Technologies de l'information
Article
Nouvelle
Étude de cas
Portrait de formateur

Cybersécurité : à quel point sommes-nous prêts ?

Benoit Tremblay
Cybersécurité : à quel point sommes-nous prêts ?

La loi 25 nous le rappelle un peu plus chaque jour : nous ne sommes pas propriétaires des données clients, mais nous devons en prendre soin. Plus généralement, les organisations doivent prêter une attention particulière à l’ensemble des données dont elles disposent : à la fois par respect pour ceux qui les lui confient ; et pour assurer la continuité des opérations.

Une responsabilité morale

Il n’est pas inutile de rappeler que l’organisation dispose d’une masse de données grandissante, dont elle se sert pour ajuster son offre de produits ou service, planifier sa stratégie, communiquer selon son public cible, etc. Ses données viennent en grande partie de ses usagers. À ce titre l’organisation a une responsabilité morale : d’abord d’en faire bon usage, ensuite de les protéger. C’est un contrat tacite au départ, plus formel maintenant avec la loi 25, mais un contrat qui coûte cher quand il est brisé.

Mais voilà… il y a tout un pas des intentions aux actions.

Mauvaise volonté des organisations quant à la sécurité des données?

La Presse le soulignait récemment, seulement 3 % des entreprises sondées sont en conformité avec leurs obligations de la phase 1 de la loi 25… et aucune  avec celles de la phase 2.

Et les choses ne vont pas beaucoup s’améliorer puisque pas loin de la moitié des répondants ne compte pas prendre rapidement les mesures qu’impose la loi. Prétextes évoqués : manque de moyen, de temps, de ressources.

Si on ne peut pas nier que les procédures à mettre en place et la gouvernance qui va avec ne sont pas simples, les ignorer ou les remettre à plus tard est un pari risqué à plusieurs égards :

  • Les usagers sont parfaitement au courant des nouvelles obligations en matière de protection des données, et des recours à leur disposition en cas de non-conformité.
  • Les amendes prévues sont particulièrement salées puisque calculées en pourcentage du chiffre d’affaires (notamment).
  • Le risque d’attaque est réel, toute taille d’entreprises confondues. Or, une cyberattaque, c’est au minimum un ralentissement de l’activité et au pire une faillite.

Des organisations en retard dans leur transformation numérique

Encore aujourd’hui on entend la petite chanson « je suis trop petit pour intéresser un pirate informatique ».
Malheureusement non. Les PME, de toutes tailles et tous secteurs, sont des cibles potentielles, sérieusement considérées par les pirates . D’autant qu’elles représentent près de 90% du tissu économique : une belle opportunité pour les pirates.

Imaginons trois scénarios assez simples et réalistes :

  1. Une attaque qui ralentit l’activité : un logiciel malveillant ralentit les activités. L’organisation n’est plus en mesure de produire au même rythme et ses clients (et fournisseurs) se tournent vers ses concurrents. Rien ne dit qu’ils reviendront une fois les choses revenues à la normale, car le lien de confiance aura été sérieusement affecté.
  2. Une attaque qu’on détecte trop tard : l’organisation travaille sur de la recherche et développement afin de publier de nouveaux brevets ou simplement d’améliorer ses produits. Sauf que, faute d’une protection adéquate, ses travaux et avancées… pour la coiffer au poteau et proposer des produits identiques, moins chers (n’ayant pas eu à absorber les coûts de la recherche). Les acheteurs vont logiquement raisonner en termes de coûts et se détourner de l’entreprise qui aura pris tous les risques au profit de celle qui propose le même produit moins cher.
  3. Une attaque qui bloque tout et qui coûte cher : les rançongiciels sont à la mode. Ils sont aussi de plus en plus sophistiqués et difficile à éradiquer. On le sait les pirates n’ont pas de morale si on considère que de récentes attaques visaient des hôpitaux… Les PME ne sont donc pas plus à l’abri et les rançongiciels présentent plusieurs inconvénients : plus d’activité, plus de données, des frais exorbitants à verser (sans garantie).

Mais, à vrai dire, le type d’attaque ou de risque importe peu : tous impactent la résilience de l’organisation et de ses parties prenantes (clients et fournisseurs). Et le risque cyber n’a jamais été aussi grand alors que deux facteurs s’auto-alimentent : une faible préparation des entreprises d’un côté et de l’autre des outils de piratage  boostés aux hormones (merci l’IA).

Cybersécurité : se sortir la tête du sable

Des risques réels

La hausse du risque et la multiplicité des entrées possibles (notamment avec le travail hybride, l’utilisation d’ordinateurs ou de téléphones personnels, l’internet des objets…) devraient servir d’impératifs pour les organisations à revoir leur protection contre les menaces cyber.

La première étape est d’ailleurs assez simple à mettre en place, sans frais, ni installation technique, ni règlement : posez des questions.

Y a-t-il un processus en place ? Qui en est responsable ? Quel est le plan de contingence ? Les employés en sont-ils informés ? La liste de questions pourrait s’allonger, mais si votre organisation n’est pas en mesure de répondre clairement et précisément à l’une de celles-ci… vous êtes dans le trouble.

Des données indispensables

Les données sont essentielles à la conduite des opérations dans une entreprise. Ce n‘est pas pour rien que les équipes de direction avaient auparavant des tableaux de bord Excel, et aujourd’hui qu’elles s’appuient sur Power BI pour extraire, visualiser et modéliser les données afin de faire des trouvailles (insights) qui vont aider à maintenir la compétitivité et donc la pérennité. Cela devrait suffire à prendre les mesures nécessaires pour les sécuriser et ne pas penser “de toute façon ça n’intéresse personne”. Que peut faire une organisation qui n’a plus de données ? Pas grand-chose en fait.

Conclusion

Voir que seulement 40 % des PME québécoises comptent se mettre en conformité avec ses obligations n’est pas rassurant. Gageons qu’une prise de conscience se fera avant que la réalité ne les rattrape durement. À la suite de quoi elles se mettront à l’affut des tendances, afin de s’outiller en conséquence et de former les équipes.

Pour aller plus loin : ➡️ Cybersécurité : monter un plan d'action pour protéger l'entreprise

Articles similaires

Voir tous les articles de blogue
Dette technique et formation : l’équation rentable pour vos équipes de développement
Article
Nouvelle
Étude de cas
Portrait de formateur
Dette technique et formation : l'équation rentable pour vos équipes de...
Ahmed Chaouechi
par Ahmed Chaouechi
Votre titre ne vous protégera pas d’une brèche, mais CISSP oui
Article
Nouvelle
Étude de cas
Portrait de formateur
Votre titre ne vous protégera pas d’une brèche, mais CISSP oui
Patrick Chouinard
par Patrick Chouinard
ITIL : 7 pratiques clés pour améliorer la gestion des SI
Article
Nouvelle
Étude de cas
Portrait de formateur
ITIL : 7 pratiques clés pour améliorer la gestion des SI
Jean-Claude Beaudry
par Jean-Claude Beaudry
SQL Server : 5 erreurs fréquentes quand tout ralentit
Article
Nouvelle
Étude de cas
Portrait de formateur
SQL Server : 5 erreurs fréquentes quand tout ralentit
François Robert
par François Robert