Failles de sécurité de l’information : les entreprises québécoises sont largement menacées

Publié le 19/01/2018 à 10:47

Failles de sécurité de l’information : les entreprises québécoises sont largement menacées

Publié le 19/01/2018 à 10:47

D’ici 2020, les dépenses mondiales en matière de sécurité de l’information devraient atteindre 113 G$ US. Les entreprises et organisations québécoises sont-elles bien préparées à cet égard ? « Quelques-unes le sont. Mais dans l’ensemble, près de 90% ne le sont pas du tout », estime Éric Hébert, directeur général de la sécurité de l’information chez Pages Jaunes.

Éric Hébert prononcera le mot d’ouverture lors de la conférence Sécurité de l’information, présentée par les Événements Les Affaires, le 21 mars prochain, à Montréal.

Intelligence artificielle, cryptomonnaie, infonuagique, toutes ces nouvelles technologies apportent de nouvelles dimensions de risques de sécurité de l’information qui ne font que s’accélérer à vitesse grand V. Et les entreprises n’ont pas le choix de suivre le rythme pour contrer les menaces qui seront de plus en plus présentes, soutient M. Hébert, qui évolue dans le milieu de la sécurité de l’information depuis plus de 25 ans.

Mais c’est loin d’être le cas. « Les gestionnaires d’entreprises, dit-il, comprennent ce que c’est de gérer les risques financiers, des ressources humaines et de continuité en TI. Mais ils sont encore en mode apprentissage pour ce qui est de gérer les risques liés à la sécurité de l’information. La majorité des entreprises stagnent encore à l’étape : combien doivent-elles investir pour se protéger ? »

Sécurité de l'information

Comment expliquer cette situation ?

Il subsiste un gros problème de communication, soutient M. Hébert. « J’observe deux camps. Il y a d’un côté les gestionnaires au sein des conseils d’administration qui sont dépassés par la situation. Ces discussions à propos des outils et des mesures pour augmenter la sécurité de l’information les sortent de leurs zones de confort. »

Dans l’autre camp, poursuit-il, il y a des directeurs de la sécurité de l’information qui, par manque d’expérience, ne parviennent pas à vulgariser les mesures à prendre et les outils de sécurité qu’il faut mettre en place. « Ils sont incapables d’employer un langage adapté à la compréhension des gestionnaires qui vont accepter ou non de financer des mesures de sécurité. »

C’est dans ces cas que l’on saisit l’immense différence entre avoir un CISO (chief information security officer) à la tête du département de la sécurité de l’information ou un simple directeur, précise-t-il. « Le CISO maîtrise l’art de faire les ponts entre les TI, les finances et le politique. Il parvient à convaincre les membres du CA. L’autre expert, dont les propos demeurent trop techniques, peine à gagner leur confiance. »

Et les PME dans tout ça?

Malheureusement, ce sont les grandes oubliées, répond Éric Hébert. La plupart d’entre elles ne détiennent pas les moyens financiers pour investir dans des systèmes de sécurité. Pourtant, dit-il, elles peuvent actuellement se débrouiller avec des moyens qui ne coûtent à peu près rien. « Ne serait-ce qu’en sensibilisant les employés aux risques lorsqu’ils utilisent leurs ordinateurs, leurs téléphones. Et de les mettre en garde contre les risques d’hameçonnage (phishing) par courriel. Les PME doivent également veiller régulièrement à effectuer leurs mises à jour de sécurité. »

Rappelons qu’en 2016 (source : Ponemon Institute), plus de 55% des PME nord-américaines ont été victimes de cyberattaques. Neuf fois sur dix, ces cyberattaques ont eu le champ libre à la suite de l’ouverture d’un courriel malveillant par un employé.

À propos de ce blogue

En coulisses est le blogue des Événements Les Affaires. Nous vous proposons un accès privilégié aux meilleures pratiques de la communauté d’affaires québécoises qui sont partagées lors de nos conférences. Chaque semaine, nous discutons avec certains des gestionnaires qui ont accepté d’être conférenciers à nos événements, afin de vous présenter des idées concrètes pour vous aider dans votre réflexion et répondre à vos préoccupations d'affaires.