La cybersécurité, un service en forte croissance dans les cabinets
Yahoo, Ashley Madison et, plus près de nous, la Coop fédérée, Radio-Canada, l’Ordre des ingénieurs et même le CPE du Centre hospitalier de l’Université Laval. Les cyberattaques ne touchent plus seulement les États. Les chefs d’entreprise l’ont bien compris et comptent sur leur cabinet-conseil pour les guider dans la gestion de ce nouveau risque. C’est l’occasion pour ces firmes de développer un nouveau créneau en pleine croissance.
En 2014, 28 % d’une centaine de chefs d’entreprise canadiens avaient affirmé avoir déjà été victimes de cyberattaques. C’est cette année-là aussi que la Coop fédérée a perdu 5,5 millions de dollars américains à la suite d’une fraude du président. Ce type de cyberattaque est en croissance. Un imposteur recueille suffisamment d’informations-clés sur l’entreprise pour réussir à envoyer à un employé stratégique des messages dans lesquels il se fait passer pour le dirigeant de la société afin de faire verser des fonds sur des comptes frauduleux.
La Coop fédérée n’a jamais pu récupérer les fonds, que son assureur a fini par lui rembourser, sur ordre de la justice.
L’histoire a fait grand bruit, et les chefs d’entreprise québécois se sentent de plus en plus concernés. « Les conseils d’administration sont inquiets : ils savent qu’ils ont la responsabilité de s’assurer d’avoir les bonnes réponses aux enjeux de sécurité informatique », avance Marc Fournier, associé et leader, Gestion des risques technologies à PricewaterhouseCoopers (PwC).
« Les entrepreneurs commencent à être conscients du risque, mais on a accumulé beaucoup de retard dans la prévention », constate Bertrand Milot, premier directeur services-conseils en cyberrisques et cybersécurité chez Richter. « Les entreprises sont encore nombreuses à venir chercher de l’aide une fois que l’attaque a eu lieu plutôt qu’avant », observe Marc Fournier.
Besoin d’accompagnement
Le rattrapage est cependant en train de se faire : selon une étude réalisée en 2016 par PwC, les budgets de sécurité de l’information des 157 entreprises canadiennes interrogées ont augmenté de 82 % par rapport à 2014.
La cybersécurité est donc un créneau en pleine expansion que les plus grandes firmes de conseil n’ont pas manqué de développer, engageant les meilleurs experts mondiaux dans le domaine. Amir Belkhelladi a été recruté en 2014 par Deloitte pour devenir associé et leader des services liés aux cyberrisques pour l’Est du Canada. Il avait mené une bonne partie de sa carrière en Grande-Bretagne au service des multinationales.
Le service de Deloitte est passé de 15 personnes en 2014 à 120 aujourd’hui, dont une soixantaine se consacrent aux cyberrisques. La firme « en a fait sa spécialité », affirme Amir Belkhelladi, dont le service accompagne les clients pour l’évaluation des risques, ainsi que pour le choix et l’implantation de solutions internes. Ce service fait aussi de la veille préventive. Deloitte s’est doté d’un centre de surveillance à distance qui compte une force d’intervention 24 heures sur 24, 7 jours sur 7.
Raymond Chabot Grand Thornton (RCGT) est venu à la cybersécurité par l’intermédiaire de ses clients gouvernementaux, pour lesquels le cabinet a dû très tôt prendre en compte ce risque. Comme la plupart des firmes qui proposent ce service, RCGT offre un état des lieux des risques encourus par l’entreprise et des protections déjà en place, des solutions technologiques et des vérifications des systèmes informatiques pour rechercher des traces de fraudes éventuelles. « Comme on fait du conseil chez RCGT, on ne peut pas faire autrement que d’accompagner nos clients dans leurs enjeux de cybersécurité puisque, aujourd’hui, les petites comme les grandes entreprises ont des données à gérer et à sécuriser », affirme Marco Perron, associé et chef de la direction de RCGT Consulting, qui comprend le service de cybersécurité.
Sensibilisation de tous les employés
Les entreprises consultent les firmes-conseils sur les risques informatiques lorsqu’elles sont conscientes des enjeux, en cas de crise ou sur l’injonction de leurs clients ou fournisseurs. « Nous avons des clients qui veulent faire affaire avec des entreprises américaines. Avant que celles-ci acceptent de leur fournir des données délicates, ils doivent montrer que leurs systèmes de protection des informations sur leurs supports numériques sont solides. Ces clients viennent donc nous voir pour obtenir une certification. Le fait que nous soyons un cabinet internationalement reconnu assure une grande crédibilité à nos certifications », souligne Marc Fournier.
La complexité des enjeux technologiques de la cybersécurité rend le soutien des cabinets de conseil précieux pour des entrepreneurs souvent néophytes dans la technologie et qui n’ont pas toujours les moyens de recruter des experts du domaine.
La protection contre les attaques informatiques dépasse cependant les outils technologiques. Il faut sensibiliser l’ensemble du personnel des entreprises, car « le risque numéro 1, ce sont les employés. Il est beaucoup plus facile de manipuler une personne qu’une machine », indique Bertrand Milot. En conséquence, l’action des firmes comprend généralement un volet de prévention auprès du personnel.
Le service rendu en cybersécurité fait donc appel à plusieurs expertises, tant en technologies qu’en gestion de projet et de risque ainsi qu’en approche des ressources humaines. Les firmes, qui possèdent toutes ces compétences, se positionnent bien sur le marché, qui est en forte expansion.
la