Les menaces de cybersécurité évoluent et remodèlent continuellement le milieu des affaires. En plus de nuire à la capacité de votre entreprise de mener ses activités, les failles peuvent compromettre la propriété intellectuelle ainsi que les renseignements du personnel et des clients. Elles peuvent aussi causer des dommages durables d’ordre juridique et réputationnel à votre cabinet de services professionnels.
Hausse de la fréquence des attaques, qui par ailleurs gagnent en sophistication : les entreprises deviennent des cibles plus intéressantes aux yeux des cybercriminels, qui visent principalement les PME. En fait, un rapport publié par le Globe & Mail en 2017 a dénoté que les petites entreprises représentent plus de 70 % des cibles de fuites de données. Ce chiffre a fort probablement augmenté au cours des cinq dernières années et la tendance ne risque pas de se renverser, considérant les efforts déployés par les entreprises pour répondre aux exigences de l’après-pandémie.
En tant que propriétaire ou associé d’un cabinet de services professionnels, vous jouez un rôle central dans la mise en place d’une stratégie de résilience en cybersécurité. Les quatre recommandations suivantes montrent à quel point votre apport est crucial dans l’élaboration de politiques et de mesures de gouvernance névralgiques, ainsi que dans la conception d’une stratégie de cybersécurité proactive et exhaustive.
Prenez garde à la complaisance
La cybersécurité est une cible en mouvement; de nouveaux risques et de nouvelles menaces ne cessent d’émerger. Les mesures prises par le passé constituent un bon point de départ, mais vous devez faire preuve de vigilance et être proactif au moment d’évaluer et d’atténuer les vulnérabilités, sinon vous allez vous faire prendre.
« Les organisations, comme les personnes, ont tendance à choisir l’option la plus simple, souligne Danny Timmins, leader national, Cybersécurité chez MNP. Les propriétaires de cabinet de services professionnels investissent souvent de grandes sommes pour renforcer leur cybersécurité et mettent le tout de côté après réception d’un diagnostic satisfaisant. »
Souvent, la cybersécurité ne refait l’objet de discussions que lorsque le cabinet subit une attaque ou qu’il en évite une de justesse, ou alors lorsqu’une menace hautement médiatisée nous touche de près. M. Timmins prévient que la complaisance peut s’avérer particulièrement coûteuse dans le cas d’une attaque par logiciel rançonneur.
Pour éviter ce piège, il recommande aux cabinets de services professionnels d’investir dans des examens de cybersécurité et de confidentialité tous les ans. Le processus est généralement assez simple et révèle rarement un besoin pour d’importants travaux, à moins que le cabinet n’ait subi des changements majeurs. Au mieux, les dirigeants auront l’esprit tranquille, sachant que les priorités, les politiques et les contrôles fonctionnent correctement et qu’ils tendent dans la bonne direction.
Cependant, M. Timmins précise que s’il existe un moment idéal pour prendre connaissance d’une vulnérabilité de logiciel ou de nouveaux risques qui ne sont pas couverts par la stratégie de cybersécurité, c’est lors de ces examens.
« Ce genre de problèmes a l’effet d’une bombe à retardement, prévient-il. On a beau le dire à outrance, mais dans ce cas, il vaut véritablement mieux prévenir que guérir. »
Préconiser une approche globale
Une autre erreur courante consiste à déléguer la responsabilité de la cybersécurité à l’équipe interne ou externe de technologies de l’information. C’est qu’on croit souvent, à tort, que piratage et logiciels malveillants sont des problèmes de technologie, et donc que les spécialistes TI sont les mieux placés pour les régler.
« Nous pensons à la cybersécurité en termes de personnes, de procédés et de technologie, renchérit M. Timmins. Concentrer toutes vos ressources sur la technologie sans tenir compte des personnes et des procédés reviendrait à installer des caméras haute définition autour de votre maison pour ensuite laisser les portes et les fenêtres ouvertes pendant votre absence. »
Cela ne devrait toutefois pas réduire le rôle crucial des TI dans la prévention et la gestion d’incidents liés à la cybersécurité. Il s’agit plutôt de mettre l’accent sur l’importance des autres rôles. Tout le monde, de la réception à la direction, ayant accès au réseau de l’entreprise représente une porte d’entrée potentielle qu’un pirate informatique pourrait tenter d’exploiter. Selon M. Timmins, c’est là que les personnes et les procédés entrent en jeu.
« L’erreur humaine est très souvent à l’origine des attaques. Pour compromettre le réseau, il suffit qu’une seule personne clique sur un lien d’hameçonnage, qu’elle branche une clé USB retrouvée sur le plancher, qu’elle se connecte à un réseau public à partir de son ordinateur de bureau ou qu’elle réutilise un mot de passe compromis lors d’une attaque non apparentée. »
Rédiger une politique n’est pas aussi excitant que de se procurer le nouvel outil de détection de menaces propulsé par l’IA, mais M. Timmins est d’avis qu’il s’agit d’un excellent moyen pour tout propriétaire ou leader de cabinet de services professionnels de rentabiliser son investissement en cybersécurité.
