Les 5 paradoxes du monde insolite de la cybersécurité

Publié le 18/05/2023 à 11:00

Les 5 paradoxes du monde insolite de la cybersécurité

Publié le 18/05/2023 à 11:00

Au Canada, 4 entreprises sur 10 ont été victimes d’une cyberattaque, dont seulement le quart étaient assurées. (Photo: 123RF)

EXPERT INVITÉ. On mentionne souvent le manque de main-d’œuvre qualifiée, la complexité technologique, les coûts élevés et une plus longue période de recouvrement de l’investissement comme des freins à la transformation numérique des entreprises. Celles-ci ne sont pas au bout de leurs peines avec l’avènement d’un autre facteur qui s’est récemment ajouté à la liste : les besoins urgents en cybersécurité.

Cela s’ajoute sur la pile des enjeux critiques des propriétaires d’entreprise qui ne cessent d’augmenter. Bon nombre d’entrepreneurs se demandent d’ailleurs quand cela va s’arrêter. Quand ce n’est pas la main-d’œuvre, ce sont les chaînes d’approvisionnements, l’augmentation des coûts, la hausse des taux d’intérêt, l’accès aux marchés étrangers, la règlementation environnementale et autre souci du mois.

C’est aussi simple que cela : il n’y a pas de transition numérique réussie sans des investissements et des changements culturels à l’égard de la cybersécurité.

Pis encore, c’est qu’avec la cybersécurité, votre instinct de dirigeant ne vous sert finalement pas à grand-chose. Les réflexes qui ont fait votre succès en affaires peuvent maintenant vous trahir et vous mettre encore plus dans le pétrin.

Le moins que l’on puisse dire, c’est que le domaine de la cybersécurité est plutôt contre intuitif.

Il faudra considérer cet état de fait avec humilité, et accepter de se faire accompagner pour demeurer du bon côté de l’équation numérique. Ce qui me fait dire que la cybersécurité est finalement un monde de paradoxes.

Je vous propose donc 5 paradoxes à considérer :

1. Les PME sont davantage des proies que les grandes entreprises

2. Les entreprises les plus numérisées sont les plus vulnérables

3. Les entreprises qui se protègent économisent comparativement à celles qui réagissent

4. La brèche fatale provient plus de l’erreur humaine que d’une protection technologique insuffisante

5. L’investissement dans l’humain est plus important que dans les technologies défensives sophistiquées

 

Le premier paradoxe veut que ce sont maintenant de plus en plus les PME qui font les frais des pirates informatiques et non les grandes entreprises. Comme le dit Maxime Dion, expert et président de MS Solutions, « La question n’est plus si nous subirons une cyberattaque, mais bien quand ? ».

Ce qui nous amène un deuxième paradoxe : plus on intègre les technologies numériques dans ses opérations, plus l’entreprise devient vulnérable aux cyberpirates, et ce, en offrant des angles d’attaque plus nombreux à travers sa chaîne de valeur.

Étant donné que la transition numérique est devenue existentielle pour les entreprises, il devient impensable de faire marche arrière. Il en va de la compétitivité de l’entreprise. Les dirigeants doivent donc agir avec fermeté à l’égard de la cybersécurité et y investir des ressources humaines, matérielles et financières.

Le troisième paradoxe est qu’investir en prévention devient moins coûteux que les frais engendrés par la cyberattaque elle-même. Un préjugé répandu envers les services informatiques est que ça coûte cher et que ça ne finit jamais. En revanche, les coûts des attaques sont de plus en plus documentés – et la facture est habituellement salée.

 

Le calvaire de la PME D-Box

Rappelez-vous le calvaire subi par l’entreprise de divertissement immersif D-Box, qui a été victime d’une attaque russe par rançongiciel durant la pandémie. Le PDG Sébastien Mailhot a raconté cette terrible expérience lors d’un forum de l’Association québécoise des technologies (AQT).

