Perspectives

Cybersécurité : testez vos connaissances

Comprenez-vous bien les cybermenaces qui guettent votre entreprise?

Affronter ceux qui veulent attaquer votre entreprise n’est jamais une partie de plaisir, mais de nos jours, c’est un jeu que vous ne pouvez pas ignorer si vous voulez éviter un préjudice financier et vous protéger d’une atteinte à la réputation.

Le cybercrime coûte des milliards de dollars. Les organisations canadiennes sont-elles prêtes à empêcher une cyberattaque prolongée? Pas suffisamment. Le Sondage sur la cybersécurité de 2015 de Deloitte a révélé que le niveau moyen de maturité en ce qui concerne la cybersécurité est de 2,2 sur une échelle de 5 points, plaçant les organisations canadiennes derrière leurs homologues américaines et européennes.

Les principaux obstacles à l’amélioration de la cybersécurité, pour les entreprises privées en particulier, ne surprendront personne. Tout d’abord, bon nombre d’entre elles sous-estiment probablement encore les menaces. Trouver des ressources pour les initiatives de sécurité dans un budget strict peut constituer un défi, en particulier pour les petites entreprises. Et l’embauche de gens ayant les bonnes compétences pour gérer la cybersécurité peut s’avérer à la fois difficile et coûteuse.

Il est essentiel pour les organisations de toute taille de comprendre tous les aspects des risques auxquels sont exposés les systèmes d’information, et d’accorder la priorité tant aux risques qu’à la mise en œuvre de contrôles qui les atténueront de la manière la plus rentable possible.

Ce qu’il faut savoir

La façon dont une entreprise répond à une cyberattaque dépend presque entièrement de la manière dont elle a assuré sa sécurité, sa vigilance et sa résilience – en d’autres mots, plus ses défenses sont solides, mieux elle détectera les menaces et mieux elle répondra à une atteinte à la sécurité. Êtes-vous certain que votre entreprise est bien protégée?

Sur la sécurité :

Mythe ou réalité? Nous avons investi dans un solide système de sécurité; nous n’avons pas besoin d’autre chose.

Mythe : C’est une étape importante, mais il s’agit d’une solution partielle seulement. Il suffira à un adversaire de trouver une faille dans l’armure pour mettre en œuvre une attaque complexe. Vous ne pouvez vraiment pas baisser la garde, pas même une minute. Est-ce que tous vos employés connaissent la menace que représentent les cyberattaques? Ont-ils tous été formés, savent-ils à quoi être attentifs et que faire s’ils reçoivent un courriel suspect ou un autre type de message sur Internet? Les programmes de sensibilisation à la sécurité sont un moyen peu coûteux de former les utilisateurs finaux des systèmes d’information. Bien sûr, les employés ne sont pas les seuls points d’accès potentiels : à mesure que les organisations continuent de lancer de nouveaux services et qu’elles multiplient les façons de joindre les consommateurs, elles accroissent aussi leurs risques. Vous devez continuellement gérer, mettre à jour et peaufiner vos systèmes de sécurité, et garder vos employés informés. Il suffit d’un seul attaquant qui atteindra la cible une seule fois : en tant qu’entreprise, vous devez vous défendre 24 h sur 24.

Mythe ou réalité? Notre entreprise est trop petite pour intéresser des cybercriminels.

Mythe : Deux raisons pourraient faire de votre entreprise une cible attrayante, peu importe sa taille. Afin de déterminer si elle est susceptible d’attirer l’attention d’une personne malveillante, posez-vous les questions suivantes :
• Quel genre de données recueillons-nous? Des renseignements personnels, des dossiers médicaux, des cartes de paiement, des renseignements sur le marketing, des données sur les tarifs concurrentiels – le type d’information permettra d’établir à quel point vos données sont attrayantes pour un attaquant.
• Quelle(s) sorte(s) d’entreprises servons-nous? Il y a eu de nombreux exemples récents où les attaquants ont eu accès à leur cible réelle par l’intermédiaire de leur fournisseur – et vous ne voulez pas être un cheval de Troie pour votre client.

Sur la vigilance :

Mythe ou réalité? Assurer une surveillance continue des nouvelles cybermenaces nous permet d’être au fait des développements.

Réalité : Les menaces gagnent en raffinement presque tous les jours, la surveillance et l’analyse de ces menaces sont donc essentielles. Cela permettra de découvrir de nouvelles vulnérabilités, alors que des contrôles simples, tels que des correctifs pour les applications et le système d’exploitation, aideront à conserver un niveau de sécurité élevé. Heureusement, une grande quantité d’information sur les cybermenaces est disponible en temps réel, le plus souvent gratuitement. Le plus grand défi consiste à passer au crible les centaines de vulnérabilités afin de déterminer lesquelles sont les plus pertinentes pour votre organisation.

