Aucune entreprise n’est à l’abri d’une attaque informatique ou d’un sinistre qui pourrait mettre à risque ses activités. Pour se protéger, beaucoup d’entreprises s’orientent spontanément vers des outils, des tactiques et des stratégies de prévention et de défense. « Tous ces éléments sont utiles, mais ils perdent beaucoup de leur efficacité s’ils ne sont pas coordonnés au sein d’une vision globale à l’échelle de l’entreprise », dit Sylvain Viau, président d’International Innovations and Services (IIS), qui travaille pour des clients d’envergure nationale et internationale.

Cet ancien Lieutenant-Colonel des Forces armées canadiennes rencontre régulièrement des dirigeants soucieux de mieux protéger leur entreprise. Il les aide à mettre en place une gouvernance de sécurité répondant à leurs besoins.

La gouvernance est l’ensemble des facteurs qui influencent la façon dont les décisions sont prises. Dans le monde des affaires, l’expression est surtout utilisée pour évoquer les rapports de pouvoir entre les administrateurs d’une société et ses hauts dirigeants. Cet usage du mot « gouvernance » correspond bien à une réalité : la volonté d’assurer la sécurité des activités et des actifs de l’entreprise doit partir d’en haut pour se répercuter ensuite dans les comportements de tous les employés.

Le comportement des personnes dans l’entreprise est d’ailleurs la première des cinq dimensions d’une gouvernance de sécurité : personnes, processus, technologie, infrastructure et partenariats.

1- Les personnes


La sécurité d’une organisation dépend d’abord de ses dirigeants et de ses employés.

Concernant les dirigeants, Sylvain Viau explique que « la sécurité est une responsabilité d’entreprise que doit assumer la haute direction ». « Aujourd’hui, poursuit-il, les enjeux de sécurité sont tels que les administrateurs ou le propriétaire de l’entreprise doivent s’en préoccuper. »

L’expert recommande que, à l’instar d’un nombre croissant de grandes entreprises, chaque organisation se dote, au sein de son comité de direction, d’un poste de haut dirigeant consacré à la sécurité — un chef de la sécurité. « C’est la meilleure façon d’obtenir une vision d’ensemble et de s’assurer que les directives s’appliqueront dans toute l’organisation », dit-il.

À défaut, si la taille ou les activités de l’entreprise ne justifient pas un tel poste, il suggère de confier la responsabilité de la sécurité au chef des finances plutôt qu’au chef des TI.

En ce qui concerne les employés, leur supervision peut être découpée entre trois périodes.

  • Avant leur embauche, une enquête sur leurs antécédents doit offrir suffisamment de confiance dans leur intégrité.
  • Pendant leur emploi, l’entreprise doit suivre leurs activités pour déceler des comportements accidentels ou malveillants qui pourraient causer un risque de sécurité.
  • Après leur emploi, l’entreprise doit leur retirer tout privilège d’accès et éviter qu’ils emportent des données confidentielles, et elle peut dresser un bilan qui lui permet de réajuster ses pratiques internes de sécurité.

Au quotidien, le manque de coordination et de collaboration entre les équipes internes est un obstacle important à l’efficacité des mesures de sécurité. C’est ce qu’a constaté Éric, ancien conseiller en sécurité dans une entreprise de technologie (et dont le prénom a été modifié pour préserver son anonymat).

« Chaque département avait ses propres pratiques de cybersécurité, sans qu’elles soient coordonnées à travers l’organisation, témoigne-t-il. Cette hétérogénéité pouvait laisser l’entreprise exposée à certaines menaces. En cas d’incident, elle aurait sans doute mis plus de temps à réagir. »

Une gouvernance de sécurité vise à transformer ce risque en moyen d’autodéfense, à faire de chaque employé un gardien de la sécurité de l’entreprise. Pour cela, l’organisation doit sensibiliser et former ses ressources humaines aux directives de sécurité.

2- Les processus


Les processus sont l’ensemble des pratiques sécuritaires qu’une bonne gouvernance définit et instaure dans l’entreprise. D’une certaine façon, ces processus sont l’essence même de la gouvernance. « D’ailleurs, à haut niveau, le tout premier processus à établir est… de mettre en place une gouvernance de sécurité! » note Sylvain Viau.

L’ampleur et la rigueur de ces processus varient selon le type d’organisation et son contexte d’affaires : une banque est tenue de respecter des processus de sécurité plus exigeants qu’un petit magasin.

Une fois établis, les processus permettent de définir des indicateurs de performance. En suivant ces indicateurs, l’organisation peut vérifier que ses employés et partenaires appliquent bien les processus de sécurité établis.

3- La technologie

Dans une gouvernance de sécurité, la technologie est un moyen mis au service des personnes pour appliquer les processus. « L’entreprise doit utiliser des outils technologiques qui lui permettent de couvrir les fonctions de sécurité qu’elle juge importante », explique Sylvain Viau.

Il dénombre pas moins de 66 fonctions distinctes. À titre d’exemple, l’authentification des accès aux infrastructures, la gestion des accès des usagers aux réseaux et aux données, et la gestion des modifications aux paramètres de sécurité sont trois fonctions de sécurité qui peuvent être assurées grâce à des outils technologiques.

4- Les infrastructures

Elles comprennent autant l’infrastructure physique que les services publics qui entourent l’entreprise et contribuent à sa sécurité : bâtiments, ouvrages publics, alimentation en énergie et en eau, police et pompiers, réseaux de télécommunication accessibles, services d’hébergement disponibles, etc.

Ces infrastructures constituent un élément majeur du contexte dans lequel l’entreprise évolue. Elles dictent en partie le contenu de sa gouvernance de sécurité.

« Si les infrastructures existantes ne permettent pas d’assurer un niveau de sécurité suffisant, certaines organisations insisteront pour héberger l’ensemble des données qu’elles utilisent sur leurs propres serveurs, et pour avoir des liens de communication privés entre leurs différentes succursales », observe Sylvain Viau.

5- Les partenariats

Des consultants, des fournisseurs de services, des compagnies sœurs et d’autres partenaires de l’entreprise peuvent avoir accès à certaines données et applications de l’entreprise, et certains peuvent même les modifier. Par exemple, une agence de marketing peut se trouver en situation de gérer des listes de clients et de prospects pour l’entreprise. « Quelles règles de sécurité applique ce fournisseur en manipulant ces données ? demande Sylvain Viau. Chaque partenaire devrait rendre des comptes à l’entreprise afin qu’elle sache quelles données ont été manipulées et si elles ont fait l’objet d’incidents de sécurité. »

Personnes, processus, technologie, infrastructure et partenaires : la gouvernance de sécurité d’une entreprise doit prendre en compte ces cinq dimensions. « Voyez la gouvernance comme un gâteau au chocolat, suggère Sylvain Viau. C’est en mélangeant les bons ingrédients, dans les bonnes proportions et en suivant la bonne séquence, qu’un cuisinier peut réaliser le gâteau qu’il voulait faire. » De la même façon, la gouvernance de sécurité réunit, d’une façon cohérente et proactive, l’ensemble des composantes qui permettent à une entreprise d’assurer sa protection de façon efficace.