La gestion du risque en entreprise : PLEINS FEUX SUR LA CYBERSÉCURITÉ

Cybersecurity

Conversation avec Paul Laurier, Chef de la direction, Groupe Vigitek

Depuis quelques temps déjà, les gestionnaires de partout s’échangent les bonnes pratiques pour faire face aux changements qui façonnent l’environnement de travail, de la mobilité croissante des employés, à la numérisation et l’automatisation des activités principales des entreprises, en passant par la disponibilité des services et des produits financiers offerts en ligne. Cela étant dit, il est d’autant plus primordial de ne surtout pas perdre de vue l’acteur de risque principal qui influence intrinsèquement le paysage moderne des entreprises à l’ère digitale : la cybersécurité.

Plus que jamais, les données sont devenues la monnaie courante la plus prisée (et lucrative). Malgré qu’on puisse croire être à l’abri d’une attaque, personne n’y échappe. Et avec la quasi-totalité des entreprises ayant effectué la transition de leurs données vers le Cloud, il est important de choisir un partenaire de confiance, tel que Microsoft, pour qui la cybersécurité, et donc la protection de ses clients, sont des priorités.

Pour mieux approfondir le sujet et la façon par laquelle la notion de cybersécurité influencera vos prochaines décisions d’affaires, M. Brian Cann, Directeur régional, est du Canada chez Microsoft, discute avec M. Paul Laurier, fondateur et chef de la direction chez Groupe Vigitek.

BC : La sécurité se complique de plus en plus et les enjeux sont omniprésents et augmentent perpétuellement, mais de nombreuses entreprises ne disposent pas des ressources nécessaires pour répondre à leurs besoins en matière de sécurité. Comment sensibiliser les gestionnaires?

PL : Tout d’abord, il faut comprendre que la sécurité informatique est de plus en plus complexe et c’est un phénomène qui est constamment transformatif. Nous sommes à l’âge d’or de cette évolution.

Encore aujourd’hui, les entreprises adoptent une stratégie qui se veut davantage curative plutôt que préventive. C’est là la première erreur qui peut être néfaste pour une entreprise.

Avec la multiplication des types de menaces, et la rapidité à laquelle se font les échanges en ligne, il faut donc considérer la cybersécurité comme étant une problématique d’affaires prioritaire, et plus particulièrement comme faisant partie de sa stratégie de gestion du risque globale. Comme toute stratégie, ceci nécessite inévitablement un investissement. Certes, cela peut paraître comme une montagne à surmonter au début, mais cela est maintenant devenu un incontournable afin d’assurer la pérennité et la santé de son entreprise.

Comme vous pouvez imaginer, à notre ère digitale, les conséquences sont non seulement plus considérables, mais peuvent s’avérer immesurables; pensons à l’atteinte à votre réputation en raison de la perte de confiance auprès de vos consommateurs qui est, une fois brimée, difficile à rebâtir. Il est donc important de penser à une stratégie de cybersécurité comme étant une stratégie de gestion du risque à développer en amont, pour éviter les coûts futurs qu’une telle brèche pourra engrener.

D’autant plus, il s’avère nécessaire d’instaurer réellement une culture d’entreprise autour de la cybersécurité, et ceci commence tout d’abord au niveau de la haute direction.

En fait, en sachant que l’employé est au cœur des opérations d’une entreprise, il en encombra au gestionnaire non seulement d’informer, mais également de former continuellement ses équipes relativement aux plans et aux politiques mises en place en ce qui a trait à sa stratégie de cybersécurité. Parallèlement, il est nécessaire de mettre en place un code de conduite et des plans de contingence. C’est ainsi que l’employé aura des balises claires et précises dans lesquels il pourra exercer ses fonctions : il saura ainsi concrètement appliquer les plans et les politiques, mais surtout, il saura faire des suivis ou vous alarmer en cas de malveillance.

BC : L’hameçonnage s’avère à être la problématique numéro 1 en cybersécurité en entreprise. Par exemple, Microsoft analyse plus de 6.5 billions de signaux par jour pour assurer la sécurité de ses clients globalement. De plus, Microsoft, à elle seule, bloque 5 milliards menaces distinctes malveillantes par mois avec, entre autres avec Windows Defender AV et ce, parmi les 400 milliards de courriels et sites suspects analysés par mois! Comment responsabiliser les employés au sein de notre entreprise afin d’éviter d’être victime de «phishing»?

