Avez-vous une attitude à risque?

Offert par Les Affaires


Édition du 24 Mars 2018

Avez-vous une attitude à risque?

Offert par Les Affaires


Édition du 24 Mars 2018

«Quand on cache un problème de sécurité, ce qu’on fait, c’est d’accepter un risque pour l’entreprise alors que c’est réellement au dirigeant de prendre la décision», selon Éric ­Parent, chef de la sécurité (CSO) chez ­Sonepar ­Canada.

Le coût du cybercrime au pays dépasse la barre des 3 milliards de dollars, selon un rapport publié l'an dernier par la Chambre de commerce du Canada. Que faire pour éviter de perdre gros aux mains d'un pirate au clavier ? Adoptez avant tout une bonne attitude et gérez les facteurs humains. Voici comment.


Pensez d'abord à former et à sensibiliser vos employés. Mais surtout, faites-le pour les bonnes raisons, explique Éric Parent, chef de la sécurité (CSO) chez Sonepar Canada, un distributeur de matériel électrique. Il sera conférencier le 21 mars à l'événement Sécurité de l'information, organisé par le Groupe Les Affaires.


« Beaucoup d'entreprises, surtout celles cotées en Bourse, outillent leurs employés, mais le font uniquement par conformité réglementaire, indique M. Parent. En résulte une façon de fonctionner maladive : décisions de court terme, absence de vision, dirigeants qui jouent à l'autruche. »


Selon lui, la pire mentalité est de croire que le cybercrime touche seulement les autres.


La bonne attitude passe plutôt par la transparence. C'est là la clef, estime M. Parent. Tout le monde, dans l'entreprise, doit se sentir à l'aise de parler des problèmes de sécurité informatique et de les mettre en lumière lorsqu'ils sont découverts.


Chez Sonepar, par exemple, lorsqu'un problème de sécurité survient, l'information commence à remonter dans la chaîne hiérarchique quelques heures seulement après la découverte du problème. Rien n'est caché. Les décisions peuvent alors être prises au bon échelon dans l'entreprise.


« Quand on cache un problème de sécurité, ce qu'on fait, c'est d'accepter un risque pour l'entreprise alors que c'est réellement au dirigeant de prendre la décision », explique M. Parent.


Sauf que bien des patrons préfèrent ne pas avoir ces questions sur les mains. La cybersécurité d'une entreprise dépend cependant en bonne partie de l'attitude de ses dirigeants. Elle sert de modèle au reste de l'entreprise. Un patron qui fait preuve d'une attitude négligente à l'égard de la sécurité risque donc de pousser ses salariés à faire de même.


Comment imprégner l'entreprise d'une attitude de transparence ? Il faut d'abord laisser de côté le réflexe habituel, lorsqu'une lacune est découverte, de chercher un coupable pour porter un blâme. Ce genre d'attitude installe la crainte au coeur des employés et obscurcit ainsi la vérité. Vaut mieux faire l'inverse et encourager la mise en lumière des problèmes, mettre de côté les émotions et l'orgueil, et discuter ouvertement des risques.


Capsules vidéo


Matthieu Chouinard, PDG de l'entreprise montréalaise de cybersécurité In Fidem, reconnaît que le facteur humain est la cause numéro un des cybercrimes. Il explique toutefois que les fautes commises par les gens résultent souvent de lacunes ou de faiblesses des logiciels ou des technologies qu'ils utilisent.


Pour renforcer la sécurité, par exemple, les concepteurs de logiciels demandent aux utilisateurs de créer des mots de passe toujours plus longs et complexes. Sauf que la mémoire humaine est une faculté qui oublie. Les gens se retrouvent donc avec le fardeau de la sécurité sur le dos. Assez naturellement, pour se simplifier la vie, ils écrivent leurs mots de passe sur un papier... qu'ils collent à côté de leur ordinateur.


« La réalité est que l'on n'a pas encore inventé de technologie qui soit adéquate au point de réussir à bien régler ce type de problème, explique M. Chouinard. Alors on demande aux utilisateurs de gérer les failles de conception des logiciels. »


Plusieurs chercheurs, comme la professeure et directrice du UK Research Institute in Science of Cyber Security, Angela Sasse, essaient de pousser les concepteurs de logiciels à mieux tenir compte de la façon dont les humains utilisent réellement leurs technologies.


En attendant, M. Chouinard conseille lui aussi aux entreprises de faire de la sensibilisation et de donner de la formation. « C'est la première chose qu'on recommande à nos clients », dit-il. La sensibilisation devrait viser à faire comprendre aux gens qu'ils travaillent dans un contexte risqué, du point de vue de la sécurité informatique, alors que la formation vise plutôt à donner des compétences précises.


Avec des plateformes comme YouTube, par exemple, il est plus facile que jamais de le faire. Les entreprises peuvent par exemple suggérer à leurs employés de visionner de courtes capsules sur des sujets pertinents pour la fonction précise qu'ils accomplissent dans la firme.


Les entreprises doivent aussi éviter d'adopter une attitude selon laquelle elles voient la sécurité informatique comme un projet. Elles doivent réaliser qu'il s'agit d'une fonction récurrentwe.


« On aimerait bien investir quelques milliers de dollars pour se dire ensuite que tout est réglé et qu'on peut passer à autre chose, explique M. Chouinard. Mais tout comme la santé et sécurité au travail, il faut faire un effort continu. Il faut se tenir à jour. »


CONFÉRENCE : Sécurité de l'information

À suivre dans cette section


image

Objectif Nord

Mardi 25 septembre


image

Gestion du changement

Mercredi 03 octobre


image

Marché du cannabis

Mercredi 10 octobre


image

Expérience client

Mercredi 14 novembre


image

Communication interne

Mardi 27 novembre


image

Gestion de la formation

Mercredi 05 décembre


image

Contrats publics

Mardi 22 janvier


image

Sommet Énergie

Mardi 29 janvier


image

Financement PME

Mercredi 30 janvier


image

Science des données

Mardi 12 février

Sur le même sujet

Forte hausse du nombre de crimes économiques au Canada

La cybercriminalité, le détournement d'actifs et la fraude à la consommation sont en forte hausse au Canada

Kaspersky: l'antivirus accusé d'espionner pour le compte du Kremlin

23/10/2017 | AFP

«Nous n'avons rien à cacher», dit la société russe.

À la une

À surveiller: Barrick, Empire et Cominar

Que faire avec les titres de Barrick, Empire et Cominar?

Bourse: Wall Street aidée à l'ouverture par les banques et l'énergie

09:40 | lesaffaires.com, AFP et Presse canadienne

REVUE DES MARCHÉS. Les investisseurs se préparaient mardi à une réunion du comité de politique monétaire de la Fed.

Bourse: ce qui bouge sur les marchés avant l'ouverture mardi

07:02 | LesAffaires.com et AFP

La Chine a «le couteau sous la gorge».