Pas moins de 30 % des entreprises canadiennes sont irresponsables lorsque vient le moment de sécuriser leurs actifs informatiques, selon la 6e édition de l'étude sur la sécurité des technologies de l'information en entreprise au Canada qui vient d'être publiée par Telus et la Rotman School of Management de l'Université de Toronto. Entrevue avec un des auteurs de l'étude, Walid Hejazi, professeur à la Rotman School of Management.

L.A. - Quels sont les comportements irresponsables des entreprises en matière de sécurité informatique ?

Walid Hejazi - Nous avons mesuré les paramètres de la sécurité et de l'innovation. Il y a les entreprises qui encouragent l'innovation de façon responsable alors que d'autres le font de manière irresponsable. Le même phénomène est observé du côté des entreprises qui limitent l'innovation en bloquant, par exemple, l'accès aux médias sociaux et aux applications mobiles. Selon les résultats de l'étude, 11 % des sociétés qui limitent l'innovation bloquent l'accès aux réseaux sociaux et mobiles sans fournir d'explications. À l'autre extrémité, 19 % permettent un accès illimité à tout, en oubliant de sensibiliser le personnel et de mettre une politique de sécurité appropriée en place.

L.A. - Doit-on voir le verre à moitié plein ou à moitié vide ?

W.H. - Il y a tout de même 70 % des entreprises qui gèrent la sécurité de façon responsable, alors je dirais que le verre est à moitié plein. Par contre, l'étude révèle aussi que seulement 37 % des entreprises ont une bonne compréhension de la sécurité sur les appareils mobiles. Je suis donc moins confiant en ce qui concerne la mobilité.

L.A. - Quels sont les principaux avantages à encourager l'innovation de manière responsable ?

W.H. - Les entreprises ont tout intérêt à fournir à leurs employés un accès aux médias sociaux et à un réseau sans fil sécurisé. Celles qui ne le font pas s'exposent à un grave problème : les employés vont trouver le moyen d'y accéder quand même en contournant les politiques mises en place par l'équipe technique, ce qui ouvre la porte aux brèches de sécurité. Nos résultats montrent aussi que les organisations responsables ont moins de problèmes de rétention de personnel que celles qui ne le sont pas.

L.A. - Même les entreprises les plus responsables ne sont pas à l'abri des failles de sécurité, comme récemment Heartbleed, qui a touché environ 500 000 sites Internet dans le monde. Comment peut-on se protéger contre de tels phénomènes ?

W.H. - Même les organisations les plus responsables, qui offrent régulièrement à leurs employés une formation de sensibilisation à la sécurité et qui prennent en compte la sécurité tout au long du développement d'infrastructures ou de systèmes par exemple, peuvent être victime d'une brèche de sécurité. Par contre, elles sont capables de la détecter plus rapidement et peuvent ensuite agir promptement pour corriger la situation.