Mettre les données à l’abri
La protection des données devient une priorité au sein de nombreuses entreprises québécoises, et plusieurs firmes comptables s’efforcent désormais d’offrir des services et du conseil dans ce domaine. Un défi qui se double du besoin, pour ces firmes, de protéger leurs propres données sensibles.
« Depuis quelques années, nous vivons une forte hausse du volume et de la variété des données, et cette augmentation va toujours en s’accélérant », explique Amir Belkhelladi, associé et leader des conseils en gestion des risques pour l’est du Canada chez Deloitte.
La protection de ces données repose à la fois sur un cadre juridique, commercial et éthique. Si les entreprises tendent à se conformer aux réglementations et aux impératifs commerciaux, elles trouveraient plus ardu de tracer les lignes éthiques. Pourtant, rappelle M. Belkhelladi, une utilisation peu éthique des données peut causer des dommages commerciaux, financiers et de réputation majeurs. Un rapport de Deloitte, publié en 2017, indique que 90 % des consommateurs canadiens mettraient fin à leur relation avec une organisation s’ils apprenaient que celle-ci utilise leurs données de manière non éthique.
« Il ne suffit pas de suivre la loi; il faut que l’entreprise se dote d’un code de gouvernance solide de gestion et de protection des données et que celui-ci soit bien appliqué », ajoute M. Belkhelladi.
Tester ses défenses
Bien sûr, à cela s’ajoutent les moyens de défense technologiques pour se protéger des attaques de l’extérieur. Les grands cabinets comptables utilisent toute la panoplie de cryptage des données, de pare-feu, de VPN sécurisés pour le travail à distance, de systèmes de double ou de triple authentification, de protection des réseaux sans fil, etc. Ils se chargent aussi eux-mêmes d’aider les clients à protéger leurs données.
Deloitte leur offre des conseils stratégiques pour y arriver, mais le cabinet effectue aussi de la surveillance de menaces en temps réel. À Montréal, une équipe d’une centaine de personnes veille à distance sur les systèmes des clients. En cas d’attaque, ils les préviennent, les aident à se défendre et à récupérer les données éventuellement compromises. Au total, près de 800 personnes jouent ce rôle pour Deloitte au Canada.
En septembre 2018, la firme s’associait au Mouvement Desjardins, à la Banque Nationale et au Groupe RHEA pour créer CyberEco. Cet organisme vise à établir au Québec un collectif de talents et d’expertise en cybersécurité, afin notamment d’aider les PME à se protéger.
La formation est la clé
Le volume et la fréquence des échanges de données entre les firmes comptables et leurs clients augmente aussi fortement. « Chez nous, cela ne se fait pas par courriel, mais à l’intérieur d’un site sécurisé partagé avec notre client et muni d’un outil de gestion de projet », explique Marc Fournier, associé spécialisé en TI de PwC, au Québec. Les données sont cryptées pendant tout le mandat et seules les personnes qui travaillent à ce mandat y ont accès. Puis, 90 jours après la fin du mandat, ces données sont archivées et ne sont plus accessibles qu’en mode lecture. Elles restent réservées aux personnes qui ont travaillé sur ce projet.
La formation des employés et de la direction est cruciale en protection de données. « On est aussi bon que notre maillon le plus faible », rappelle Emilio Imbriglio, président et chef de la direction chez RCGT. Il ajoute que si l’on ne peut empêcher un courriel de se rendre aux employés, on peut former ces derniers pour détecter les tentatives d’hameçonnage et autres coups fourrés.
Pour y arriver, les grands cabinets organisent eux-mêmes des tentatives d’hameçonnage auprès de leurs employés. Ils interviennent auprès de ceux qui se font prendre en vue de parfaire leur formation. Ils offrent le même type de service à leurs clients afin d’évaluer, sur une base régulière, leur degré de préparation aux tentatives d’intrusion.
Reste que les entreprises canadiennes ont encore du chemin à faire. « Aux États-Unis, les grandes entreprises se sentent très exposées aux attaques ainsi qu’aux recours collectifs qui peuvent les viser en cas de pertes de données, et elles ont tendance à être très actives pour se protéger, explique René Vergé, directeur principal, Cybersécurité et vie privée chez PwC. Au Canada, elles ont tendance à attendre que des réglementations les obligent à modifier leurs méthodes. »
Elles devraient pourtant s’y mettre. En août 2016, une étude réalisée pour Malwarebytes auprès d’entreprises américaines, allemandes, britanniques et canadiennes montrait que ces dernières payent le plus de rançons à la suite des attaques au rançongiciel. Elles comptent aussi parmi celles qui paient les rançons les plus élevées et perdent le plus de données en cas de refus de paiement.