Jean-Philippe Racine, CyberSwat (Photo: courtoisie)
CYBERSÉCURITÉ DES PME. Différents ordres professionnels imposent à leurs membres des règles d’utilisation des technologies de l’information (TI). Plusieurs donneurs d’ouvrages incluent désormais des critères de sécurité informatique dans leurs appels d’offres, et la nouvelle Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, adoptée en septembre, rehausse la responsabilité des entreprises à ce sujet. Démontrer une conformité minimale en matière de cybersécurité est donc en en voie de devenir un prérequis pour faire des affaires.
Quand la PME technologique B-Temia, basée à Saint-Augustin-de-Desmaures, est devenue le fournisseur principal de l’exosquelette ONYX pour l’équipementier militaire Lockheed Martin, elle a d’abord dû répondre à quelques questions de cybersécurité. «Lockheed Martin commercialise notre produit auprès de l’armée américaine, explique Stéphane Bédard, président et fondateur de B-Temia. Il a fait un copié-collé des prérequis du département de la Défense et nous les a transmis ; nous avons donc dû prendre l’engagement légal de sécuriser nos accès informatiques.» Les entreprises qui veulent intégrer la chaîne d’approvisionnement du Département de la défense doivent effectivement se conformer à la norme NIST SP 800-171, qui a trait à la sécurité des renseignements personnels.
Ce genre d’exigences ne se limite pas au marché militaire. Michel Fecteau, directeur des opérations de sécurité de la firme de services et de solutions TI Présent, note une hausse des demandes de conformité dans le secteur pharmaceutique. « Nous avons parmi nos clients des laboratoires de recherche qui veulent vendre leurs produits aux États-Unis et, inversement, des distributeurs d’ici qui tentent devenir le distributeur de pharmaceutiques américaines, rapporte-t-il. Dans les deux scénarios, ces entreprises doivent respecter le Health Insurance Portability and Accountability Act (HIPAA), qui est un règlement extrêmement sévère sur la protection des données médicales. »
Ce souci de cybersécurité se retrouve aussi au Québec. « De plus en plus de grands donneurs d’ouvrage – aussi bien publics ou que privés – demandent des redditions de compte par rapport à la cybersécurité », affirme Jean-Philippe Racine, président du Groupe CyberSwat. Le consultant spécialiste des PME donne l’exemple d’Infrastructures technologiques Québec qui, dans son appel d’offres visant à obtenir des services d’infonuagiques, a demandé aux soumissionnaires d’avoir une certification reconnue internationalement (soit ISO 27001 ou SOC 2 Type 2). « Les grandes organisations sont aujourd’hui tellement dépendantes de la technologie qu’une cyberattaque est considérée comme un événement qui compromet la continuité des affaires, au même titre qu’un incendie ou un tremblement de terre », constate-t-il.
Rien d’extravagant
Place-t-on la barre trop haute pour les PME qui veulent transiger avec les grandes organisations ? Stéphane Bédard ne croit pas. « Les prérequis pour obtenir un contrat de l’armée ou du gouvernement ne sont pas extravagants, avance-t-il. Ils sont même minimaux, si on considère l’intensité des cyberattaques subies par les entreprises ! » C’est pourquoi B-Temia applique aujourd’hui des critères de cybersécurité plus élevés que ceux exigés dans les appels d’offres, fait valoir son président.
Il faut savoir que les grands donneurs d’ouvrage offrent habituellement aux soumissionnaires une voie alternative à la certification. « Si l’entreprise retenue n’a de certification officielle, précise Jean-Philippe Racine, il est possible que le donneur d’ouvrage évalue lui-même la cybersécurité de l’entreprise. » Surtout que la plupart des spécialistes interrogés s’entendent pour dire que les normes ISO de sécurité informatique sont généralement trop coûteuses à atteindre pour les PME.
D’ailleurs, les firmes de cybersécurité offrent différents types d’audit aux entreprises. Michel Fecteau, de TI Présent, explique que trois degrés d’analyse qui peuvent être appliqués dans une PME : le premier se contente de vérifier si les logiciels sont correctement installés, le deuxième procède à une analyse des postes de travail et le troisième va jusqu’à la visite des lieux afin de vérifier si les accès physiques aux serveurs sont sécurisés. «Nous avons récemment reçu plusieurs demandes de petits bureaux d’avocats désirant se conformer aux exigences du Barreau, explique-t-il. Et, dans leur cas, une analyse de niveau deux était suffisante.»
L’obtention de la certification CyberSécuritaire Canada du gouvernement fédéral constitue aussi un bon point de départ pour sécuriser l’environnement informatique d’une entreprise. Cette norme réservée aux PME? se décline en 13 actions à prendre, dont «élaborer un plan d’intervention en cas d’incident », « créer des identifiants robustes» et ainsi de suite.
«Offrir de la formation aux employés» s’y retrouve également. Et pour cause. « Plus de 80 % des problèmes de cybersécurité sont causés par une action humaine », rappelle Michel Fecteau. Le classique : un employé qui clique sur un hyperlien dans un courriel d’hameçonnage. « C’est important d’apprendre à reconnaître les courriels frauduleux, mais aussi, de savoir comment réagir quand un incident de cybersécurité survient », insiste-t-il.
De l’accompagnement disponible
Les PME qui désirent rehausser leur sécurité informatique ne sont pas sans ressources, rappelle Jean-Philippe Racine. Le président du Groupe CyberSwat invite les entreprises à consulter le Programme de soutien en cybersécurité pour les PME, mis sur pied par la grappe canadienne de l’industrie de la cybersécurité, In-Sec-M, dont il est vice-président. Il mentionne également le volet certification du Programme d’innovation en cybersécurité du Québec (PICQ) de l’organisme provincial Prompt, lancé le 5 octobre.
