Alors que les cyberattaques se multiplient, songez-vous à doter votre entreprise d’une équipe dédiée à la cybersécurité? L’Autorité des marchés financiers (AMF), qui en a une depuis 2016, a partagé ses bonnes pratiques lors de la conférence Gestion des TI dans le secteur public, présentée le 20 novembre dernier par les Événements Les Affaires.

L’approche de l’équipe de cybersécurité de l’AMF repose sur trois piliers : les gens, les technologies et les processus.

Composée d’un noyau de cinq personnes, l’équipe réunit plusieurs pôles d’expertise : continuité des affaires, sécurité de l’information numérique, sécurité opérationnelle, analyse en sécurité réseau, etc. Cela permet d’avoir une vision 360 et de briser les silos, selon Mark Kaven Lamothe Lafrenière, responsable de la sécurité de l’information numérique à l’AMF.

« Une autre de nos forces, c’est d’avoir impliqué des stagiaires, a-t-il affirmé. Ce sont des talents bruts qu’on peut former en fonction de nos processus et qui apportent beaucoup de nouvelles idées. La révolution numérique, c’est aussi avoir une vision TI de demain. Les stagiaires sont ultraconnectés et ils influencent notre façon de faire de la sécurité informatique. »

En ce qui concerne les technologies, l’AMF a recours à des outils faisant appel à l’intelligence artificielle, aux données massives et à l’apprentissage-machine.

« Cela nous permet d’analyser les comportements des utilisateurs versus ceux des machines, a dit le conférencier. On peut ainsi détecter les anomalies qui indiquent la présence d’un attaquant. C’est très efficace contre les rançongiciels. »

Cela dit, l’AMF utilise également des technologies plus classiques : contrôle d’accès, chiffrement, antivirus, balayage de vulnérabilités, etc. « Elles ont toujours leur place, même si l’ère des périmètres sécurisés touche à sa fin et fait place à la dématérialisation des périmètres, a poursuivi M. Lamothe Lafrenière. À l’Autorité, certains outils usuels sont dans le nuage parce que nous voulons la meilleure visibilité possible sur ce qui se passe autour de nos données. C’est important d’avoir des ressources un peu partout pour affronter les menaces. »

Quant au 3e pilier, celui des processus, l’AMF s’appuie notamment sur le cadre de cybersécurité du National Institute of Standards and Technology (NIST).

Chasser les intrus

Pour améliorer son efficacité et s’exercer, l’équipe de cybersécurité procède à des tests d’intrusion, a révélé M. Lamothe Lafrenière. « Je fais souvent une allégorie avec la chasse. Pour chasser, il faut qu’il y ait un orignal dans la forêt. Alors, on s’arrange pour qu’il y en ait un. »

Des simulations de cyberattaques sont également au programme. Un exercice nécessaire pour se préparer à un incident majeur, selon le conférencier. Cela permet à l’AMF de sensibiliser les gestionnaires à cette menace, mais également de tester sa cellule de crise et ses plans de continuité, de mesures d’urgence, de communication en situation de crise, etc.

Construire un avion en plein vol

Aussi présente à la conférence Gestion des TI dans le secteur public, la Régie de l’assurance maladie du Québec (RAMQ) a pour sa part présenté le processus d’assurance qualité des solutions TI mis en place dans le cadre de la refonte de son système de rémunération à l’acte (projet SYRA).

Datant des années 1980, le système ne pouvait plus soutenir l’évolution de la rémunération des médecins qui s’est complexifiée au fil du temps. Il y a aujourd’hui quelque 11 000 codes d’actes contre seulement 600 en 1980.

« Il y avait urgence d’agir, a dit Nicolas Turcotte, chef de service à la Direction générale des ententes et du règlement. Par exemple, il était impossible d’ajouter un champ au formulaire de demande de paiement qui comportait trois positions pour un montant maximum de 999 $. Les médecins devaient nous envoyer plusieurs factures, ce qui entraînait un traitement manuel des réclamations. Plusieurs aussi nous envoyaient des factures papier avec explications à la main. Imaginez nos agents de règlements qui essayaient de déchiffrer ce que le médecin réclamait ! »

Doté d’un budget de 35 millions de dollars, le projet SYRA a nécessité quatre ans de développement pour un total de 67 500 jours/personnes. Mathieu Barrette, directeur adjoint à la Direction adjointe des projets d’envergure et des systèmes de soutien à la mission, a comparé sa stratégie de réalisation à la construction d’un avion en plein vol.

« Notre approche était basée sur l’essentiel d’abord, a-t-il expliqué. Nous avons découpé le projet en plusieurs livraisons de fonctionnalités autoportantes en commençant par la réception des demandes de paiement. Il y avait une livraison tous les six mois. »

La RAMQ s’est aussi inspirée de la méthodologie Agile en formant 19 équipes, chacune responsable d’une fonctionnalité ou d’un autre élément du projet. L’une d’elles avait la charge de l’assurance-qualité. À ce titre, elle faisait le lien entre les équipes pour s’assurer de l’arrimage des différentes fonctions.

« On demandait aussi aux gens de l’assurance-qualité de se substituer à l’utilisateur final, que ce soit le médecin qui fait une réclamation ou l’employé de la Régie qui la traite, a expliqué Nicolas Turcotte. Pour cela, ils devaient essayer les fonctionnalités et faire des essais comparatifs entre l’ancien système qui continuait de rouler et le nouveau en construction. Au début, c’étaient des cas simples, mais plus on approchait de la livraison, plus les cas se complexifiaient. »

Bien sûr, il y a eu des turbulences. Il a même fallu, pour certaines fonctionnalités, effacer tout le travail effectué et recommencer du début. Malgré cela, le projet a été livré dans le respect de l’échéancier et du budget. Et l’équipe d’assurance-qualité est restée en poste : elle est désormais responsable de la vigie et de la performance de la nouvelle solution informatique.