PL : Il est d’une importance primordiale de conscientiser et de responsabiliser ses employés. Il faut toujours se rappeler que ce sont des individus qui posent l’acte et qui ouvrent la porte à une brèche, malgré que cela puisse être simplement par manque de vigilance. Prenons par exemple les mots de passe. Les employés, de manière tout à fait insouciante, utilisent le même mot de passe. Ceci rend la tâche facile pour un hacker.

BC : En effet, c’est chose trop commune en entreprise. En termes de cybersécurité, Microsoft a comme mission d’éduquer les entreprises et ses partenaires sur le phishing. Prenons comme exemple de naviguer sur les hyperliens pour vérifier une URL avant d’y accéder, ou même simplement de vérifier les erreurs de grammaire ou d’orthographe à même les courriels et d’activer l’authentification multiple. D’un point de vue global, à nous seul, Microsoft effectue plus de 450 milliards authentifications par mois sur tous nos services Cloud. De plus, avec l’aide de l’intelligence artificielle, nous avons instauré les password-less login qui usent d’outils de profilage et d’analyses de comportements pour mettre fin aux mots de passe.

PL : C’est super! Les mots de passe sont trop souvent redondants et faciles à deviner pour les malfaiteurs.

BC : Sachant que la cybersécurité est fondamentalement un investissement à long terme, si une organisation ne devait faire qu’une chose pour améliorer sa sécurité, que lui conseillez-vous pour débuter? Par exemple, d’un point de vue d’entreprise, ce que nous recommandons absolument à nos partenaires est d’évaluer et de statuer tout d’abord son état actuel de sécurité avec Secure Score. Avec cet outil de mesure que nous avons développé, une fois la situation mesurée, une entreprise pourra ainsi avoir une meilleure visibilité sur les facettes qu’elle devra améliorer. Par exemple, cet outil permet de fournir premièrement de la visibilité, et ensuite prodigue des conseils judicieux pour avoir un contrôle accru sur les enjeux à risque en matière de sécurité en entreprise. En bref, ce premier diagnostic les aide à savoir où elle devra améliorer sa sécurité.

PL : C’est en effet une première étape primordiale: avant d’entamer la mise sur pied d’une stratégie en cybersécurité, il faut savoir où notre entreprise se situe, que ce soit pour identifier ses points forts mais plus important encore, ses points vulnérables. Ensuite, il va sans dire qu’une PME a une réalité différente de celle d’une multinationale, et c’est tout d’abord une question de s’adapter à son environnement. La première étape est incontestablement d’identifier le bon partenaire technologique en qui nous pouvons faire confiance. Pour édifier une stratégie robuste et complète en matière de cybersécurité à l’interne, ce n’est pas toute entreprise qui a nécessairement l’infrastructure pour instaurer une équipe interne à temps plein ou même, qui a accès à du personnel TI qualifié. Si c’est le cas, faites appel à des consultants externes qui sauront vous accompagner et bâtir votre stratégie sur-mesure en matière de sécurité.

Ensuite, que ce soit à l’interne ou via une firme externe, il faut également être en mesure d’identifier ce qui est le plus pertinent pour son organisation afin que la stratégie soit efficace. On peut ainsi suivre ces étapes :

  1. Identifier les particularités de son environnement de travail et la façon par laquelle les équipes travaillent avec les outils technologiques
  2. Identifier les enjeux pour chacun des outils technologiques et adapter ses pratiques d’affaires en conséquence
  3. Sensibiliser et former les gestionnaires & ses employés aux menaces auxquelles ils feront face
  4. Monitorer et évaluer régulièrement les pratiques
  5. Adapter les protocoles en place pour suivre les tendances

De la gestion des mots de passe, à la reconnaissance vocale et optique, il est important pour les entreprises d’implanter des solutions technologiques adaptées selon leur réalité.

BC : Microsoft offre des solutions intégrées efficiente pour Microsoft 365 qui englobe courriels, PCs, documents, identités et toute l’infrastructure d’une entreprise Avec les différentes solutions disponibles sur le marché et la complexité du sujet, conseillez-vous faire affaires avec des firmes externes pour la mise en place de ces dites solutions, ou est-ce qu’il est plus bénéfique d’instaurer des systèmes personnalisés et d’avoir un département à l’interne?

