La cybersécurité : une priorité pour la haute direction

Publié le 28/09/2021 à 01:00

Devant l’augmentation des cyberattaques, les hautes directions des entreprises reconnaissent désormais que cette forme de criminalité entraîne des risques non seulement technologiques et financiers, mais aussi commerciaux.

Dans le milieu du travail, les technologies numériques font désormais partie du quotidien, particulièrement en mode télétravail. Les stratégies mises en place par les entreprises pour protéger leurs actifs, notamment leurs données, revêtent ainsi une importance capitale pour de nombreuses têtes dirigeantes.

Et pour cause : lorsqu’une cyberattaque se produit, ce n’est pas la demande de rançon ou l’investissement nécessaire pour rebâtir l’infrastructure numérique qui est le plus coûteux, mais bien l’impact sur la réputation de l’entreprise.

« La résilience d’une organisation repose désormais sur sa capacité à prévenir, déceler et cerner les risques de cyberattaques », explique le chef de la sécurité de Microsoft Canada, Kevin Magee.

Toutes les entreprises à risque

Très souvent, ce sont les cyberattaques perpétrées contre les organisations figurant dans le palmarès Fortune 500 qui font les manchettes. Il est ainsi facile de croire que ce sont seulement les géants qui se trouvent dans le viseur des cybercriminels. Dans les faits, 71 % des attaques informatiques sont menées contre des petites et moyennes entreprises.

Dans le monde, pas moins de 82 % des entreprises s’attendent à être victimes d’une cyberattaque, et elles prévoient un impact désastreux. Le coût moyen d’une fuite de données s’élève d’ailleurs à 5,16 M$ US, et le cours de l’action d’une entreprise sur six diminue à la suite d’une attaque par hameçonnage.

Considérant tous les dommages que peut causer une attaque informatique, la responsabilité de la cybersécurité ne peut plus être portée seulement par l’équipe des technologies de l’information (TI), mais bien par l’ensemble du personnel, incluant la haute direction.

Cybercriminalité : un environnement florissant

De 2016 à 2019, pas moins de 1200 cas d’hameçonnage ont été signalés au Canada, ce qui a entraîné des pertes de plus de 45 M$, selon le Centre canadien pour la cybersécurité. Ce type de cybercrimes, qui est le plus courant et le plus coûteux, consiste à envoyer un courriel frauduleux pour amener un ou une membre du personnel à transférer des fonds — sciemment ou non — aux cyberescrocs.

Si la cybercriminalité prend une telle ampleur, c’est qu’elle est davantage organisée. « Oubliez les films où on voit dans un sous-sol un crack de l’informatique pianoter sur un clavier et lancer tout d’un coup “OK, j’y suis”. C’est plutôt une “industrie” entière qui dispose de talents, d’outils et de processus de communication efficaces pour tenter de vous attaquer », prévient Kevin Magee.

La cybersécurité, une préoccupation croissante

La cybersécurité ne représente ainsi plus le sujet d’une conférence occasionnelle comme il y a cinq ans, mais bien un aspect à considérer dans la gestion de toutes les activités d’une entreprise, que ce soit la production, la comptabilité, les ressources humaines, la recherche et le développement de nouveaux produits ou services, etc.

Face à ces menaces qui ne cessent de pleuvoir sur les entreprises, les conseils d’administration et la haute direction sont de plus en plus conscients de la nécessité de mettre en place de nouvelles mesures pour empêcher les cyberescrocs d’avoir accès à leurs données, constate le directeur de la sécurité de Microsoft Canada.

« Pendant des formations que je donne à des têtes dirigeantes, les questions qu’on me pose sont aujourd’hui beaucoup plus approfondies. On ne me demande plus simplement ce que fait un pirate informatique. On veut connaître les meilleures stratégies, les dispositifs utilisés par la concurrence ou même le rôle du conseil d’administration. »

Lorsque le télétravail a été imposé au début de la pandémie de COVID-19, les entreprises auraient dû donner la priorité à la cybersécurité, mais nombre d’entre elles n’ont pas compris qu’elle était impérative — certaines ajoutant seulement un pare-feu, ce qui est en fait contre-productif pour protéger une infrastructure et développer une culture de cybersécurité.

