Cybersécurité: comment mettre en place les bons contrôles?
Le Journal de Montréal
Quelles mesures une PME doit-elle implanter pour se protéger contre les cyberattaques?
«Avant de changer quoi que ce soit, il faut identifier les systèmes, données, actifs, applications et fournisseurs critiques aux opérations de l’entreprise, explique Guillaume Caron, président-directeur général de VARS, division en cybersécurité de Raymond Chabot Grant Thornton. Et ça passe par une évaluation de la posture de sécurité, ou audit.»
On confie une telle opération à un expert, pas au beau-frère ou au responsable des TI, qui n’a souvent pas le recul approprié pour déceler les failles recherchées. On parle ici d’une dépense de quelques milliers à plusieurs dizaines de milliers de dollars, selon la taille et la complexité de l’entreprise.
Une fois identifiés les risques, les écarts, les vulnérabilités, les lacunes et les contrôles que l’on souhaite implanter, on peut se donner un objectif, comme de se conformer à une norme de cybersécurité (par exemple ISO 27001 ou DSS).
«De nos jours, il est incontournable d’investir pour se conformer à de telles normes, tranche Frédéric Bove, directeur général de Prompt, un regroupement sectoriel de recherche en TI. Sinon, tôt ou tard, vous allez perdre des contrats, peu importe la taille de votre entreprise.» Évidemment, le choix d’une norme dépend du secteur d’activité et des opérations visées (production, distribution, commerce en ligne, gestion, etc.).
Qui fait quoi?
L’étape suivante, c’est d’appliquer la nouvelle stratégie soi-même, si on dispose de l’expertise interne, ou avec un spécialiste. Ce dernier va aider à fournir et à gérer les technologies appropriées, à écrire les politiques de cybersécurité et à offrir des conseils pour les processus de gestion.
L’important, c’est d’établir une politique claire, facile à comprendre et à implanter. «Elle doit expliquer les processus à suivre avant, pendant et après un incident de sécurité», poursuit M. Caron. Par exemple:
Évidemment, l’élément humain est au cœur d’une bonne stratégie de cyberdéfense. Et la politique de l’entreprise abordera la formation et la responsabilisation des employés.