PL : Sachant les enjeux et risques reliées à la virtualisation des données, il faut savoir qu’il y a des solutions existantes de plus en plus performantes sur le marché. L’important est d’identifier la technologie adéquate pour notre entreprise et la bonne personne (ou la bonne équipe) pour assumer la responsabilité d’analyser le tout. C’est ainsi qu’un gestionnaire décidera ce qui sera le plus rentable et avantageux pour son entreprise.

BC : De nos jours, en raison de la multitude des types de brèches, des points d’accès et de la rapidité des échanges, une équipe composée d’être humains ne peut pas à elle seule gérer la sécurité de son entreprise… il faut indubitablement faire appel à la technologie pour combattre les nombreuses menaces, sinon nous nous laissons absolument vulnérables! Comme de fait, des recherches menées par le cabinet d’analyse indépendant américain Entreprise Management Associates (EMA) ont révélé que 88% des organisations reçoivent jusqu’à 500 alertes par jour qui sont classées comme « graves » ou « critiques ». Rajoutons à cela que 60% de ces mêmes organisations n’ont que trois à cinq employés à temps plein pour traiter ces alertes. Vraisemblablement, uniquement 25% (ou moins) des alertes signalées quotidiennement sont enquêtées car c’est évidemment un trop grand volume d’alertes pour un si petit nombre d’employés ETP dédiés à la sécurité de leur entreprise. Cela nous amène donc à l’importance de l’automatisation en cybersécurité afin de traiter rapidement une alerte avant que cela n’escalade en une brèche compromettante pour l’entreprise. Avec l’automatisation qui est dorénavant intégrée aux solutions Microsoft, telles que Microsoft Defender ATP, cela permet à une entreprise d’enquêter systématiquement les alertes et de réparer les menaces complexes en quelques minutes seulement.

PL : Oui! L’automatisation est aujourd’hui un réel must pour compléter l’équipe de sécurité. Il y a tout simplement un trop grand nombre de menaces possibles pour que cela soit traité manuellement à temps par des humains qualifiés. Mais avant tout, ce qu’il faut retenir c’est que peu importe le choix de la technologie à implanter et le choix du dirigeant de faire appel à un expert externe ou interne, il faut se rappeler que ce n’est pas parce que la stratégie est montée qu’elle est implantée. Il sera des plus nécessaires de suivre continuellement l’évolution des activités pour rapidement détecter une menace sur le réseau, identifier les anomalies et ainsi adapter les solutions en conséquence. En ayant le bon partenaire et la bonne technologie en place, accompagnée d’une personne dédiée qui veille complètement à la cybersécurité de son entreprise, vous saurez ainsi déployer les bons produits pour résoudre la problématique.

Finalement, n’oubliez pas de mandater votre expert TI pour tester différents scénarios et simulations, et le temps de réponse aux tentatives d’hameçonnage et ce, de manière répétitive. Voilà la clé du succès contre la cyberguerre.

Pour des décisions d’affaires éclairées

Si ce n’est pas déjà le cas, il va s’en dire que la cybersécurité doit faire partie intégrante de votre culture d’entreprise. D’ici 2022, pour l’économie mondiale, le coût de la cybercriminalité devrait s’élever à 8 billions de dollars. Un montant choc pour certains, certes, mais il va s’en dire que n’importe qui – de la PME locale à la grande multinationale, – est à risque d’être le sujet d’une prochaine attaque. En comprenant que la notion d’une stratégie de cybersécurité est tout simplement un sous-produit de l’évolution de l’environnement de travail de votre entreprise, votre entreprise en bénéficiera sur le court, moyen et long-terme.

Comme le mentionne Paul Laurier, « La cybersécurité a évoluée au même titre que le nombre grandissant des menaces y associées. Peu importe la taille de votre entreprise, mettez en place des mesures pour protéger vos données et vos informations! On le sait tous, cela prend des années à bâtir une entreprise profitable et une réputation enviable, mais uniquement quelques minutes à détruire. »

La cybersécurité en entreprise est un sujet ultra complexe et en constante évolution. Familiarisez-vous davantage sur comment l’équipe spécialisée de Microsoft a développé et sélectionné les outils pour son Centre des Opérations de Sécurité (SoC): https://www.microsoft.com/security/blog/2019/10/07/ciso-series-lessons-learned-from-the-microsoft-soc-part-3a-choosing-soc-tools/

 

Related Posts