Publié le 26 septembre 2019

Les manchettes font régulièrement état de cyberattaques et d’incidents liés à la cybersécurité. Mais que signifient ces événements pour nous et quelles mesures de cybersécurité peuvent nous aider à nous protéger efficacement? Les cyberrisques représentent différentes réalités pour chacun d’entre nous. Personnellement, je considère qu’ils ne se limitent pas à la sécurité informatique, mais concernent aussi la sécurité de l’information, la protection des renseignements personnels et même la sécurité physique. Par exemple, il me serait possible de tirer parti de lacunes dans la sécurité physique (c’est-à-dire en ayant accès aux installations) pour déjouer les mesures de sécurité des systèmes informatiques (notamment en accédant à des serveurs) ou, inversement, de tirer parti de lacunes dans les systèmes informatiques pour porter atteinte à la sécurité physique. En ce sens, le cloisonnement de chaque aspect de la sécurité peut mener à des niveaux inégaux de maturité de la sécurité au sein d’une organisation et permettre à un cyberattaquant d’exploiter un maillon faible de la chaîne. En revanche, le fait d’avoir un responsable unique de l’ensemble de la sécurité, à la tête d’une seule équipe dont le travail est financé par un budget dédié, permet habituellement d’obtenir un niveau de sécurité relativement uniforme dans tous les secteurs et de réduire les risques d’exploitation auxquels une organisation est exposée. Par conséquent, une approche de sécurité convergente qui prend en compte tous les aspects de la sécurité sera généralement une stratégie avisée en vue de réduire le risque et de réaliser des gains d’efficience. Les organisations plus sophistiquées tireront des avantages accrus en mettant en place un centre intégré, lequel serait doté d’une capacité unique de collecte et d’analyse de l’information pour répondre aux cyberattaques et aux attaques connexes ciblant les informations de l’organisation, et en mesure de fournir des données consolidées offrant plus que la somme de leurs parties.

D’après mon expérience, la plupart des organisations ont commencé à reconnaître qu’une sécurité efficace fait partie du prix à payer pour faire des affaires. On me demande souvent comment contribuer de façon pratique à la réduction des cyberrisques. Bien que la cybersécurité comporte plusieurs facettes, je recommande de commencer par identifier les cyberrisques qui menacent spécifiquement une organisation. Un tel exercice peut passer par une évaluation externe indépendante qui tiendra compte des meilleures pratiques du secteur en matière de sécurité, ou encore par une évaluation réalisée par une équipe à l’interne spécialement mandatée à cet effet. En outre, il est essentiel qu’une organisation détermine l’emplacement où se situent ses données importantes ou sensibles, de même que les obligations juridiques ou réglementaires particulières dont elle doit s’acquitter. À défaut de procéder à cet examen, une organisation ne sera pas en mesure de cerner ce qu’elle doit protéger et les répercussions d’une protection inadéquate. Ce constat se révèle particulièrement vrai pour les organisations qui exercent leurs activités à l’échelle mondiale et dont les obligations peuvent varier grandement d’une région à l’autre. Dès lors, il est fortement recommandé d’adopter une approche basée sur le risque et axée sur les activités pour procéder aux évaluations de la cybersécurité.

Je crois également que certaines organisations devront opérer un changement de mentalité quant au fonctionnement de la cybersécurité pour s’assurer qu’elles prennent les décisions adéquates. Autrefois, nous pouvions tolérer le report de mesures correctives de quelques mois, voire de quelques années. Or, l’automatisation rend aujourd’hui extrêmement rapide et facile la perpétration d’une attaque au moyen d’outils de piratage. Par conséquent, devenir agile en matière de cybersécurité est devenu crucial et, dans toute la mesure du possible, remédier en temps réel aux lacunes et aux vulnérabilités est nécessaire. Comme en témoignent les récentes condamnations relatives à des infractions au Règlement général sur la protection des données (RGPD) et d’autres cas ayant donné lieu à l’imposition de pénalités, il est de plus en plus mal avisé de retarder l’adoption de mesures de cyberprévention.