Mythe ou réalité? Nous pouvons surveiller efficacement les menaces par nous-mêmes.

Mythe : Il est impossible pour l’organisation de quiconque de surveiller et de comprendre tous les types de menaces, d’outils, de tactiques et de procédures utilisées par les cybercriminels. Cela comprend l’échange d’information sur la manière de pirater des systèmes précis ou des entreprises, car les attaquants savent que le partage des connaissances conduit à des gains mutuels. Les entreprises se rendraient service si elles faisaient la même chose – en démarrant ou en rejoignant des communautés d’échange de renseignements sur les cybermenaces, au sein desquelles les organisations se transmettent de l’information sur les menaces, les attaques, les leçons apprises et les stratégies qui fonctionnent (ou non). L’une de ces communautés pour les entreprises privées canadiennes a été lancée en novembre dernier, un organisme sans but lucratif qui offre divers niveaux de services et de tarifs d’inscription selon la taille de l’entreprise.

Sur la résilience :

Mythe ou réalité? La planification seule n’est pas suffisante; nous devons aussi mettre nos plans d’intervention à l’essai.

Réalité : Les interdépendances des systèmes d’information et des intervenants de l’entreprise évoluent constamment, il est donc important que vos plans de cyberdéfenses gardent le rythme. Testez-vous régulièrement vos plans d’intervention au moyen de simulations d’attaques? En profitez-vous alors pour combler les lacunes que vous découvrez? Être résilient signifie contrôler les dégâts et se remettre rapidement d’une attaque afin de minimiser les dommages financiers et l’atteinte à la réputation.

Le plan d’action sur 12 mois

Toutes les organisations, en particulier les petites entreprises, ont besoin de tirer le maximum de leurs investissements. L’important est de trouver l’équilibre entre le coût des contrôles par rapport au niveau de risque de votre entreprise. Classer ces risques par ordre de priorité et établir votre budget en tenant compte de leur probabilité et du potentiel le plus élevé de répercussions négatives peut vous aider à améliorer efficacement votre position en matière de sécurité.

Adoptez l’attitude nécessaire pour gérer la sécurité comme une entreprise en soi. Élaborez un plan : quelle est la vision? S’aligne-t-elle sur les plus importants besoins de l’entreprise et sur la culture de l’organisation? Qui en assurera le leadership?
Envisagez l’adoption du programme CIS Critical Security Controls, un ensemble de mesures précises visant à prévenir les dommages des cyberattaques, recommandé par le SANS Institute.
Concentrez-vous sur les principes de base. Par exemple, assurez-vous que vous pouvez gérer les incidents les plus simples causés par des maliciels avant de vous demander si vous avez besoin de tests plus complexes.
Dressez l’inventaire de votre profil de menaces.
Assurez-vous de comprendre les éléments clés d’un plan de sécurité – les niveaux de ses correctifs actuels, l’endroit où sont stockées ses données sensibles et comment il communique avec les clients.
Évaluez votre situation en matière de sécurité, et établissez un échéancier pour la réévaluer à intervalles réguliers.
Assurez-vous que tous vos employés reçoivent régulièrement une formation de sensibilisation à la sécurité. Si vous ne l’avez pas déjà fait, élaborez un programme et mettez-le en œuvre dès que possible. À intervalles réguliers, mettez le matériel à jour afin de suivre le rythme des menaces en constante évolution et formez le personnel à nouveau.

Bien que de nombreux propriétaires d’entreprises, ceux d’entreprises en démarrage en particulier, puissent hésiter à dépenser des sommes importantes pour la sécurité de leurs systèmes en ligne, la dure réalité, c’est que la cybersécurité compte – peu importe la taille de l’entreprise. Si vous êtes en ligne, vous êtes une cible, que vous soyez la plus convoitée ou simplement le moyen de l’atteindre.

Eh non, ce n’est pas un jeu. C’est seulement la dure réalité.

Audit et Certification

Consultation

Conseils en gestion des risques

Conseils financiers

Deloitte Sociétés privées

Services d’analytique

Fiscalité et Services juridiques

Collaborations

Services d’exécution

Consommation

Énergie, ressources et produits industriels

Services financiers

Services gouvernementaux et services publics

Technologies, médias et télécommunications

Postuler

Professionnels expérimentés

Étudiants

La vie chez Deloitte

Anciens

Notre promesse à nos gens

Cybersécurité : testez vos connaissances

Comprenez-vous bien les cybermenaces qui guettent votre entreprise?

Ce qu’il faut savoir

Le plan d’action sur 12 mois

Recommandations