour les technologies : un plan de réponse aux incidents, de la prévention et des assurances.
Réglementation et conformité
Le Québec vient de voir la loi 25 modifiée (par le projet de loi 64), une forme d’intégration du règlement général sur la protection des données (RGPD) européen au cadre législatif québécois, afin de maintenir un même niveau d’interopérabilité commerciale avec l’Europe grâce à des réglementations alignées et de protéger les données personnelles des citoyens.
La loi 25, au Québec, impose à toutes les organisations d’avoir une gouvernance appropriée des données personnelles, ainsi que d’avoir une posture de sécurité ne laissant pas de place à la négligence afin d’éviter les incidents et les (lourdes) sanctions.
Les points clés
Enfin, on retiendra qu’il devient critique de prendre en charge correctement sa posture de sécurité et de prendre les mesures suivantes :
- Se préparer aux incidents va réduire les impacts financiers, opérationnels et réputationnels sur l’organisation;
- Considérer le recours à des partenaires de confiance avec une bonne expertise dans le domaine de la cybersécurité, qui vous accompagneront et vous conseilleront sur votre stratégie en sécurité de l’information et gouvernance;
- Prévenir la négligence évidente en limitant les risques et en évitant les pénalités apportées par les changements à la loi 25.
Avec une bonne posture de sécurité ou un bon niveau de maturité, il est plus simple d’établir des relations de confiance avec des partenaires commerciaux et de répondre aux demandes de conformité des partenaires et clients.
Avez-vous commencé la mise en place d’un plan de sécurité officiel pour votre organisation? C’est le point de départ pour la mise en place des contrôles de sécurité alignés sur vos risques et cyberrisques.