Une autre question que l’on me pose est de savoir si l’amélioration de la cybersécurité a toujours un coût. La réponse est non, pas nécessairement. En effet, un courriel de la part d’un dirigeant qui rappelle aux membres du personnel l’importance de la cybersécurité ne coûte rien, mais peut avoir une grande résonnance s’il est rédigé efficacement. Cela étant dit, il sera probablement nécessaire de faire certains investissements dans la cybersécurité.

En matière de budget consacré à la cybersécurité, certaines organisations cherchent à consacrer un pourcentage des dépenses qu’elles engagent pour les systèmes informatiques aux contrôles de cybersécurité. Je crois que cette approche est dépassée et qu’il est plus avantageux pour une organisation de déterminer d’abord les capacités en matière de sécurité ou le degré de maturité des technologies de sécurité qu’elle veut atteindre. Subir une brèche de cybersécurité en raison d’une nouvelle faille qui n’a pas encore été identifiée publiquement est habituellement perçu comme plutôt pardonnable. Par contre, une atteinte à la cybersécurité qui découle de lacunes dans les mesures de base (comme le fait de ne pas avoir appliqué une mise à jour de sécurité qui est pourtant disponible depuis un certain temps) est simplement inexcusable, et les clients, les organismes de réglementation et les médias sont susceptibles de le faire payer cher à une organisation. Par conséquent, je crois que toutes les organisations devraient définir de façon proactive leur seuil de tolérance aux cyberrisques, en adoptant une approche éclairée pour décider d’un niveau acceptable. Il s’agit là de la position défendable à l’égard des cyberrisques d’une organisation, position qui devrait être établie et convenue par des membres de la direction occupant des fonctions de surveillance, avec le concours de l’équipe responsable de la sécurité.

On me demande souvent de parler de la surveillance des cyberrisques et plus particulièrement du rôle des directeurs financiers dans ce domaine. Il est désormais considéré comme inacceptable que les dirigeants ne participent pas à la gestion de la cybersécurité de leur organisation. Pour être crédibles à l’égard des cyberrisques, les membres de la direction doivent démontrer qu’ils traitent régulièrement de la question de la cybersécurité et la prennent au sérieux. De même, ils doivent être en mesure d’établir que, bien qu’ils tolèrent des cyberrisques dans certains aspects de leurs activités, ils ont adopté une approche réfléchie et axée sur le risque, qui se traduit par la prise de certaines mesures : par exemple, valider les progrès en matière de réduction des risques ou fournir un financement adéquat pour les mesures de cyberprévention. Les directeurs financiers et les autres dirigeants devraient considérer la cybersécurité comme un enjeu qui concerne l’organisation dans son ensemble. Ils seront désormais tenus responsables des mesures prises et, en cas d’échec, les répercussions pourraient être sérieuses. Je suggérerais donc aux directeurs financiers et aux autres dirigeants de comprendre les fondements de la cybersécurité et de soutenir leurs équipes dans ce domaine, tout en les testant : font-elles des efforts suffisants pour réduire la vulnérabilité aux cyberrisques? Priorisent-elles les bonnes mesures de prévention des cyberattaques? Savent-elles qu’elles ont votre appui? Demandez-leur de réfléchir à l’aide et au soutien dont elles ont besoin. Ne laissez pas la cybersécurité entraver vos plans d’affaires, mais ayez au contraire une longueur d’avance en vous tenant au fait des risques existants, puis acceptez ou atténuez ces risques.

Pour ce qui est du rôle de l’audit interne à l’égard de la cybersécurité, je considère que cette fonction fournit des perspectives indépendantes et valide que les contrôles et les capacités ont été instaurés de façon adéquate et sont mis à exécution. La fonction de l’audit interne, ou quiconque dans l’organisation d’ailleurs, ne devrait pas considérer que la cybersécurité se limite à cocher des cases dans une liste de contrôle, mais devrait plutôt concentrer ses efforts à dresser un portrait détaillé et précis des cyberrisques dans l’organisation, puis à fournir des recommandations pratiques pour combler les lacunes. Une approche de plus en plus courante consiste à appliquer la méthode de simulation d’un piratage informatique, dite de « l’équipe rouge », dans le cadre de laquelle une organisation reproduit fidèlement les moyens dont un pirate ou une autre personne non autorisée dispose pour accéder à ses données ou à ses installations afin de tester ses protocoles de sécurité. Il n’y a aucune restriction sur les compétences et les moyens de réaliser l’objectif. Par exemple, il est possible d’utiliser des outils de piratage pour trouver des failles dans les systèmes informatiques qui permettraient une intrusion, ou encore, user du ressort de la psychologie humaine pour envoyer des courriels d’hameçonnage aux membres du personnel et les inciter à cliquer sur des liens malveillants, ou même mentir aux membres du personnel à l’accueil pour obtenir un accès physique aux installations. Bien que l’équipe d’audit interne ne dispose pas nécessairement des compétences pour mener elle-même de tels exercices, elle est habituellement en mesure de faire appel à des experts qui effectueront ce genre d’évaluation et présenteront les résultats d’une manière compréhensible à l’équipe d’audit (et au reste de l’organisation).

