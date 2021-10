Quelles mesures une PME doit-elle implanter pour se protéger contre les cyberattaques?

«Avant de changer quoi que ce soit, il faut identifier les systèmes, données, actifs, applications et fournisseurs critiques aux opérations de l’entreprise, explique Guillaume Caron, président-directeur général de VARS, division en cybersécurité de Raymond Chabot Grant Thornton. Et ça passe par une évaluation de la posture de sécurité, ou audit.»

On confie une telle opération à un expert, pas au beau-frère ou au responsable des TI, qui n’a souvent pas le recul approprié pour déceler les failles recherchées. On parle ici d’une dépense de quelques milliers à plusieurs dizaines de milliers de dollars, selon la taille et la complexité de l’entreprise.

Une fois identifiés les risques, les écarts, les vulnérabilités, les lacunes et les contrôles que l’on souhaite implanter, on peut se donner un objectif, comme de se conformer à une norme de cybersécurité (par exemple ISO 27001 ou DSS).

«De nos jours, il est incontournable d’investir pour se conformer à de telles normes, tranche Frédéric Bove, directeur général de Prompt, un regroupement sectoriel de recherche en TI. Sinon, tôt ou tard, vous allez perdre des contrats, peu importe la taille de votre entreprise.» Évidemment, le choix d’une norme dépend du secteur d’activité et des opérations visées (production, distribution, commerce en ligne, gestion, etc.).

Qui fait quoi?

L’étape suivante, c’est d’appliquer la nouvelle stratégie soi-même, si on dispose de l’expertise interne, ou avec un spécialiste. Ce dernier va aider à fournir et à gérer les technologies appropriées, à écrire les politiques de cybersécurité et à offrir des conseils pour les processus de gestion.

L’important, c’est d’établir une politique claire, facile à comprendre et à implanter. «Elle doit expliquer les processus à suivre avant, pendant et après un incident de sécurité», poursuit M. Caron. Par exemple:

Y a-t-il un responsable attitré à la sécurité?

Comment sont réalisées les vérifications?

Comment gère-t-on les copies de sécurité, à quelle fréquence, qui est le responsable, qui les vérifie?

Qui forme le comité de gestion de risque et à quelle fréquence se réunit-il?

Évidemment, l’élément humain est au cœur d’une bonne stratégie de cyberdéfense. Et la politique de l’entreprise abordera la formation et la responsabilisation des employés.

«Un programme de sensibilisation et de formation routinière est incontournable, poursuit M. Caron. Tous les employés doivent comprendre les menaces et maîtriser les bons comportements. La politique prévoit des contenus poussés et adaptés aux employés-clés, aux membres du conseil d’administration et aux équipes techniques.»

Surveillance

Autre élément important de toute stratégie de cyberdéfense: la surveillance axée sur la détection des menaces en temps réel sur 24 heures. Les PME sont habituellement très peu outillées dans ce domaine. Une telle surveillance détecte pourtant les comportements anormaux (vol de données, hameçonnage, attaques de rançon).

On peut simplement implanter une application, comme SentinelOne, ou faire appel à un centre de surveillance. Il faudra prévoir un budget mensuel de quelques centaines à plusieurs milliers de dollars par mois, peu importe le nombre d’employés.

«J’ai des clients qui bénéficient de ce service et qui n’ont qu’un seul poste de travail», révèle Guillaume Caron.

L’IMPORTANCE DU PLAN DE CONTINUITÉ DES AFFAIRES

Une politique de cyberdéfense appropriée s’accompagne d’un plan de continuité des affaires assez solide et clair pour que l’entreprise puisse continuer ses opérations (ou redémarrer en quelques heures ou jours) même en cas de cyberattaque, de panne de centre de données ou d’électricité, d’inondation, d’incendie ou de vol.

Ce plan prévoit des moyens pour répondre aux incidents dès qu’ils surviennent en identifiant, notamment, les personnes-contacts à appeler en ordre de priorité, selon la nature et la gravité de l’incident (responsable des TI, président de l’entreprise, assureur, partenaire de sécurité, représentants des gouvernements locaux et supérieurs...), ainsi que des simulations.

Une réalité

Avec la COVID-19, de nombreuses PME se sont mises en mode télétravail et commerce en ligne, souvent en catastrophe. Ainsi, 60% de 500 PME canadiennes interrogées par Rogers en septembre affirment mener la plupart de leurs activités en ligne.

Pourtant, elles sont plus que jamais vulnérables aux cyberattaques: 47% de leurs propriétaires disent ne consacrer aucun budget annuel à la cybersécurité, selon un sondage publié en octobre par le Bureau d’assurance du Canada (BAC). Moins de la moitié (46%) auraient intégré des moyens de défense et seulement le quart (24%) entendent souscrire une cyberassurance au cours de la prochaine année.

De janvier à mars, le BAC signale que les assureurs ont versé plus de 106 millions de dollars en indemnités de cyberresponsabilité.

En 2021, 41% des PME canadiennes ayant subi une cyberattaque ont déclaré que cette dernière leur avait coûté au moins 100 000 dollars, soit une hausse de 37% par rapport à 2019.