×
Veille & Tendances

[Webinaire] La cybersécurité, l’affaire de tous

Dans un contexte où les technologies sont omniprésentes, les risques sont bien réels pour les entreprises, mais souvent difficiles à juger. Enjeux de cybersécurité, confidentialité des données, hameçonnage, piratage? En partenariat avec la Banque Nationale, nous avons mis à contribution l’expertise de Frédérick Gagnon, officier de sécurité d’affaires pour répondre aux questions de notre communauté.

1. La cybersécurité, c’est quoi? Pourquoi est-ce un enjeu prioritaire pour les PME?

La cybersécurité est un art. En fait, c’est l’art de protéger ses actifs tout en assurant la confidentialité, l’intégrité et la disponibilité des données.

Peu importe la grandeur de l’entreprise, vous n’êtes jamais à l’abri d’un acteur malveillant qui juge qu’il y a un gain quelconque à faire avec votre propriété intellectuelle, vos ressources monétaires ou votre capacité de production.

2. Quels sont les risques d’une absence de cybersécurité pour une entreprise?

Les principaux risques liés à une lacune en matière de cybersécurité sont:

  • La propriété intellectuelle

En d’autres mots, qu’est-ce qui fait que vous êtes en affaires. C’est cette propriété qui est la plus souvent visée.

  • La réglementation

Selon votre secteur, vous êtes tenus par une réglementation en ce qui concerne les renseignements personnels que vous avez en votre possession. En fonction de vos fournisseurs et leur localisation, il se peut aussi que vous ayez à vous adapter à une réglementation spécifique.

Sans protection ou mécanisme, vous serez plus sujets à des risques d’attaques.

  • La perte de confiance de nos clients et partenaires

Vous devez prendre au sérieux la cybersécurité, car cela représente aussi un risque pour vos clients, vos partenaires et vos fournisseurs.

3. Quelles sont les bases et les bonnes pratiques à mettre en place?

Il existe plusieurs ressources au Québec. La Banque Nationale est un membre fondateur de Cybereco, votre référence multisectorielle en cybersécurité au Québec et au Canada. Développez votre main d’œuvre et renforcez la résilience de votre entreprise en utilisant la Cybertrousse. Vous y retrouverez des éléments de sensibilisation pour les employés, les gestionnaires et les responsables des TI, des pistes pour écrire une politique de cybersécurité et des conseils de base pour le grand public pour vous protéger à la maison.

Avant de vous lancer dans les grands projets, vous devez retourner à la base. Maîtrisez vos actifs organisationnels et questionnez-vous sur ce que vous devez protéger. Que ce soit le service des tiers, le flux d’information ou l’accès, tout doit être pris en considération. Dans un contexte d’affaires, n’hésitez pas à faire appel à une firme externe pour vous mettre en mouvement. Ils pourront vous accompagner à travers les différents mécanismes de protection en plus de vous aider à sensibiliser vos employés.

4. Quel impact la Loi 25 aura-t-elle sur les entreprises du Québec? Comment s’y préparer?

La Loi 25 entrera en vigueur de manière progressive. Dès le 22 septembre 2022, il y a certaines activités que vous devrez atteindre, et ce, jusqu’à pareille date en 2024.

À retenir

  • Nommez une personne qui sera responsable des renseignements personnels à l’intérieur de notre organisation. À défaut de nommer quelqu’un, ça sera la personne responsable de l’entreprise.
  • Mettez en place un cadre de gouvernance.
  • Faites l’évaluation relative à la vie privée.

5. Comment s’assurer que les employés comprennent et considèrent la cybersécurité?

Il est primordial de développer une culture de cybersécurité et d’ouvrir le dialogue avec ses employés. Cela n’arrivera pas spontanément. À la Banque Nationale, nous disons: la cybersécurité, c’est l’affaire de tous!

Tout le monde a un rôle à jouer pour déceler ou cibler une situation à risque. Il faut donc impliquer chaque acteur de votre entreprise.

6. Quelles sont les ressources pour aider les PME du Québec à faire face à ces nouvelles normes?

L’organisme gouvernemental PROMPT offre de l’accompagnement pour la cybersécurité aux entreprises afin d’aller chercher des certifications. Il y a des agents de compte qui travaillent avec les entreprises pour choisir les bons mécanismes d’accompagnement que ce soit pour identifier une firme externe pour vous certifier ou établir les actions à mettre en place pour vous protéger.

7. Quelles sont les exigences minimales en cybersécurité qui doivent être incluses dans les réponses aux appels d’offres?

Tout dépendant du secteur d’affaires, il y aura une influence sur les appels d’offres. Les entreprises qui requièrent des soumissions doivent regarder leur référentiel en fonction du niveau de contrôle de leurs données et des bonnes pratiques qu’elles utilisent. Si vous avez des certifications, c’est encore mieux.

8. Comment bien choisir son assurance et que devrait-il arriver le jour où l’on se fait cyberattaquer?

Si ça arrive, vous devez être prêt – assurance ou pas. La question fondamentale à vous poser est: qu’est-ce que j’ai fait pour me préparer, peu importe l’angle d’attaque? Vous pouvez développer des scénarios et faire des simulations afin d’identifier des intervenants à l’intérieur de l’entreprise qui vont savoir quoi faire le moment venu. Vous pouvez aussi identifier une tierce partie pour vous aider à répondre à l’incident et limiter les dégâts.

L’assurance est un élément qui viendra vous aider à limiter votre perte que ce soit une perte d’activité reliée à l’attaque ou à des données sensibles. Par contre, les obligations sont assez élevées pour souscrire à une assurance de type «cyber». Une hygiène de base doit être faite préalablement.

9. Est-ce que des technologies de détection automatique des menaces peuvent être utilisées pour réduire l’implication et l’erreur humaine?

Plus vous avez d’outils qui impliquent de l’intelligence artificielle dans la réponse aux incidents, plus vous serez libéré d’une certaine implication d’un point de vue humain. Bien entendu, ça facilite beaucoup, et surtout, ça peut vous permettre de réagir plus rapidement et adéquatement à certains événements de cybersécurité. Par contre, ce sont des outils plus coûteux que la normale (antivirus, protection de données, etc.).

10. Quel profil et quelles compétences faut-il rechercher dans nos premières embauches d’experts en TI et cybersécurité?

Dans la cybertrousse, vous trouverez une bonne base d’information à ce sujet. Puis, vous pouvez aussi être accompagné durant le processus. Il existe plusieurs entreprises, partout au Québec, qui vous aideront à préparer un plan qui pourra inclure une approche pour embaucher une ressource. Pour une PME, vous pouvez prioriser un joueur versatile qui pourra naviguer à travers les outils et, par la suite, regarder pour agrandir votre équipe.

En savoir plus sur la sécurité en ligne et prévention de la fraude