Il fut un temps où les organisations consacraient tous leurs efforts à empêcher les incidents liés à la cybersécurité. Bien qu’elles devraient continuer à faire de leur mieux pour agir proactivement à cet égard, la réalité de nos jours fait que toute organisation est susceptible de subir une brèche de cybersécurité. Comme le veut le vieil adage (qui est toujours d’actualité) : « La question n’est pas de savoir si, oui ou non, vous subirez une cyberattaque, mais plutôt quand vous la subirez. » C’est pourquoi je recommande toujours aux organisations de mettre en œuvre des mesures appropriées pour détecter en temps opportun les incidents réels ou suspectés liés à la cybersécurité. En outre, les organisations doivent examiner quelle serait leur réponse après la détection d’un incident éventuel. Nombreuses sont celles qui ont éprouvé des difficultés pour réagir de façon appropriée à de réels cyberincidents, une fois ceux-ci détectés, et ont, par inadvertance, aggravé les répercussions de l’événement. La planification proactive des réponses à un cyberincident (y compris en se prêtant à des simulations) est un excellent moyen pour une organisation de peaufiner ses mesures et d’être prête le moment venu.

Autre préoccupation qui fait souvent l’objet de questions : l’infonuagique est-elle sûre ou non? En tant que conseiller, je réponds toujours que « ça dépend ». Plus précisément, tout dépend en effet de la sensibilité des données sauvegardées dans le nuage, des répercussions d’une intrusion dans les données (ou de leur inaccessibilité lorsqu’elles sont requises), du type de services de nuage adoptés (public ou privé) et de la qualité des services offerts par le fournisseur du nuage. Je crois que l’infonuagique est une technologie qui peut procurer des avantages à plusieurs organisations, mais je conseille de l’adopter en demeurant vigilant et de s’assurer que sa mise en œuvre est réalisée de façon appropriée. Enfin, l’informatique en périphérie (edge computing) et l’informatique en brouillard (fog computing) sont d’autres sujets que les organisations qui envisagent d’utiliser l’infonuagique pourraient avoir à aborder de plus en plus souvent.    

Parallèlement à ce sujet, on me demande fréquemment quelles sont les questions à se poser pour explorer les conséquences de l’adoption ou non d’une nouvelle technologie. Voici les trois principales questions que je me poserais, si j’étais un directeur financier :

1. Dites-moi quel est l’avantage commercial de cette technologie et pourquoi elle répond le mieux à nos besoins.
2. Expliquez-moi comment vous vous assurerez qu’elle ne deviendra pas obsolète ou superflue d’ici peu de temps.
3. Expliquez-moi comment nous saurions si la technologie venait à être défaillante et quelle serait l’incidence sur notre organisation.

Lorsque vous envisagez une nouvelle technologie, songez également au moment de son adoption. Selon le type de technologie, les premiers adoptants peuvent enregistrer une réduction immédiate des risques par rapport à leurs pairs. En outre, comme nous l’avons vu, retarder la mise en œuvre de cyberoutils peut exposer une organisation à des risques. Je recommande de ne jamais être à la traîne pour ce qui est de l’adoption d’outils de sécurité. Toutefois, les premiers adoptants devront accepter le fait qu’il peut s’écouler un certain temps avant que la technologie soit calibrée de façon appropriée, puisque les données sur son utilisation dans la pratique peuvent être encore rares.

