Implanter une politique de cyberdéfense pour éviter le pire
Quelles mesures une PME doit-elle implanter pour se protéger contre les cyberattaques ?
« Avant de changer quoi que ce soit, il faut identifier les systèmes, données, actifs, applications et fournisseurs critiques aux opérations de l’entreprise, explique Guillaume Caron, présidentdirecteur général de VARS, division en cybersécurité de Raymond Chabot Grant Thornton. Et ça passe par une évaluation de la posture de sécurité, ou audit. »
On confie une telle opération à un expert. On parle ici d’une dépense de quelques milliers à plusieurs dizaines de milliers de dollars, selon la taille et la complexité de l’entreprise.
NORMES À RESPECTER
Une fois déterminés les risques, les écarts, les vulnérabilités, les lacunes et les contrôles que l’on souhaite implanter, on peut se donner un objectif, comme se conformer à une norme de cybersécurité (par exemple ISO 27001 ou DSS).
« De nos jours, il est incontournable d’investir pour se conformer à de telles normes, tranche Frédéric Bove, directeur général de Prompt, un regroupement sectoriel de recherche en TI. Sinon, tôt ou tard, vous allez perdre des contrats, peu importe la taille de votre entreprise. » Évidemment, le choix d’une norme dépend du secteur d’activité et des opérations visées (production, distribution, commerce en ligne, gestion…).
QUI FAIT QUOI ?
L’étape suivante, c’est d’appliquer la nouvelle stratégie soi-même, si on dispose de l’expertise interne, ou avec un spécialiste. L’important, c’est d’établir une politique claire, facile à comprendre et à implanter. « Elle doit expliquer les processus à suivre avant, pendant et après un incident de sécurité », poursuit M. Caron. Par exemple :
• Y a-t-il un responsable attitré à la sécurité ?
•Comment sont réalisées les vérifications ?
• Comment gère-t-on les copies de sécurité, à quelle fréquence, qui les vérifie ?
Évidemment, l’élément humain est au coeur d’une bonne stratégie de cyberdéfense. Et la politique de l’entreprise abordera la formation et la responsabilisation des employés.
Autre élément important : la surveillance axée sur la détection des menaces en temps réel sur 24 heures. On peut simplement implanter une application, comme Sentinelone, ou faire appel à un centre de surveillance. Il faudra prévoir un budget mensuel de quelques centaines à plusieurs milliers de dollars par mois.