Souvent négligée, la cybersécurité a pris le devant de la scène ces derniers mois avec des vols de données spectaculaires et l’adoption précipitée du télétravail. Depuis le début de la pandémie de COVID-19, le FBI a enregistré une hausse de 300 % des cyberattaques. Toute entreprise, peu importe sa taille ou son secteur d’activité, a plus que jamais avantage à sécuriser ses réseaux, ses systèmes informatiques et ses actifs informationnels.

La lutte à la cybercriminalité a le vent dans les voiles : en 2021, les entreprises dépenseront 6 000 milliards de dollars pour se protéger des attaques informatiques, prévoit Cybercrime Magazine. Et selon un rapport publié par Statistique Canada en octobre dernier, 21 % des entreprises canadiennes ont été victimes d’incidents liés à la cybersécurité en 2019.

Aux menaces s’ajoutent les obligations légales. Le projet de loi 64 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels), en voie d’être adoptée à l’Assemblée nationale, prévoit de lourdes pénalités pour les organisations qui font preuve de négligence en matière de cybersécurité et de protection des renseignements personnels.

La cybersécurité ne peut pas être considérée comme un simple enjeu technologique. C’est un investissement stratégique. C’est également un écosystème complexe qui nécessite pour les organisations d’être accompagnées par des spécialistes, insiste Roger Ouellet, directeur de la pratique sécurité chez NOVIPRO, une firme qui offre des solutions d’affaires, technologiques et infonuagiques.

« Il n’y a pas de recette unique ou de solution qu’on peut copier-coller, affirme-t-il. Les composantes de base ne sont plus suffisantes : c’est un processus en continu, c’est vivant ! »

Connais-toi toi-même

Une organisation qui souhaite rehausser la cybersécurité de ses installations doit d’abord réfléchir stratégiquement. Quelle est sa mission ainsi que sa vision ? Quels risques est-elle prête à courir ? Pendant combien de temps peut-elle composer avec l’arrêt de ses activités ?

« La raison fondamentale pour la mise en place de mesures de cybersécurité, c’est d’assurer la pérennité de l’entreprise, rien de moins », résume Roger Ouellet.

Plusieurs entreprises ne sont pas en mesure d’identifier leurs données sensibles ou même de les localiser. Leur stratégie de cybersécurité se construit d’abord autour de ces données, et ensuite à partir de l’analyse des risques et des impacts. Elle repose également sur les plans de protection des infrastructures et des données, sans oublier les plans de contingence élaborés pour limiter les dommages et les pertes en cas d’attaque.

Ce travail d’analyse et de planification doit prendre en compte la taille de l’entreprise, son domaine d’activité, les ressources disponibles et les obligations légales en matière de sécurité.

Les employés : le pare-feu le plus efficace

Aucune stratégie de cybersécurité ne sera efficace si les employés ne sont pas mis à contribution.

« On a beau mettre toutes les protections en place, si les utilisateurs n’ont pas les connaissances suffisantes en matière de cybersécurité, ça ne donne rien », tranche Roger Ouellet.

Or, bien des entreprises les négligent depuis des années. Leurs investissements massifs se font plutôt dans les infrastructures. Pourtant, les hackers savent trop bien que l’humain est un maillon fragile, celui qui est le moins protégé et donc, le plus ciblé. « Chaque employé est une porte d’entrée », souligne M. Ouellet.

La mise en place de la stratégie et son succès passent donc obligatoirement par la formation et la sensibilisation de tous les membres du personnel. Ils doivent apprendre les notions de base en cybersécurité et comprendre les processus et les marches à suivre.

Il est surtout primordial que les procédures soient perçues comme des outils assurant la sécurité, et non comme des moyens pour surveiller et contraindre, signale l’expert de NOVIPRO.

Les composantes de base et la suite

Quelle que soit la taille de l’entreprise, les composantes de base sont les mêmes : pare-feu, filtre antipourriel ainsi que systèmes de gestion des mises à jour, des vulnérabilités des appareils mobiles et des postes informatiques. La liste peut bien sûr s’allonger, selon les besoins de l’organisation.

Puisque le travail d’analyse, de planification et d’implantation requiert une expertise particulière, des PME optent souvent pour des services gérés.

Mais même avec les outils les plus performants en place, il ne faut pas baisser la garde. La rapidité des développements technologiques peut vite rendre les systèmes vulnérables. Les cyberpirates travaillent jour et nuit à trouver des failles.

Mais surtout, rappelle Roger Ouellet, l’entreprise doit veiller sur son personnel. « Les employés sont des alliés, insiste-t-il. Il faut leur rendre la vie plus simple tout en les conscientisant… »