Les cyberattaques se multiplient, les cyberattaques se multiplieront. Confronté à cette réalité, la question n’est plus « peut-on s’en prémunir ? », mais « comment les surmonter » ?
Selon une étude publiée en 2018, la cybercriminalité est une industrie aussi mondialisée que florissante dont le chiffre d’affaires dépasse les 400 milliards de dollars par année. Considérant cet impressionnant « volume d’affaires », on s’attend des organisations évoluant dans un environnement où se multiplient menaces réelles et potentielles qu’elles adoptent des contre-mesures adéquates. Et pourtant.
L’Enquête canadienne sur la cybersécurité et le cybercrime menée par Statistiques Canada en 2017 révèle que si 95 % des organisations « ont mis en place une certaine forme de cybersécurité. (…) même pour les mesures de protection les plus couramment signalées, l’utilisation n’était pas universelle ». Comme quoi investir 14 milliards de dollars comme l’ont fait les entreprises canadiennes en 2017 pour prévenir et détecter les incidents de cybersécurité et les surmonter n’est pas une panacée. Privilégie-t-on l’équipement et les applications au détriment de la sensibilisation et la formation?
Évaluer le niveau de maturité de votre organisation
On ne le dira jamais assez : en matière de cybersécurité, le facteur humain est le maillon faible de la chaîne de contrôle. Comme ont coutume de dire les experts en sécurité informatique, le principal facteur de risque se trouve entre la chaise et le clavier. Cela est peut-être dû au fait qu’aux étages supérieurs de l’organisation, une prise de conscience ne s’est pas encore frayé un chemin décisif.
Inconscients, mal informés ou mal conseillés, la direction et le conseil d’administration sous-estiment l’exposition au risque, surévaluent la fiabilité des systèmes et surestiment la capacité à réagir. Ce faisant, ils mettent en péril non seulement l’organisation, mais aussi, tout le flux constant de données qui la rend solidaire des multiples intervenants qui évoluent dans leur environnement d’affaires : parties prenantes internes, clients, fournisseurs, partenaires commerciaux, organismes publics, sous-traitants, etc. Il serait illusoire de penser que nos collaborateurs et interlocuteurs vont agir de manière sécuritaire si on ne leur montre par l’exemple au plus haut échelon. Évaluer le niveau de maturité de l’organisation en matière de cybersécurité et cyberrésilience commence donc par le haut.
La direction et le conseil d’administration sont-ils conscients des risques qu’ils courent et font courir en négligeant de se protéger efficacement? Hewlett Packard Enterprise (HPE) a élaboré un cadre de référence stratégique en 6 points permettant de contextualiser cette question et d’y répondre… plus ou moins positivement. En fonction des « 0ui » recueillis et de leur pondération, la haute direction peut déterminer le degré de maturité de son organisation.
Cybersécurité et cyberrésilience : un cadre de référence stratégique
- Stratégie de cybersécurité
La stratégie de l’organisation est bien adaptée à ses objectifs, projets, activités et à son contexte d’affaires. Logique : toutes les cybermenaces ne sont pas égales en genre et en nombre et tous les secteurs d’activité ne sont pas confrontés aux mêmes enjeux et défis. - Gouvernance, gestion de risque et conformité.
Le conseil d’administration et la haute direction sont diligents et tiennent fermement le gouvernail en matière de sécurité informatique. L’organisation a un processus de gestion de risque et conformité lui permettant d’anticiper problèmes et solutions. Les types de menaces sont identifiés et hiérarchisés. Des normes et politiques sont documentées, un plan d’action est en place et des mesures d’atténuation sont prévues en cas d’attaque. - Sécurité des opérations
L’organisation est capable de surveiller, gérer et répondre aux cybermenaces en temps réel, 24h/7j, de telle sorte que leur impact est limité et n’affecte que peu ou pas les opérations courantes. - Sécurité des actifs informatiques et des infrastructures
Serveurs, systèmes d’exploitation, postes de travail, applications, réseau interne et WiFi, systèmes Bluetooth, appareils mobiles, bases de données, ports ouverts, etc., sont autant de vulnérabilités potentielles pouvant être exploitées pour infecter l’organisation et la mettre à genoux, le cas échéant. Une équipe d’intervenants clés, des méthodes et des outils dédiés à la sécurité informatique font en sorte qu’en cas de failles ou de bris de sécurité, les rôles et responsabilités sont clairement définis et les mesures à prendre sont connues, maîtrisées et appliquées sans délai. - Sécurité des tierces parties et de l’infonuagique
L’organisation maîtrise les risques liés à l’exploitation des solutions infonuagiques et ceux associés à ses relations avec les tierces parties (fournisseurs, partenaires, sous-traitants, juridictions) en intégrant des politiques, procédures et systèmes de contrôles à tous les niveaux de ses processus décisionnels et opérationnels. - Culture et sensibilisation à la cybersécurité
L’organisation sait contrer les menaces connues et elle est proactive en regard des menaces potentielles. Pour elle, la cybersécurité est l’affaire de tous, à tous les échelons. Sensibilisation, prévention et formations sont ses maîtres mots en la matière.
Votre organisation est-elle suffisamment blindée?
La cybercriminalité peut se traduire par des pertes de revenu significatives, la perte de votre réputation suite au vol de données sur vos clients, le ralentissement de vos activités (voire la cessation pure et simple de vos activités), une hausse significative de vos primes d’assurance pouvant gruger significativement vos marges de profits. Ce ne sont que quelques exemples, mais ils sont suffisants pour faire réfléchir.
Voici quelques outils pour vous aider à faire le point sur votre situation et agir sans tarder pour préserver votre organisation des cyberattaques.
- The Cyber Highway de Cyber Essentials Canada est un outil en ligne permettant aux petites et moyennes organisations « d’adopter une approche économique pour évaluer leur organisation et prendre des mesures visant à atténuer les cyberrisques ».
- L’Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM) a publié un Guide de pratiques exemplaires en matière de cybersécurité à l’intention de ses courtiers et dont tous les types d’organisations peuvent s’inspirer « pour personnaliser et (de) quantifier les ajustements apportés à leurs programmes de cybersécurité à l’aide de techniques et de contrôles efficients de gestion des risques ».
- Le cadre de référence en cybersécurité de la National Institute of Standards and Technology (NIST) est destiné aux organisations matures à la recherche d’un « blindage 5 étoiles » pour sécuriser leurs activités. Ce cadre est l’outil de référence par excellence pour les organisations évoluant dans le secteur financier et les assurances, notamment.
- Les essentiels de la cybersécurité (Cyber Essentials) du Gouvernement britannique constituent un excellent point de départ et un outil efficace pour évaluer la fiabilité de vos procédures et systèmes, apporter les correctifs et adopter les bonnes pratiques de base.
- Si vos ressources le permettent, la norme ISO 27001 de sécurité des systèmes d’information « spécifie les exigences relatives à l’établissement, à la mise en œuvre, à la mise à jour et à l’amélioration continue d’un système de management de la sécurité de l’information dans le contexte d’une organisation ».
Peu importe le cadre de référence que vous choisissez pour vous protéger, Cofomo peut vous accompagner dans le choix et l’implantation d’une norme et de systèmes de cybersécurité et cyberrésilience correspondants à votre organisation et sa réalité.
Découvrez nos services en cybersécurité, gouvernance et sécurité, et gestion de risque et sécurité. Besoin d’aide? N’hésitez pas à nous contacter.