Les cyberrisques

Il est primordial que les sociétés privées comprennent bien ce qui se passe dans l’ensemble de leurs infrastructures.

Les experts partout dans le monde s’entendent pour dire que la cybersécurité est l’un des trois principaux risques d’entreprise d'aujourd'hui. Et les sociétés privées n’y échappent pas. Aux yeux d’un attaquant, toutes les organisations sont des cibles. Et les attaquants recherchent notamment un gain financier, un accès à des renseignements cruciaux, ou même un point vulnérable pour infiltrer le réseau de clients d’une organisation. Par conséquent, les organisations canadiennes concentrent énormément d’efforts à la protection de leurs infrastructures, en mettant en place des contrôles efficaces, et en adoptant une position de vigilance et de résilience.

Par contre, il est possible de contourner les contrôles. Il est primordial que les sociétés privées comprennent bien ce qui se passe dans l’ensemble de leurs infrastructures pour assurer une réponse rapide aux atteintes à la sécurité. Le délai est un facteur critique lorsqu’il s’agit de repérer, d’atténuer et même de prévenir les dommages.

Enjeux

Dans ce contexte plus risqué, les entreprises canadiennes seront soumises à des pressions réglementaires accrues. Que l’organisation détienne des renseignements d’identification personnelle, des renseignements sur des cartes de paiement ou des renseignements protégés sur la santé, c’est au gardien des données qu’incombe la responsabilité d’empêcher que ces informations se retrouvent entre de mauvaises mains. Bon nombre d’organisations auront de la difficulté à y parvenir seules. Il leur sera alors utile de faire appel à un partenaire chevronné en cybersécurité.

Les entreprises seront également exposées à des pressions exercées par leurs clients en matière de conformité. Par conséquent, bon nombre de grandes organisations s’affairent à renforcer leurs moyens de défense et se tournent vers les évaluations des risques liés aux tiers afin de démontrer que leurs infrastructures sont bel et bien protégées.

En cas d’intrusion, les coûts engagés iront au-delà des mesures de confinement et d’éradication. Les entreprises verront aussi leur réputation entachée et donneront l’impression qu’elles ne sont pas sécurisées. Cela pourrait avoir une incidence sur la résilience d’une entreprise, car les atteintes à la marque et les ventes perdues laissent des traces. Le cas échéant, l’organisation devra redoubler d’efforts pour regagner la confiance des clients.

Bien que les infractions potentielles de sécurité représentent un défi de taille, la planification et la préparation à ces infractions peuvent être beaucoup plus simples.

Occasions

Bien que les infractions potentielles de sécurité représentent un défi de taille, la planification et la préparation à ces infractions peuvent être beaucoup plus simples.

Les sociétés privées peuvent gérer leurs exigences réglementaires de manière rentable en évaluant rapidement leur environnement d’exploitation. Les organisations devraient évaluer les données qu’elles détiennent et les contrôles qui ont été mis en place pour les protéger, puis mettre en évidence toute lacune. Une évaluation exhaustive comportera également des recommandations et une feuille de route afin de favoriser la réalisation d’objectifs précis. Ceux-ci s’avéreront inestimables au moment de planifier des projets, d’établir des budgets et d’assurer la viabilité du programme de cybersécurité à long terme.

Par ailleurs, les entreprises peuvent consolider leurs cyberdéfenses à l’aide de capacités de détection des intrusions. Les nouvelles technologies de gestion des événements et des informations de sécurité sont de plus en plus répandues; il peut s’agir d’un moyen abordable d’acquérir une vision d’ensemble d’une infrastructure complète et de cerner rapidement les anomalies.

Bien entendu, il est tout aussi important d’être prêt pour une atteinte à la sécurité que de prendre des mesures pour se protéger. Les entreprises devraient disposer d’un plan de réponse en cas d’incident, décrivant les procédures établies et les protocoles de communication, avant qu’une attaque se produise. Cela assurera une mobilisation rapide et cohérente des TI, des services juridiques, des ressources humaines et des autres unités opérationnelles lorsque chaque minute compte. Qui plus est, la capacité de mettre en œuvre un plan de communication bien préparé, rédigé à l’avance et fondé sur les domaines potentiellement touchés, suscitera la confiance de toutes les parties prenantes.

Questions à poser

• Les renseignements au sein de mon organisation sont-ils assujettis à des exigences réglementaires? 
• Puis-je démontrer que nous avons mis en place un solide programme de gestion des cyberrisques afin de préserver la confiance de mes clients? 
• Des ressources internes sont-elles prêtes et disponibles pour créer et maintenir un programme viable de cybersécurité?