Comment créer un cyberenvironnement plus sécuritaire

Auparavant, les grandes sociétés publiques étaient les principales cibles des cybercriminels. Mais aujourd’hui, même les petites entreprises privées sont dans leur ligne de mire. Et à mesure que les cyberattaques se raffinent et deviennent plus fréquentes et plus coûteuses, le niveau de risque augmente.

Le défi est particulièrement grand pour les entreprises privées, qui disposent souvent de ressources limitées en matière de cybersécurité. Elles ont tendance à se concentrer sur les mesures de blocage et de gestion de base, comme la protection par mot de passe et des évaluations annuelles de la vulnérabilité.

Évidemment, aucun système de cybersécurité n’est entièrement blindé, et il n’existe pas de stratégie de cybersécurité parfaite et universelle. Chaque entreprise doit élaborer sa propre stratégie, et une feuille de route qui tient compte de ses besoins particuliers, de sa tolérance au risque et de son budget.

Pour la plupart des entreprises privées, la première étape est d’effectuer une évaluation de la maturité pour comprendre leurs cybercapacités actuelles et déterminer les aspects à améliorer.

Les trois facettes d’un système efficace

Essentiellement, un système de cybersécurité efficace s’articule autour de trois ensembles de capacités généraux :

Éléments clés d’un environnement de cybersécurité

Pour créer un milieu plus sécuritaire, les organisations doivent établir des contrôles efficaces pour leurs actifs les plus sensibles et établir un équilibre entre la nécessité de réduire les cyberrisques et les autres besoins essentiels de l’entreprise, comme la croissance, la productivité et la réduction des coûts. Une telle stratégie inclut notamment les éléments clés suivants :

Sécurité de l’IdO. Adopter des pratiques de développement et de mise en œuvre sécuritaires des produits connectés de prochaine génération.
Sécurité infonuagique. Évaluer les capacités de sécurité du fournisseur de services et assurer la sécurité des plateformes infonuagiques.
Protection de l’infrastructure. Concevoir, déployer et maintenir des infrastructures et des technologies de sécurité traditionnelles et émergentes.
Protection des applications. Concevoir, élaborer et configurer des applications en utilisant des méthodes de développement et d’essai sécurisées.
Gestion de l’identité et de l’accès (GIA). Établir des programmes de GIA complets, allant de la définition d’une vision claire et d’une stratégie pour sécuriser l’accès aux actifs informationnels au déploiement et à l’exploitation des plateformes de GIA, en passant par leur intégration à d’autres plateformes informatiques.
Confidentialité et protection des renseignements. Explorer les risques liés à la protection de la vie privée et l’énorme défi que constitue la protection des renseignements, notamment les risques découlant des personnes et des processus, en plus des risques liés aux technologies.
Analytique des cyberrisques. Moderniser un cadre de gestion des cyberrisques existant en remplaçant les rapports périodiques sur les risques par des rapports prévisionnels en temps réel ou quasi réel.

Responsabilités face aux exigences des clients et des fournisseurs

Les entreprises privées ne peuvent pas se permettre de mettre de côté ou d’ignorer la nécessité de se doter d’un système de cybersécurité efficace. De plus en plus de clients et de partenaires de la chaîne de valeur refusent de faire affaire avec les entreprises qui ne sont pas en mesure de démontrer qu’elles appliquent des pratiques rigoureuses et durables pour sécuriser leur cyberenvironnement et leurs données.

De plus, une entreprise ne devrait pas confier la gestion des cyberrisques à un fournisseur de services de TI. Parmi les entreprises qui confient une partie ou la totalité de leurs activités de TI à un sous-traitant, nombreuses sont celles qui croient à tort que la responsabilité de la cybersécurité appartient entièrement à leur fournisseur. Si elles prenaient la peine d’examiner leurs ententes avec soin, elles se rendraient probablement compte qu’ultimement, la responsabilité de conserver et de protéger les données leur incombe, et non à leur fournisseur.

Commencer par une évaluation de la maturité en matière de cybersécurité

La première étape pour créer un cyberenvironnement sécuritaire est d’évaluer les capacités actuelles de votre organisation et de déterminer où se situe votre entreprise dans la courbe de la maturité.

Une évaluation permet d’établir le niveau de sécurité, de vigilance et de résilience des cybercapacités de votre organisation. Elle mesure également l’exposition aux risques et les vulnérabilités, et fournit une feuille de route des priorités pour l’amélioration des cybercapacités en fonction des besoins, des contraintes budgétaires et de la tolérance au risque de votre entreprise.

Une évaluation complète de la maturité en matière de cybersécurité comprend les éléments suivants :

évaluation de vos activités de gouvernance et d’exploitation actuelles;
examen des documents relatifs à la cybersécurité, comme les politiques, les normes et les structures de sécurité de l’organisation;
tenue d’entrevues et d’ateliers avec les principaux membres du personnel de divers services, notamment les technologies de l’information, la sécurité de l’information, les opérations et l’administration, les ressources humaines, les installations et les services;
élaboration de recommandations visant à gérer les risques importants en fonction des objectifs commerciaux de votre organisation.

Surmonter les obstacles à l’action

Les entreprises privées ont des priorités et des contraintes différentes de celles des entreprises publiques, à commencer par le fait qu’elles ne sont pas assujetties à un audit externe. Elles ont ainsi une plus grande latitude, et ne sont pas contraintes de s’attaquer à la question des cyberrisques. Toutefois, cela peut également augmenter leur vulnérabilité et leur exposition aux risques, tout en compliquant le financement des initiatives liées à la cybersécurité, surtout si des priorités plus évidentes et plus pressantes s’imposent, comme la nécessité de veiller à la croissance des ventes.

Une évaluation de la maturité en matière de cybersécurité peut aider les membres du conseil d’administration à comprendre les principales lacunes que présentent les cybercapacités de l’entreprise et les répercussions qu’elles peuvent avoir, ce qui leur permet d’assumer leurs responsabilités fiduciaires de façon appropriée. Une telle évaluation fournit également une feuille de route claire indiquant précisément aux administrateurs ce qui doit être fait pour combler les lacunes et créer un cyberenvironnement sécuritaire, atténuant ainsi leur perception que la cybersécurité représente une énigme insoluble et un gouffre financier.

Comme pour la plupart des défis importants, dans le cas de la cybersécurité, le plus difficile est de comprendre le problème, puis de prendre les premières mesures pour le régler. Une évaluation de la maturité en matière de cybersécurité vous aidera à comprendre exactement quels sont les défis que vous devez relever afin de pouvoir les attaquer de front.

Audit et Certification

Consultation

Conseils en gestion des risques

Conseils financiers

Deloitte Sociétés privées

Services d’analytique

Fiscalité et Services juridiques

Collaborations

Services d’exécution

Consommation

Énergie, ressources et produits industriels

Services financiers

Services gouvernementaux et services publics

Technologies, médias et télécommunications

Postuler

Professionnels expérimentés

Étudiants

La vie chez Deloitte

Anciens

Notre promesse à nos gens

Comment créer un cyberenvironnement plus sécuritaire

Dans la ligne de mire des cybercriminels

Les trois facettes d’un système efficace

Éléments clés d’un environnement de cybersécurité

Responsabilités face aux exigences des clients et des fournisseurs

Commencer par une évaluation de la maturité en matière de cybersécurité

Surmonter les obstacles à l’action

Rencontrez notre leader

Don MacPherson

Associé, Conseils en gestion des risques

Recommandations