Les sociétés privées et les cyberrisques

Entrevue avec Don MacPherson, leader de la cybersécurité, Deloitte sociétés privées

Par Mike Runia, Managing Partner, Deloitte Private
Les cyberrisques sont en voie de devenir une préoccupation importante pour bon nombre de sociétés privées. Si ce n’est pas le cas, ça ne saurait tarder. Les technologies exponentielles, les perturbations numériques et l’évolution des attentes des consommateurs offrent aux sociétés privées des occasions sans précédent d’améliorer leur efficacité et d’offrir plus de valeur aux clients et au marché. Toutefois, ces technologies entraînent leur part de risques, notamment en ce qui a trait à la cybersécurité.

Cyberstratégie

Sécurité

Vigilance

Résilience

La bonne nouvelle, c’est que les problèmes de cybersécurité constituent une occasion en soi. En plus de se protéger contre les cybermenaces qui ne cessent d’augmenter, les sociétés privées qui prennent les devants en matière de cybersécurité peuvent se démarquer de la concurrence et tirer leur épingle du jeu dans un monde de plus en plus numérique.

Ce billet est le premier d’une série de quatre portant sur les pratiques exemplaires de cybersécurité pour le segment des sociétés privées. Aujourd’hui, nous rencontrons Don MacPherson, leader des Services liés aux cyberrisques de Deloitte auprès des sociétés privées du Canada, et leader des Services liés aux cyberrisques du bureau de Vancouver du Cabinet.

Mike : Bonjour, Don. Merci d’avoir accepté de nous rencontrer. Dites-moi, pourquoi les sociétés privées au Canada devraient-elles se préoccuper de la cybersécurité?

Don : Bonjour, Mike. De nombreuses sociétés privées nous posent cette question. Lorsqu’il s’agit de cybersécurité, toutes les entreprises sont en péril et devraient s’en inquiéter. Au cours des dernières années, nous avons constaté une transformation considérable dans la nature des cyberattaques : alors qu’autrefois, les menaces monétaires directes et les vols financiers étaient les plus répandus, la méthode privilégiée aujourd’hui consiste à tenter de perturber les activités au moyen de rançongiciels. Les petites sociétés privées étaient moins susceptibles d’être visées par des menaces monétaires, n’ayant pas tendance à gérer d’importants volumes de monnaie numérique. Mais depuis que la perturbation des activités a pris le dessus, cette menace plane sur toutes les entreprises.

Mike : Les sociétés privées sont-elles particulièrement vulnérables?

Don : Dans bien des cas, oui. La plupart des sociétés privées ont moins investi dans la cybersécurité que les grandes organisations publiques, donc leurs moyens de défense ne sont pas aussi complets ni aussi robustes. Ce sont donc des cibles plus faciles.

Le problème n’est pas seulement attribuable à un manque d’investissements dans les technologies de cybersécurité. Il relève aussi d’une pénurie de ressources et de talents. Bon nombre de sociétés privées n’ont pas l’envergure nécessaire pour justifier la création d’une équipe de cybersécurité interne comptant des experts dans des domaines comme la sécurité des réseaux, la gestion des identités, la surveillance des incidents liés à la sécurité et les interventions en cas d’incident. Elles ont une ou deux ressources de cybersécurité qui s’efforcent de gérer tous ces domaines. Ou pire encore, elles comptent sur des généralistes des TI pour les protéger contre les cybermenaces. C’est peine perdue.

Mike : Pourquoi est-il si important de mettre en place des capacités spécialisées en cybersécurité?

Don : La gestion des cyberrisques est un défi de taille – tout se joue dans les détails. Les pirates créent des attaques en scrutant la sécurité d’une organisation, puis en exploitant la moindre faiblesse. Par ailleurs, de nouvelles menaces apparaissent continuellement; donc, les organisations doivent sans cesse surveiller l’évolution constante des menaces pour tenter de se protéger.

Maintenir une connaissance de tous ces détails n’est pas une mince tâche, quelle que soit l’organisation, même les plus grandes entreprises mondiales. Notre propre équipe de cybersécurité surveille constamment les nombreuses menaces provenant de diverses sources en temps quasi réel, puis réunit tout ce qu’elle a appris sous forme de renseignements et de perspectives, que nous pouvons utiliser pour nous protéger. Mais même pour nous, c’est une démarche compliquée et fastidieuse qui nécessite des ressources importantes dans un large éventail de domaines de la cybersécurité et des TI.

Mike : En matière de cybersécurité, les sociétés privées ont-elles un désavantage unique par rapport aux sociétés ouvertes?

Don : Les sociétés ouvertes doivent se soumettre à des audits financiers externes, et ces audits procurent un certain niveau d’assurance quant aux éléments fondamentaux de la cybersécurité, par exemple : l’exhaustivité et l’exactitude des données, des rôles et des responsabilités clairement définis, et des contrôles relatifs aux mises à jour de logiciels et à la gestion des changements. Ce contrôle diligent obligatoire est à la base des conversations importantes à l’interne à propos de la cybersécurité, et aide les sociétés ouvertes à s’orienter dans la bonne direction. Les sociétés privées ne sont pas soumises à ce même niveau de surveillance obligatoire et, par conséquent, doivent prendre elles-mêmes les devants pour veiller à ce que tous les contrôles de TI soient conçus et fonctionnent de manière efficace.

Mike : Toutes les sociétés privées font-elles face aux mêmes problèmes de cybersécurité?

Don : Bien qu’il soit important de comprendre les différences entre les sociétés ouvertes et les sociétés privées, il est tout aussi important de reconnaître les différences entre les secteurs.