Je crois qu’il est important que les organisations demeurent à jour sur la cybersécurité, y compris sur les nouvelles méthodes d’attaque et les nouvelles approches pour détecter et prévenir ces attaques. Qui dit cybersécurité dit histoire sans fin : les organisations devront continuer de traiter avec les défis et les menaces en matière de cybersécurité d’hier en plus de ceux d’aujourd’hui et de demain.

Mais qu’en est-il de l’avenir? Vous pouvez être assurés que les criminels et les pirates continueront d’améliorer leurs outils et leurs techniques et que leurs attaques seront de plus en plus complexes et créatives. De plus, la cybersécurité touche déjà à tous les aspects de notre vie, qu’il s’agisse du transport, des installations bancaires et même de nos maisons équipées de plusieurs appareils connectés. Bien que ces appareils nous offrent une panoplie d’avantages, notamment en gains en efficience et en commodité, de toute évidence, si l’une ou l’autre de ces applications venait à être compromise, les conséquences pourraient être désastreuses. La cybersécurité est intégrée à tout ce que nous faisons; la réalité ressemble de plus en plus à une fusion ou à une mosaïque de liens entre le monde physique et le monde numérique. Et cette évolution de notre réalité n’en est qu’à son début si l’on considère l’arrivée des neuro-prothèses, qui vont réinventer la façon dont les humains interagiront avec les capacités numériques. Même si ces prothèses (et autres « bio-améliorations »), outre le facteur branché et indispensable qui garantira leur adoption, ajouteront un peu plus d’efficience et de commodité encore à notre quotidien, elles ouvriront sans aucun doute la voie à de nouvelles cyberattaques jusqu’ici impensables.

Par conséquent, avant d’adopter la toute dernière des technologies et de s’extasier devant ses bienfaits, je suggère aux organisations de l’aborder en ayant une vision déjà claire des risques dont elle est porteuse. S’il y a bien une chose que l’histoire nous a apprise au sujet de la cybersécurité, c’est que les criminels cherchent déjà des moyens d’exploiter les nouvelles technologies à leur avantage. Sachant cela, assurons-nous de renverser la situation.

Personne-ressource

		Paul Hanley Paul est l’associé leader national de l’innovation en matière de cybersécurité de Deloitte, responsable des Services liés aux cyberrisques à l’échelle nationale. Il dirige une équipe de professionnels de la sécurité qui offrent des conseils en matière de sécurité à un large éventail de clients. Il est un expert reconnu en sécurité de l’information, qui compte de nombreuses années d’expérience dans le domaine. Plus particulièrement, il possède une expertise de l’harmonisation des fonctions de sécurité aux besoins d’affaires et de la prestation de conseils en cybersécurité aux conseils d’administration de sociétés. Paul compte des clients qui pour la plupart exercent leurs activités à l’échelle mondiale et possède une expérience de travail au Canada, aux États-Unis, en Europe et en Inde. Au cours de sa carrière, Paul a participé directement à un certain nombre de programmes très en vue dont le financement a représenté plusieurs milliards de dollars et a su bâtir de solides relations d’affaires avec des membres de conseils d’administration de sociétés. Il possède en outre l’accréditation de conseiller CLAS (CESG Listed Adviser Scheme) attribuée par le Communications Electronics Security Group (CESG) pour fournir des conseils en matière de sécurité de l’information à des agences gouvernementales et à d’autres organisations. Il a d’ailleurs conseillé plusieurs organismes de réglementation et ministères sur les meilleurs moyens de mettre en place des mesures de cybersécurité efficaces face à la nouvelle réalité des cyberrisques. Bien qu’il soit versé dans tous les aspects de la sécurité, ses domaines de prédilection sont notamment la formation et la direction de fonctions de sécurité à l’échelle mondiale, la transformation des activités, l’innovation en matière de sécurité et la direction de programmes de sécurité de l’information à grande échelle. Paul est également un expert de l’amélioration de la cybersécurité, de la gestion des risques en matière de sécurité de l’information, de la conception d’architectures techniques de sécurité, de la gestion des risques liés aux systèmes informatiques, de la cryptographie et de la planification de la continuité de l’exploitation et de la reprise après sinistre.