Cyberattaques: une question de gouvernance

Offert par Les Affaires


Édition du 16 Mai 2015

Cyberattaques: une question de gouvernance

Offert par Les Affaires


Édition du 16 Mai 2015

À qui incombe la responsabilité de la sécurité informatique dans une entreprise ? Au chef des technologies ? Faux. Au chef de la direction ? Faux. Au conseil d'administration ? Faux. Les bonnes pratiques voudraient que tous ces intervenants gèrent ensemble le risque de faille technologique. Car la cybersécurité est l'affaire de tous.


S'il est une organisation qui l'a bien compris, c'est la Caisse de dépôt et placement du Québec. Depuis deux ans et demi, la Caisse a mis en place un système de gestion du risque des TI qui relie les différentes instances de vérification : exploitation, vérificateurs internes et externes, finances, etc. « Au-delà d'une certaine gravité, les incidents sont rapportés au comité de risques opérationnels », explique Marc Lafrance, vice-président, planification, architecture et gouvernance. Son service réalise une vigie et en tient toute l'organisation informée.


De fait, une gouvernance des TI efficace commence par un système d'information sans faille. Les CIO, CTO et autres experts en sécurité, y compris à l'externe, doivent devenir des alliés stratégiques des conseils d'administration. « La Securities and Exchange Commission aux États-Unis recommande de mettre sur pied des sous-comités du conseil avec des gens de technique, explique Sean Griffin, associé chez McCarthy Tétrault. Évidemment, ça dépend du secteur et de la taille de l'entreprise, ainsi que de son exposition au cyberrisque. » La Caisse est un modèle du genre, mais on n'en demandera pas autant à un concessionnaire automobile, relativise l'avocat. En plus de comprendre le risque des TI, le CA devra savoir qui sont les premiers répondants et s'assurer que les politiques qu'ils suivent sont adéquates. Enfin, une couverture d'assurance ne fera pas de mal...


Tout un contrat ! D'ailleurs, les budgets votés par les CA pour faire face au risque de cybersécurité seraient en forte hausse, selon des publications spécialisées, mais difficiles à chiffrer. « Ce qui est certain, c'est qu'il y a une prise de conscience de tous les joueurs dans le marché, à savoir que la cybersécurité est un enjeu de plus en plus important », souligne Sean Griffin, qui sera copanéliste du colloque La Gouvernance et la cybersécurité, le 2 juin à Montréal.


Parlant de prise de conscience, je vous laisse avec un chiffre : 162 millions de dollars américains. C'est le montant de la charge inscrite par Target en 2013-2014 pour couvrir l'énorme brèche de sécurité qui a touché 70 millions de ses clients. Voilà qui donne envie de faire ses devoirs...


La semaine prochaine, notre éditrice adjointe et rédactrice en chef Géraldine Martin sera de retour dans cette colonne. Elle vous racontera son périple en Europe, où elle accompagnait une mission organisée par Les Affaires dans des « villes intelligentes ». Un univers où la préoccupation de cybersécurité n'est jamais bien loin.


Julie Cailliau
Directrice du contenu,
Groupe Les Affaires
julie.cailliau@tc.tc

À propos de ce blogue

Julie Cailliau

Sur le même sujet

De grands patrons des É-U dénoncent la politique anti-immigration

La Business Roundtable a envoyé une lettre à la ministre à la Sécurité intérieure lui demandant de revoir sa politique.

La sécheresse des Prairies a raison des producteurs de bœuf

Ils surveillent les stocks d'aliments pour les deux prochaines semaines avant de demander ou non l'aide de l'État.