Avez-vous une attitude à risque?

Offert par Les Affaires


Édition du 24 Mars 2018

Avez-vous une attitude à risque?

Offert par Les Affaires


Édition du 24 Mars 2018

«Quand on cache un problème de sécurité, ce qu’on fait, c’est d’accepter un risque pour l’entreprise alors que c’est réellement au dirigeant de prendre la décision», selon Éric ­Parent, chef de la sécurité (CSO) chez ­Sonepar ­Canada.

Le coût du cybercrime au pays dépasse la barre des 3 milliards de dollars, selon un rapport publié l'an dernier par la Chambre de commerce du Canada. Que faire pour éviter de perdre gros aux mains d'un pirate au clavier ? Adoptez avant tout une bonne attitude et gérez les facteurs humains. Voici comment.

Pensez d'abord à former et à sensibiliser vos employés. Mais surtout, faites-le pour les bonnes raisons, explique Éric Parent, chef de la sécurité (CSO) chez Sonepar Canada, un distributeur de matériel électrique. Il sera conférencier le 21 mars à l'événement Sécurité de l'information, organisé par le Groupe Les Affaires.

« Beaucoup d'entreprises, surtout celles cotées en Bourse, outillent leurs employés, mais le font uniquement par conformité réglementaire, indique M. Parent. En résulte une façon de fonctionner maladive : décisions de court terme, absence de vision, dirigeants qui jouent à l'autruche. »

Selon lui, la pire mentalité est de croire que le cybercrime touche seulement les autres.

La bonne attitude passe plutôt par la transparence. C'est là la clef, estime M. Parent. Tout le monde, dans l'entreprise, doit se sentir à l'aise de parler des problèmes de sécurité informatique et de les mettre en lumière lorsqu'ils sont découverts.

Chez Sonepar, par exemple, lorsqu'un problème de sécurité survient, l'information commence à remonter dans la chaîne hiérarchique quelques heures seulement après la découverte du problème. Rien n'est caché. Les décisions peuvent alors être prises au bon échelon dans l'entreprise.

« Quand on cache un problème de sécurité, ce qu'on fait, c'est d'accepter un risque pour l'entreprise alors que c'est réellement au dirigeant de prendre la décision », explique M. Parent.

Sauf que bien des patrons préfèrent ne pas avoir ces questions sur les mains. La cybersécurité d'une entreprise dépend cependant en bonne partie de l'attitude de ses dirigeants. Elle sert de modèle au reste de l'entreprise. Un patron qui fait preuve d'une attitude négligente à l'égard de la sécurité risque donc de pousser ses salariés à faire de même.

Comment imprégner l'entreprise d'une attitude de transparence ? Il faut d'abord laisser de côté le réflexe habituel, lorsqu'une lacune est découverte, de chercher un coupable pour porter un blâme. Ce genre d'attitude installe la crainte au coeur des employés et obscurcit ainsi la vérité. Vaut mieux faire l'inverse et encourager la mise en lumière des problèmes, mettre de côté les émotions et l'orgueil, et discuter ouvertement des risques.

Capsules vidéo

Matthieu Chouinard, PDG de l'entreprise montréalaise de cybersécurité In Fidem, reconnaît que le facteur humain est la cause numéro un des cybercrimes. Il explique toutefois que les fautes commises par les gens résultent souvent de lacunes ou de faiblesses des logiciels ou des technologies qu'ils utilisent.

Pour renforcer la sécurité, par exemple, les concepteurs de logiciels demandent aux utilisateurs de créer des mots de passe toujours plus longs et complexes. Sauf que la mémoire humaine est une faculté qui oublie. Les gens se retrouvent donc avec le fardeau de la sécurité sur le dos. Assez naturellement, pour se simplifier la vie, ils écrivent leurs mots de passe sur un papier... qu'ils collent à côté de leur ordinateur.

« La réalité est que l'on n'a pas encore inventé de technologie qui soit adéquate au point de réussir à bien régler ce type de problème, explique M. Chouinard. Alors on demande aux utilisateurs de gérer les failles de conception des logiciels. »

Plusieurs chercheurs, comme la professeure et directrice du UK Research Institute in Science of Cyber Security, Angela Sasse, essaient de pousser les concepteurs de logiciels à mieux tenir compte de la façon dont les humains utilisent réellement leurs technologies.

En attendant, M. Chouinard conseille lui aussi aux entreprises de faire de la sensibilisation et de donner de la formation. « C'est la première chose qu'on recommande à nos clients », dit-il. La sensibilisation devrait viser à faire comprendre aux gens qu'ils travaillent dans un contexte risqué, du point de vue de la sécurité informatique, alors que la formation vise plutôt à donner des compétences précises.

Avec des plateformes comme YouTube, par exemple, il est plus facile que jamais de le faire. Les entreprises peuvent par exemple suggérer à leurs employés de visionner de courtes capsules sur des sujets pertinents pour la fonction précise qu'ils accomplissent dans la firme.

Les entreprises doivent aussi éviter d'adopter une attitude selon laquelle elles voient la sécurité informatique comme un projet. Elles doivent réaliser qu'il s'agit d'une fonction récurrentwe.

« On aimerait bien investir quelques milliers de dollars pour se dire ensuite que tout est réglé et qu'on peut passer à autre chose, explique M. Chouinard. Mais tout comme la santé et sécurité au travail, il faut faire un effort continu. Il faut se tenir à jour. »

CONFÉRENCE : Sécurité de l'information

À la une

Bourse: nouveaux records pour le Dow Jones et le S&P 500 à Wall Street

Mis à jour le 28/03/2024 | lesaffaires.com, AFP et Presse canadienne

REVUE DES MARCHÉS. La Bourse de Toronto est en hausse et les marchés américains sont mitigés.

À surveiller: Microsoft, Apple et Dollarama

28/03/2024 | lesaffaires.com

Que faire avec les titres de Microsoft, Apple et Dollarama? Voici quelques recommandations d’analystes.

Bourse: les gagnants et les perdants du 28 mars

Mis à jour le 28/03/2024 | LesAffaires.com et La Presse Canadienne

Voici les titres d'entreprises qui ont le plus marqué l'indice S&P/TSX aujourd'hui.