« On dit souvent que les employés sont le maillon faible en matière de cybersécurité. Nous tentons de renverser la vapeur et de les convertir en maillon fort », affirme Lise Lapointe, présidente et fondatrice de Terranova. La firme, spécialisée en sensibilisation à la sécurité de l’information, a formé plus de cinq millions de personnes dans près de 180 pays et en 35 langues. Une performance qui lui a permis de se positionner comme un chef de file mondial dans son domaine, selon le classement 2015 de Gartner.
Terranova devient donc la seule compagnie canadienne à figurer comme leader de son industrie dans le « Magic Quadrant for Security Awareness Computer-Based Training » de 2015. « Faire partie de ce quadrant, distribué à travers le monde, nous apporte une visibilité incroyable, car Gartner est une référence importante pour les responsables de la sécurité et des TI en général », estime Lise Lapointe, qui a fondé cette entreprise lavalloise en 2002.
Une position enviable que Terranova s’est forgée au fil du temps, après avoir conquis plusieurs clients mondiaux, comme Costco, Caterpillar ou Fox. Avec près de 75 % de ses ventes provenant de l’étranger, la firme d’une vingtaine d’employés fait donc partie d’un club sélect. « Nous sommes en train de répondre à un appel d’offres pour un produit en 22 langues. Il n’y a qu’environ trois entreprises, nous incluant, qui correspondent aux critères », affirme sa fondatrice.
De plus, rares sont les compagnies proposant une solution aussi complète que celle développée par Terranova, ajoute-t-elle. Car il ne s’agit pas simplement d’offrir des cours en ligne sur la sécurité de l’information aux employés, mais plutôt d’orchestrer de véritables campagnes de sensibilisation personnalisées : simulations d’hameçonnage, jeux interactifs, écrans de veille, logiciels de gestion de formation, etc.
Car, si les entreprises doivent implanter des moyens technologiques pour protéger leurs données, conscientiser les employés est aussi crucial pour éviter les brèches. « On a beau implanter un système de reconnaissance d’empreintes pour déverrouiller les portes du bureau, si un employé ouvre à une personne parce qu’elle a les bras chargés, cela ne donne rien », illustre Lise Lapointe.
Des PME dans la ligne de mire
Si les PME sont longtemps passées sous le radar des pirates informatiques, ce n’est plus le cas aujourd’hui. Comme elles ont moins investi en sécurité, elles deviennent des cibles de choix. Selon le plus récent rapport National Small Business Association Year-End Economic Report la moitié des 675 propriétaires de PME américaines interviewés avaient été visés par des cybercriminels, mentionne les documents de Terranova. Ces assauts ont entraîné des coûts moyens de plus de 20 000 $.
Une réalité qui dépasse les frontières. « Ce n’est pas parce qu’on est petit qu’on ne jongle pas avec des données intéressantes pour les pirates, estime Lise Lapointe. Plusieurs PME sont très innovantes. Il faut donc identifier quelles sont les informations sensibles dans chaque entreprise. » De plus, avec les transactions en ligne sur Internet, plusieurs colligent les numéros de cartes de crédit de leurs clients.
« Les PME peuvent servir de porte d’entrée vers de plus grandes entreprises, ce qui en fait des cibles intéressantes », explique pour sa part Benoit Renaud, président de l’Association de la sécurité de l’information du Québec. Ce fut le cas chez Target, cite-t-il en exemple. Une faille dans le système informatique de l’un de ses fournisseurs a permis aux cybercriminels de mettre la main sur les données bancaires de millions de clients. « Et, dans ce genre de cas, il devient très difficile d’identifier la source la fuite », ajoute-t-il.
Idem avec l’hameçonnage. Avec des techniques de plus en plus sophistiquées, les pirates s’emparent des codes de certains employés. Les intrusions deviennent ainsi très difficiles à déceler. C’est pourquoi les entreprises ne se contentent plus de prévenir les assauts, mais aussi de les détecter et d’y faire faire, constate Benoit Renaud. « Depuis les derniers événements à la Ashley Madison, on tente de mettre en place des moyens de répondre plus rapidement et efficacement aux attaques. Ça introduit toute une nouvelle gamme de produits, de services et de processus. »
Mais, le nerf de la guerre continue d’être les employés, qui doivent respecter certaines règles de base et savoir reconnaître et détecter les menaces. « Il y a trois ans à peine, les PME étaient peu nombreuses à aller chercher des outils pour améliorer la sécurité de leurs informations. Maintenant, on reçoit des appels à ce sujet tous les jours », ajoute Lise Lapointe. D’ailleurs, Terranova vient tout juste de lancer un produit destiné aux entreprises de plus petite taille. « La formation demeure un moyen abordable d’éviter des problèmes informatiques qui peuvent coûter très cher. »
