Par Lisa Carroll, responsable du secteur public canadien, Microsoft Canada
Notre série « Demandez à l’expert » met en valeur des personnalités connues du secteur public qui nous expliquent comment leurs entreprises adoptent les nouvelles technologies pour améliorer leur fonctionnement et se préparer à l’avenir. Dans cet épisode, nous traitons du gouvernement de l’Alberta.
Il y a trois ans, le gouvernement de l’Alberta était à peine présent dans l’environnement infonuagique. La pandémie l’a obligé à réaliser rapidement une transformation numérique pour permettre le travail à distance et répondre aux besoins de ses citoyens. Plusieurs préoccupations en matière de sécurité ont accompagné cette transformation technologique, notamment en raison d’une plus grande compréhension de la cybersécurité d’aujourd’hui et de la couverture médiatique persistante des cyberattaques, non seulement au Canada, mais dans le monde entier. En outre, la transition vers le nuage exige un changement de comportement et de culture, possiblement l’un des aspects les plus difficiles de la mise en œuvre d’un nouveau plan de cybersécurité.
Martin Dinel, sous-ministre adjoint et chef de la sécurité de l’information de la division des services de cybersécurité de Service Alberta, nous parle de la façon dont le gouvernement a transformé un système hérité en environnement numérique pour plus de 30 000 utilisateurs.
Quelle était la principale priorité de votre équipe dans ce projet de transformation numérique?
Alors que nous modernisions nos systèmes et nos processus, la sécurité était au cœur de nos préoccupations. Nous avons une stratégie proactive de sécurité numérique, plutôt que réactive, pour cibler les menaces à l’avance. À cette fin, l’équipe a mis en place une mesure proactive essentielle : l’authentification multifacteur. Ainsi, les pirates informatiques ne peuvent pas s’introduisent dans le système sans d’abord s’authentifier. Avec cette procédure de contrôle pour les employés, ainsi que les systèmes de détection des fraudes par analyse du comportement et d’autres outils automatisés, nous protégeons l’identité des utilisateurs de manière proactive afin d’atténuer les menaces évolutives pour la sécurité.
L’équipe s’est aussi concentrée sur la réinstauration de la cyberhygiène de l’organisation – l’un des aspects les plus négligés d’une stratégie informatique. Il s’agit de former les équipes à penser de manière proactive à la cybersécurité. Il est important aussi de procéder régulièrement à des sauvegardes, à des formations, à une gestion des correctifs et à une discrétion numérique. Ces mesures contribuent toutes à maintenir la santé et la sécurité des utilisateurs, des appareils, des réseaux et des données. Le fait d’intégrer ces pratiques à notre routine nous a permis de diminuer les brèches de sécurité informatique.
Quel rôle votre culture interne a-t-elle joué dans la réussite de ce projet?
L’un des piliers de notre stratégie consiste à accroître la sensibilisation à la sécurité de l’information. Nous avons offert une formation sur la nouvelle technologie non seulement à notre équipe technique de cybersécurité, mais aussi à tous les employés pour les habiliter à reconnaître les cybermenaces et à agir afin de protéger notre organisation. Le fait de nous assurer que tous les employés comprennent comment leurs actions peuvent nuire à l’organisation, et savent comment repérer les menaces et à qui les signaler fait partie de notre plan global en matière de cybersécurité. Les membres de nos équipes ont désormais conscience que la cybersécurité incombe à tous et à toutes, et qu’ils ont un rôle à jouer pour protéger les données organisationnelles et personnelles.
Ainsi, il est primordial de se concentrer sur les bases techniques d’une bonne cyberhygiène, mais aussi sur l’aspect humain. Lorsque tous les utilisateurs comprennent l’incidence de leurs actions sur l’ensemble du groupe, nous sommes plus à même de nous protéger contre les menaces complexes qui gagnent en nombre.
Pour intégrer cette culture en interne, le gouvernement a rendu obligatoire la formation annuelle sur la cybersécurité pour tout le personnel, dont le contenu est court et régulièrement actualisé. De plus, le service de cybersécurité effectue chaque année des tests de manipulation psychosociale (par exemple, d’hameçonnage) pour évaluer l’efficacité du programme de formation et déterminer les points à améliorer.
La transformation numérique est un processus continu, mais si l’on considère les deux dernières années, quel élément considérez-vous comme une grande réussite?
Notre équipe s’est efforcée de mettre en œuvre cette nouvelle technologie pour que nos opérations soient concurrentielles et actuelles. Les pratiques courantes du gouvernement se font désormais dans un cadre numérique – 95 % de nos nouvelles solutions sont sécurisées dans le nuage.
Nous en retirons incontestablement des avantages, comme l’évolutivité, la rapidité, la souplesse et des coûts réduits, qui nous aident à répondre au besoin urgent de services numériques aux citoyens. Ils nous permettent aussi d’offrir un cadre de travail hybride à un personnel qui travaillait exclusivement en présentiel il y a tout juste deux ans. Le nuage favorise des activités résilientes et solides, mais nous avons néanmoins besoin d’une base sécurisée pour construire une infrastructure numérique moderne.
Depuis que nous avons modernisé nos systèmes avec des outils de sécurité de Microsoft, nous avons bloqué au moins 1 000 attaques par mois. Le fait de disposer de la technologie et du talent pour cibler efficacement les menaces et protéger les citoyens de l’Alberta constitue un gain incroyable, alors que nous poursuivons cette transformation et cherchons à étendre nos plateformes numériques pour le public.