La simple ouverture d’un courriel par un employé aura suffi pour déclencher cette invasion des systèmes de l’entreprise qui aura duré 8 heures. Comme il se doit dans de pareilles circonstances, l’entreprise a reçu une demande de rançon assez conséquente pour « déparalyser » l’entreprise et éviter ainsi la fuite d’informations sensibles.

Ce qui m’amène à souligner un quatrième paradoxe. Ainsi, malgré toutes les mesures défensives mises en place, c’est par le biais de l’erreur humaine que le loup entre dans la bergerie et sème la pagaille.

Tout comme la tristement célèbre ligne Maginot en France, jugée impénétrable, qui a été facilement contournée lors de l’invasion allemande durant la Deuxième Guerre mondiale, votre muraille informatique ne sert à rien si des employés insouciants invitent le mal à y pénétrer.

Le cinquième paradoxe nous enseigne que malgré nos croyances et réflexes, ce ne sont pas les technologies défensives qui constituent la première ligne de défense. Il faut plutôt investir dans la formation des employés, notamment en ce qui a trait aux comportements à proscrire et à encourager.

Pour les sceptiques, le sujet est plutôt bien documenté.

 

Des statistiques préoccupantes

Un récent article de Dominique Talbot des Affaires nous apprend que 41% des entreprises canadiennes avaient été victimes d’une cyberattaque, dont seulement 24% étaient assurées.

Par ailleurs, le portrait annuel des TI 2022 de NOVIPRO révèle que 56% des organisations attaquées ont versé les sommes demandées par les cybercriminels.

Finalement, un sondage récent de la Fédération canadienne de l’entreprise indépendante (FCEI) nous apprend que seulement 11% des entreprises offrent à leurs employés de la formation obligatoire afin de les sensibiliser aux pratiques exemplaires en cybersécurité.

Les effets de la cybercriminalité sont donc bien réels et continueront de hanter les chefs d’entreprise. Dans un monde de paradoxes, la tentation d’en ajouter un sixième devient forte.

Comme quoi tenter de régler en secret cet enjeu seul dans son coin par rapport à se faire accompagner par des experts et suivre les pratiques exemplaires demeure une fausse bonne idée.

 

 

 

À propos de ce blogue

Louis J. Duhamel est un stratège d’affaires passionné de l’économie du Québec, qui cherche à simplifier la complexité et débusquer les vrais enjeux qui demandent attention. Il a été associé dans deux grands cabinets-conseils avant de fonder son propre cabinet. Il a dirigé un grand nombre d’exercices de planification stratégique et de refonte de modèles d’affaires pour des entreprises et organismes œuvrant dans des secteurs variés. Il a dirigé de nombreuses études afin de constituer des bases factuelles robustes en appui à des décisions stratégiques critiques d’organisations diverses. Sa chronique « À géométrie variable » souligne l’importance de savoir s’adapter selon les circonstances et les changements fréquents afin de contrer les menaces et saisir les opportunités à l’horizon.

Louis J. Duhamel

Sur le même sujet

Les organisations canadiennes doivent se protéger face aux attaques par rançongiciel

Les experts en cybersécurité soutiennent que les attaques ont de graves conséquences pour ses victimes et le public.

L'intelligence artificielle: les deux côtés de la médaille

13/05/2024 | Martin Berthiaume

EXPERT INVITÉ. Il est essentiel pour tout dirigeant de bien comprendre les risques avant de se lancer dans l’IA.

Blogues similaires

Êtes-vous un employé boomerang?

BLOGUE INVITÉ. Les chances sont grandes que vous receviez un coup de fil de votre ancien employeur.

Dix trucs pour décrocher une promotion sans la demander

11/09/2023 | Claudine Bergeron

OPINION. «Vous devez vous concentrer sur ce que vous maîtrisez: vous et le travail que vous faites.»

Employeurs, à vos crayons

Mis à jour le 30/05/2024 | Geneviève Desmarais

EXPERTE. Avez-vous une politique en matière de prévention et de prise en charge du harcèlement en milieu de travail?