Implanter une politique de cyberdéfense pour éviter le pire
Même avec les meilleurs logiciels, les employés doivent être sensibilisés
Quelles mesures une PME doit-elle implanter pour se protéger contre les cyberattaques ?
« Avant de changer quoi que ce soit, il faut identifier les systèmes, données, actifs, applications et fournisseurs critiques aux opérations de l’entreprise, explique Guillaume Caron, présidentdirecteur général de VARS, division en cybersécurité de Raymond Chabot Grant Thornton. Et ça passe par une évaluation de la posture de sécurité, ou audit. »
On confie une telle opération à un expert, pas au beau-frère ou au responsable des TI, qui n’a souvent pas le recul approprié pour déceler les failles recherchées. On parle ici d’une dépense de quelques milliers à plusieurs dizaines de milliers de dollars, selon la taille et la complexité de l’entreprise.
NORMES À RESPECTER
Une fois déterminés les risques, les écarts, les vulnérabilités, les lacunes et les contrôles que l’on souhaite implanter, on peut se donner un objectif, comme se conformer à une norme de cybersécurité (par exemple ISO 27001 ou DSS).
« De nos jours, il est incontournable d’investir pour se conformer à de telles normes, tranche Frédéric Bove, directeur général de Prompt, un regroupement sectoriel de recherche en TI. Sinon, tôt ou tard, vous allez perdre des contrats, peu importe la taille de votre entreprise. » Évidemment, le choix d’une norme dépend du secteur d’activité et des opérations visées (production, distribution, commerce en ligne, gestion…).
QUI FAIT QUOI ?
L’étape suivante, c’est d’appliquer la nouvelle stratégie soi-même, si on dispose de l’expertise interne, ou avec un spécialiste. Ce dernier va aider à fournir et gérer les technologies appropriées, à écrire les politiques de cybersécurité et à offrir des conseils pour les processus de gestion.
L’important, c’est d’établir une politique claire, facile à comprendre et à implanter. « Elle doit expliquer les processus à suivre avant, pendant et après un incident de sécurité », poursuit M. Caron. Par exemple :
• Y a-t-il un responsable attitré à la sécurité ?
•Comment sont réalisées les vérifications ?
• Comment gère-t-on les copies de sécurité, à quelle fréquence, qui est le responsable, qui les vérifie ?
• Qui forme le comité de gestion de risque et à quelle fréquence se réunit-il ? Évidemment, l’élément humain est au coeur d’une bonne stratégie de cyberdéfense. Et la politique de l’entreprise abordera la formation et la responsabilisation des employés.
« Un programme de sensibilisation et de formation routinière est incontournable, poursuit M. Caron. Tous les employés doivent comprendre les menaces et maîtriser les bons comportements. La politique prévoit des contenus poussés
et adaptés aux employés clés, membres du conseil d’administration et équipes techniques. »
SURVEILLANCE
Autre élément important de toute stratégie de cyberdéfense : la surveillance axée sur la détection des menaces en temps réel sur 24 heures. Les PME sont habituellement très peu outillées en ce domaine. Une telle surveillance détecte pourtant les comportements anormaux (vol de données, hameçonnage, attaques de rançon).
On peut simplement implanter une application, comme SentinelOne, ou faire appel à un centre de surveillance. Il faudra prévoir un budget mensuel de quelques centaines à plusieurs milliers de dollars par mois, quel que soit le nombre d’employés.
« J’ai des clients qui bénéficient de ce service et qui n’ont qu’un seul poste de travail », révèle Guillaume Caron.