Une culture organisationnelle adéquate

« Vous pouvez investir dans toute la technologie que vous voulez, mais sans une bonne culture organisationnelle, vous ne serez jamais en mesure d’assurer la sécurité de votre entreprise », affirme Kevin Magee.

« Quand un membre de l’équipe clique sur un lien et qu’il réalise qu’il n’aurait pas dû le faire, sa première réaction est de paniquer, poursuit l’expert de Microsoft Canada. Ce qu’il fait ensuite détermine si l’entreprise dispose d’une culture organisationnelle adéquate. S’il est à l’aise de lever sa main et de dire “j’ai fait une erreur et j’ai besoin d’aide”, vous avez une bonne culture organisationnelle. S’il tente de faire disparaître les preuves ou même de payer la rançon, ça ne va pas du tout. »

En moyenne, une fuite de données est constatée en l’espace de 212 jours, et 75 jours de plus sont nécessaires pour la contenir. Sachant que les cybercriminels agissent vite, les entreprises doivent avoir mis en place des stratégies à la fois offensive et défensive.

Dans une organisation, aucun membre du personnel ne veut compromettre les activités. La stratégie de cybersécurité doit ainsi assurer la productivité des équipes et protéger l’infrastructure. La sensibilisation s’avère très efficace pour réduire le risque de fuite de données.

« Le leadership est primordial »

Les membres de la haute direction doivent également montrer l’exemple. Elles et ils ont intérêt à prendre part aux formations sur la cybersécurité et non à se contenter de prononcer un discours sur le sujet. Rappeler régulièrement les règles de base, comme changer son mot de passe et effectuer des sauvegardes, peut aussi être un bon moyen de démontrer l’importance de protéger l’entreprise contre la cybercriminalité. Ces gestionnaires peuvent aussi recourir aux services de consultants, comme la firme québécoise Terranova Security, pour organiser des activités de sensibilisation.

« Le leadership est primordial, mentionne Kevin Magee. Si la haute direction est proactive, c’est-à-dire qu’elle élabore une solide stratégie, qu’elle adapte la culture organisationnelle et qu’elle fait preuve de résilience, elle sera en mesure de se prémunir contre les cyberattaques. Mais elle doit aussi recruter des professionnels compétents, rendre l’ensemble du personnel responsable de la cybersécurité et acquérir de bonnes technologies. »

Assurer la protection d’une entreprise est une tâche quotidienne, qui évolue au gré des expériences et de nouveaux apprentissages, d’après Kevin Magee. Ce dernier insiste : mieux vaut agir avant que des pirates informatiques compromettent les activités.

Pour en savoir plus sur la cybersécurité pour votre entreprise, consultez le document Dix conseils pour mettre en œuvre la sécurité de confiance zéro (azureedge.net) et, pour mesurer son niveau de protection, faites l’évaluation « confiance zéro ».

 

À la une

À surveiller: Walmart, H2O Innovation et Costco

Il y a 51 minutes | lesaffaires.com

Que faire avec les titres de Walmart, H2O Innovation et Costco? Voici quelques recommandations d’analystes.

Bourse: Wall Street volatile en début de séance, les taux obligataires continuent à grimper

Mis à jour il y a 24 minutes | lesaffaires.com, AFP et Presse canadienne

REVUE DES MARCHÉS. La Bourse de Toronto ouvre dans le vert.

Bourse: ce qui bouge sur les marchés avant l'ouverture le jeudi 28 septembre

Mis à jour à 08:49 | lesaffaires.com, AFP et Presse canadienne

REVUE DES MARCHÉS. Les Bourses mondiales peinent à rebondir.