« Fixez des lignes directrices précises. Sensibilisez vos employés sur l’utilisation responsable de la technologie. Faites-vous entendre clairement et fréquemment. Rappelez-leur que la cybersécurité est la responsabilité de tous et les raisons pour lesquelles elle devrait représenter une priorité dans leur quotidien », ajoute M. Timmins.
Pensez cybersécurité
Selon la nature de votre entreprise, vous cherchez sans doute à ce que votre équipe de direction possède certaines compétences. Un sens des affaires aiguisé, une connaissance du droit, de l’expérience en finance et en stratégie, voire une formation exhaustive dans le domaine de la santé. Étant donné l’importance d’une politique efficace pour atténuer les cyberrisques, il pourrait être opportun d’intégrer une expertise en cybersécurité et en technologie dans votre entourage, du moins à temps partiel.
« Un expert en cybersécurité peut être un allié inestimable lors des rencontres de direction, particulièrement quand on sait que de plus en plus d’entreprises adoptent l’infonuagique et subissent des transformations numériques », souligne M. Timmins.
Tout comme l’erreur humaine, les applications tierces et les fournisseurs externes sont des sources de risques courantes pouvant rendre les organisations vulnérables. En sachant qu’on peut compter sur une personne qui connaît les pièges et qui est capable de poser les bonnes questions aux fournisseurs et aux conseillers TI, on s’épargne bien des problèmes potentiellement stressants et coûteux dans nos relations d’affaires.
« Certains risques liés aux parties tierces sont inévitables et font tout simplement partie de la migration à l’infonuagique, ajoute M. Timmins. Cela dit, on peut seulement anticiper les risques qu’on connaît — c’est justement là qu’un conseiller en cybersécurité peut s’avérer utile. »
Selon lui, une réglementation de plus en plus complexe constitue une autre source de préoccupations pouvant grandement bénéficier d’une expertise. Les lois changent rapidement, lesquelles s’accompagnent de pénalités de plus en plus salées en cas de non-conformité. Il est essentiel de compter dans vos rangs un expert qui veille à ce que les politiques et les processus répondent aux critères d’une panoplie d’exigences gouvernementales, selon le lieu de résidence et de travail des clients et des employés.
« Chaque organisation doit mener ses activités en supposant qu’elle sera la cible d’attaques à un moment ou à un autre. Certaines personnes se contenteront de vous dire ce que vous voulez entendre. C’est bien mieux de pouvoir compter sur un expert qui a fait ses preuves, quelqu’un qui a votre entreprise et votre succès à cœur. »
Attendez-vous au pire
Il peut être désolant d’apprendre qu’une organisation a tout fait ce qu’il fallait et qu’elle est quand même victime d’une cyberattaque. La crème de la crème en technologie, en politiques et en formation peut réduire de façon importante le risque de faille, mais ne fournit aucune garantie.
Un relâchement momentané par un membre de l’équipe, une vulnérabilité de logiciel qui n’a pas encore été découverte ou un pirate informatique extrêmement persistant peuvent outrepasser les meilleures mesures en cybersécurité. C’est pourquoi M. Timmins est d’avis que chaque organisation doit agir en supposant que ses systèmes seront compromis et prendre des mesures en conséquence.
« La réponse à une attaque est toute aussi importante que la prévention. Cela ne veut pas seulement dire d’avoir en place une stratégie de réponse aux incidents, mais de la mettre fréquemment à l’épreuve dans des situations aussi réalistes que possible. »
Il ajoute qu’un bon plan répond aux questions suivantes de façon claire et détaillée :
- Comment et à qui signaler une faille?
- À quel moment appeler un conseiller externe pour contenir et résoudre la faille?
- À quel moment communiquer avec des avocats et des conseillers en relations publiques?
- Comment documenter et faire rapport aux organismes de réglementation?
- Comment communiquer avec le personnel et les parties concernées?
Le jour où un incident surviendra, chaque étape du processus sera bien comprise par les intervenants et leur viendra naturellement.
M. Timmins prévient du même souffle que le cabinet de services professionnels doit prendre certaines mesures pour se préparer. Pensons aux sauvegardes hors ligne et dans un emplacement distinct qui permettraient à l’entreprise de rétablir une portion de son réseau et de maintenir la continuité de l’exploitation, ainsi qu’à l’achat d’une police d’assurance pour récupérer une partie des éventuels frais juridiques et des coûts liés à l’interruption et à la reprise des activités.
« Les cyberrisques sont des risques d’entreprise, nous rappelle M. Timmins. Les propriétaires et les associés de cabinets de services professionnels doivent donner le ton quant à l’atténuation et à la gestion de ce problème grandissant. »
Après tout, s’ils ne sont pas prêts à accepter le pire, on peut difficilement s’attendre à ce que les autres le fassent.
Danny Timmins, CISSP, est leader national, Cybersécurité chez MNP. Pour en apprendre davantage sur les manières de protéger votre cabinet de services professionnels contre les plus récentes cybermenaces, communiquez avec lui au 905.247.3290 ou à [email protected]