Par exemple, si vous êtes une société privée dans le secteur de la consommation et que vous traitez beaucoup de renseignements sur les clients, votre profil de menaces est très différent de celui d’une entreprise de fabrication fondée sur un modèle interentreprises. Dans un contexte entreprise-consommateur, le plus grand cyberrisque, c’est que les renseignements sur les clients soient volés et utilisés de manière inappropriée; dans un contexte interentreprises, la plus grande préoccupation pourrait être la perturbation des activités. Les types de menaces auxquelles se heurtent nos clients et les données qu’ils doivent protéger dépendent grandement de la nature de leurs activités.

La cybersécurité est un sujet d’actualité pour les entreprises du secteur de la consommation et les sociétés de services financiers, car elles seront gravement et très visiblement éprouvées si un problème survient. Par le passé, d’autres secteurs étaient moins préoccupés par la cybersécurité; mais les choses changent rapidement, à mesure que les cyberattaques se réorientent vers la perturbation des affaires.

Mike : Pourquoi les sociétés privées, tous secteurs confondus, devraient-elles déployer un effort proactif pour relever le défi de la cybersécurité, au lieu d’attendre que des problèmes surviennent?

Don : Même si les entreprises préfèrent ne pas penser aux cyberrisques, il y a beaucoup de gens malintentionnés qui, eux, y pensent et cherchent constamment des moyens d’exploiter la moindre faiblesse. Les entreprises qui ne prennent pas les devants pour se protéger contre les attaques seront confrontées à des problèmes et forcées de réagir – c’est une situation qui est beaucoup plus pénible et coûteuse que de réfléchir aux menaces à l’avance et de prendre des mesures pour se préparer à cette éventualité.

De plus, lorsqu’il s’agit de se préparer aux cyberrisques, aucun client n’est trop petit. Nous avons vu des entreprises, allant des petits centres de ski aux sociétés de fabrication spécialisées, en passant par les restaurants, qui ont été prises au dépourvu parce qu’elles n’avaient pas géré les cyberrisques de manière préventive. Le coût financier de ces incidents est considérablement plus élevé que la mise en place d’un programme pour contrecarrer les attaques au départ. Nous avons également constaté d’autres répercussions non financières, comme des atteintes à la marque et à la réputation, et des congédiements de dirigeants qui étaient mal préparés ou qui n’ont pas bien réagi sous la pression dans une situation d’attaque.

Mike : On a tendance à percevoir la cybersécurité comme une mesure strictement défensive. Cette façon de faire a-t-elle des aspects positifs?

Don : C’est une excellente question. Si les investissements en cybersécurité sont normalement perçus comme étant une mesure défensive, ils peuvent aussi être un excellent argument de vente dans un milieu des affaires de plus en plus numérique. De nos jours, de nombreuses sociétés privées font partie d’une plus vaste chaîne de valeur, et cette chaîne est aussi solide que son maillon le plus faible. Aussi, les entreprises veulent s’assurer que la cybersécurité est aussi solide que possible chez leurs partenaires. Lorsque les sociétés privées se sont engagées de manière évidente et durable à investir dans la mise en place de robustes capacités de cybersécurité, elles sont plus attirantes pour les clients et les partenaires de la chaîne de valeur.

C’est particulièrement le cas pour les entreprises logicielles en démarrage, dont la croissance et la prospérité futures reposent sur une grande résistance aux cyberattaques. Nous avons eu beaucoup de conversations avec des entreprises technologiques qui ont décidé de prendre les devants à cet égard, ou qui font affaire avec des clients cherchant à démontrer que leurs contrôles de sécurité sont adéquats. Bon nombre de ces entreprises nous demandent d’effectuer un examen interne et de leur donner notre « sceau d’approbation » démontrant que Deloitte a examiné leur environnement de cybersécurité et certifie leurs capacités. En plus de leur donner une longueur d’avance sur le plan du marketing, cela les aiderait aussi à épargner de l’argent et à éviter des maux de tête, car, sans cette certification, les clients individuels insistent souvent pour réaliser leur propre évaluation des cyberrisques. Et cette démarche peut être coûteuse et fastidieuse, en plus de nécessiter énormément de ressources.

Mike : De nombreuses sociétés privées hésitent à prendre des mesures de cybersécurité, parce qu’elles se sentent dépassées par ce qu’elles perçoivent comme un gouffre d’argent et de ressources. Que peuvent-elles faire pour relever le défi?

Don : Il est essentiel de mettre en place une cyberstratégie fondée sur les risques pour simplifier la gestion de la cybersécurité. Plutôt que d’essayer de créer un environnement de pointe qui voit tout, sait tout et est à l’épreuve de tout, les sociétés privées devraient établir quels sont leurs actifs informationnels les plus importants, puis ajuster leur cyberenvironnement de façon à atténuer les menaces les plus susceptibles d’avoir une incidence sur leur entreprise. Il est certainement possible de consacrer des fonds quasi infinis à la cybersécurité, mais les entreprises avisées peuvent déterminer comment tirer la valeur maximale de leurs investissements en cybersécurité.

La cybersécurité constitue un défi important et complexe, et toutes les entreprises sont vulnérables. Mais ça n’a pas besoin d’être un défi insurmontable. La clé, c’est de s’y mettre rapidement. Concentrez-vous d’abord sur les actifs qui ont le plus besoin d’être protégés, puis continuez sur cette lancée. Vu que l’environnement est en constante évolution, la cybersécurité ne peut jamais être parfaite, mais toutes les mesures délibérées que prennent les entreprises pour protéger et préparer leurs données et leurs clients valent 100 fois mieux que rien.