Il y a quelques mois, les dirigeants de Spritz social + numérique ont décidé de renforcer la sécurité de leurs données. Une démarche influencée par l’adoption de la loi 25, qui oblige les entreprises à mettre en place un programme de gouvernance concernant le traitement des renseignements personnels.

« De plus, en raison de notre expansion, on gère de plus gros dossiers. Il était temps de doter l’entreprise d'une infrastructure adéquate et de mesures de sécurité robustes », explique Philippe Gilbert, associé et directeur du volet numérique de l’agence marketing web.

« On a été épargnés par les cyberattaques jusqu’à maintenant, on ne voulait pas attendre qu’une crise arrive pour réagir », ajoute-t-il.

Sécuriser et former

Pour structurer son approche en matière de cybersécurité, Spritz a sollicité l'expertise de CSMF, spécialiste de la gestion des risques. La démarche s’est déroulée en plusieurs étapes.

« On commence par faire un inventaire des actifs clés de l’entreprise et déterminer sa tolérance au risque, explique Mathieu Fluet, consultant associé chez CSMF. Ensuite, on procède à un audit pour cerner les vulnérabilités. Cela nous guide dans l'établissement de mesures protectrices. »

Cette transition a conduit Spritz à restructurer ses opérations. Les données ne sont plus simplement téléchargées localement. « L’accès est aujourd’hui plus restreint. On utilise des outils comme un gestionnaire de mots de passe pour optimiser la sécurité, explique Philippe Gilbert. Cela complexifie les tâches, on a donc dû former nos employés pour s’assurer qu’ils adoptent les nouveaux processus de traitement des données. Notre politique de cybersécurité est maintenant intégrée dans le guide de l’employé qui est remis à l’embauche. La personne doit la signer et suivre la formation pour bien la comprendre et l’appliquer. »

« On doit également s’assurer que nos fournisseurs garantissent une sécurité optimale des données tout au long de la chaîne de valeur », ajoute-t-il.

Pour respecter la loi 25, Spritz a nommé un responsable de la protection des données, rôle endossé par Philippe Gilbert. « Il a aussi fallu déterminer ce qu’on ferait en cas d’intrusion. Tout a été documenté, de façon à réagir rapidement si on est victime d’une attaque », dit-il.

Spritz a également fait appel à un avocat spécialisé pour revoir ses contrats afin qu’ils reflètent tout ce que fait l’agence en matière de cybersécurité. « Nos clients sont ainsi assurés de nos bonnes pratiques », précise Philippe Gilbert.

Investir temps et argent

Toute cette démarche ne fut pas sans coûts. « C’est un investissement en temps et en argent qui a été plus important qu’on pensait, confie-t-il. Cela a monopolisé deux ressources à temps partiel pendant plusieurs semaines. Au total, la facture dépasse les 15 000 $, sans compter le coût annuel des licences d’utilisation. »

Si beaucoup a été fait, le travail est loin d’être fini. « La cybersécurité, c’est un processus évolutif », affirme le dirigeant.

S’il n’avait qu’un conseil à donner, ce serait de ne plus attendre pour passer à l’action. « On aurait dû le faire plus tôt, estime-t-il. Cela dit, d’avoir pris les devants nous permet de nous démarquer sur le marché. Cela nous donne une valeur ajoutée. »

Une autre bonne raison pour faire de la cybersécurité une priorité.