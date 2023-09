Les consultants en cybersécurité ne manquent pas de travail actuellement, les entreprises étant nombreuses à cogner à leur porte pour fortifier leur défense contre les cyberattaques.

« Les entreprises sont plus préoccupées qu’avant en matière de protection des données. Les cas d’intrusion se sont multipliés ces dernières années, et elles se sentent davantage concernées, ce qui est une bonne chose », explique Mathieu Fluet, consultant associé et fondateur de CSMF.

L’adoption de la loi 25 a aussi forcé bien des entreprises à se pencher sur ce dossier qui était trop souvent repoussé à plus tard. Entrée en vigueur le 22 septembre 2022 (avec des échéances en 2023 et 2024), la loi impose une gestion des renseignements personnels plus adaptée aux environnements numériques d’aujourd’hui. Elle concerne l’ensemble des entreprises, peu importe leur taille. Pour certaines, c’est un défi majeur.

« Beaucoup d’entreprises partent de zéro, constate Mathieu Fluet. Cela dit, mieux vaut tard que jamais. »

Un mythe à défaire

Il est essentiel de déconstruire certaines idées reçues. « Beaucoup de gens pensent que pour assurer sa cybersécurité, il faut mettre en place des contrôles qui vont ralentir les opérations. Assurer la sécurité de ses données ne devrait pas affecter les affaires. L’important, c’est d’adopter une démarche progressive. En activant des mesures l’une après l’autre, il est possible d’atteindre un bon niveau de sécurité », soutient Mathieu Fluet.

L’entreprise devra faire un diagnostic pour identifier ses points de vulnérabilité.

« Les PME n’ont pas toutes la même maturité en matière de gestion des données, affirme Simon Fontaine, conseiller stratégique chez MS Solutions. Avec la loi 25, les entreprises sont aujourd’hui tenues de cartographier les informations que contiennent ses réseaux. Elles doivent monter un registre qui détaille comment les données personnelles sont collectées, utilisées, conservées et détruites. Lors d’un audit, elles devront faire la preuve qu’elles ont une politique et des procédures qui démontrent sa bonne gouvernance. »

Mathieu Fluet rappelle que la gestion des risques diffère selon le secteur d’activité. « Il faut y aller selon la priorité des affaires, dit-il. Pour une entreprise manufacturière, le risque numéro un concerne surtout les opérations de fabrication alors qu’un bureau de comptable devra mettre en place des contrôles pour protéger les informations sensibles de ses clients. »

Il est vital d’investir dans la sécurité des infrastructures, en instaurant des systèmes de détection et de prévention. Il importe ensuite de s’assurer que les mesures fonctionnent. « Il n’est pas rare que les entreprises constatent qu’elles ont fait l’objet de tentatives d’intrusion qu’elles ne soupçonnaient même pas, c’est pourquoi il est important d’exercer une surveillance continue », conseille Mathieu Fluet.

C’est ainsi qu’un de ses clients, une PME de Longueuil, a découvert que des cyberpirates hollandais avaient essayé de pénétrer ses réseaux. « Aucune entreprise n’est à l’abri, dit-il. Les hackers font des attaques massives en espérant découvrir là où il y a des failles à la sécurité. La notoriété de l’entreprise ou sa taille n’a rien à y voir. »

Combien investir pour renforcer sa cybersécurité ? Bien moins que certains dirigeants peuvent penser, assure Mathieu Fluet.

« Une PME peut mettre en place des contrôles avancés à coût minime, dit-il. Pour ce qui est des honoraires de consultation, ils varient entre 100 $ et 200 $ l’heure selon les spécialités. En fonction du nombre d’employés, il faut prévoir de 5 h à 10 h de frais d’honoraires par mois pour exercer la détection, la surveillance et l’amélioration des contrôles. »