Diriger une entreprise implique de gérer les risques auxquels l’entreprise doit faire face. Hors de ses affaires courantes, chaque entreprise est exposée à la probabilité d’événements qui peuvent lui causer des dommages, voire l’obliger à interrompre ses activités. Il peut s’agir d’un accident, d’un sinistre, ou d’un problème majeur de nature technologique tel qu’une panne, une attaque informatique ou un vol de données.
« Pour se protéger efficacement contre les risques spécifiques à l’entreprise, il faut d’abord les connaître, observe Alain Cormier, directeur exécutif, développement des affaires de NOVIPRO. Évaluer les risques que court l’entreprise est donc la première étape de toute démarche pour augmenter sa sécurité. »
Identifier les risques et leurs impacts
Quels sont les impacts concrets que peut craindre une entreprise si elle est attaquée ou si des données sont volées ou perdues ? On en distingue quatre grandes catégories :
1. Conformité — Plusieurs industries sont soumises à des normes strictes imposées par la législation, par la réglementation ou par un organisme de supervision. Le souci de conformité est d’ailleurs la première motivation de certaines entreprises pour sécuriser leurs données. « Mais, avec l’évolution rapide et la sophistication des cybermenaces, les normes de conformité sont un minimum très bas, remarque Alain Cormier. Une entreprise ne doit pas se croire en sécurité parce qu’elle a coché toutes les cases d’un formulaire de conformité. »
2. Propriété intellectuelle — Le savoir-faire, les recettes de fabrication, le détail des projets en phase de conception : tous ces éléments existent aujourd’hui sous forme de données numériques. Ce sont des actifs exclusifs sans lesquels l’entreprise perd beaucoup de valeur.
3. Réputation — Dans les médias sociaux, l’inquiétude et la déception des clients se répandent comme une traînée de poudre. Une réputation entachée devient vite un problème d’affaires. Selon une étude d’IBM auprès de 27 grandes entreprises au Canada, les organisations victimes d’une fuite de données enregistrent, par la suite, un taux de perte de clients de 2,4 % supérieur à leur taux habituel.
4. Revenus — En fin de compte, c’est toujours la capacité de l’entreprise à générer ses revenus qui est mise en danger. La perte de propriété intellectuelle ou de réputation peut assombrir l’avenir d’une entreprise, mais souvent, les dommages d’une brèche de sécurité sont immédiats. Si leurs bases de données, leurs serveurs d’applications, leur réseau ou leur site web sont inaccessibles, beaucoup d’entreprises se trouvent instantanément paralysées et incapables de répondre aux demandes de leurs clients.
La vulnérabilité liée aux partenariats
La dépendance d’une entreprise n’est pas limitée à ses ressources internes. La majorité des organisations utilisent aujourd’hui des ressources numériques de fournisseurs à distance ou dans le nuage. La dépendance externe est également physique : certaines entreprises doivent suspendre leurs activités si elles ne reçoivent pas les produits et services dont elles ont besoin.
Or, les chaînes d’approvisionnement sont de plus en plus complexes. Les fournisseurs ont eux-mêmes des fournisseurs, exposés à leurs propres risques. « Pour bien identifier tous les points de vulnérabilité de l’entreprise, conseille Alain Cormier, il faut donc inventorier l’ensemble des services physiques et numériques qui soutiennent ses activités, puis cartographier les dépendances entre ces services. »
L’entreprise est-elle déjà protégée ?
Il peut être difficile d’évaluer l’efficacité des moyens de défense que l’entreprise a déjà mis en place si un événement néfaste survenait. Pour aider les dirigeants des grandes entreprises canadiennes à s’en faire une idée juste, le responsable de l’unité d’affaires et du marché Sécurité pour IBM Canada, Maxime Desbiens, les emmène à Boston, au Cyber Range du X-Force Command Center. Ce laboratoire de simulation immersive plonge les visiteurs dans une situation de crise.
« C’est une expérience intense, raconte Maxime Desbiens. En la vivant, beaucoup de gestionnaires réalisent qu’ils sont moins prêts qu’ils le pensaient à affronter une attaque. Ils comprennent aussi qu’une réponse efficace doit impliquer tous les services de l’entreprise, pas seulement les TI. En particulier, l’impératif d’une bonne communication — autant avec les employés, les clients et les fournisseurs qu’avec les autorités — leur apparaît clairement. »
Quel niveau de protection viser ?
Les menaces et les points de vulnérabilité sont multiples. La sécurité absolue n’existe pas, et préparer sa défense a un coût. Alors, comment fixer le niveau de sécurité que l’entreprise devrait atteindre à l’égard des risques qu’elle juge importants ? « Grâce aux statistiques accumulées par notre expérience à travers le monde, on peut aider l’entreprise à se situer par rapport au niveau de sécurité moyen de son industrie, explique Maxime Desbiens. L’entreprise doit ensuite faire une réflexion stratégique, tenant compte de sa situation et de ses ressources, pour estimer sa tolérance aux différents risques. »
En analysant ainsi en profondeur, avec l’aide d’experts en sécurité, les risques auxquels elle pourrait faire face, une entreprise se donne les moyens d’identifier les moyens qui lui permettront de maintenir ses activités, quelles que soient les épreuves qu’elle aurait à traverser.