Cybersécurité : des solutions pour les PME
Aucune entreprise québécoise n’est à l’abri des cyberattaques. En 2022, la cybersécurité au sein des PME est devenue un enjeu crucial.
Les gestionnaires de PME ont à leur disposition une série de mesures et de pratiques pour concrètement et rapidement se protéger contre les cyberrisques, à condition de prendre conscience que ces nouveaux risques existent et qu’ils doivent être réduits.
Pour comprendre les risques et la marche à suivre pour les PME qui doivent mettre à niveau leur sécurité, nous avons rencontré Alexandre Blanc, conseiller – Stratégie et sécurité chez VARS (Raymond Chabot Grant Thornton). M. Blanc est expert en cyberrisque, en infrastructures locales et en analyse du paysage des menaces mondiales. Il cumule plus de 20 ans de gestion d’infrastructures ainsi que de protection et de sécurisation des systèmes contre les menaces.
Que faut-il prendre en compte en cybersécurité?
M. Blanc explique les éléments de base en matière de cybersécurité qui doivent guider les PME. Tout commence par une bonne hygiène de gestion des systèmes. Concrètement, cela se traduit par les actions suivantes :
- Mettre en place un service dédié à l’interne ou désigner un responsable en technologie de l’information venant de l’externe; la simple installation d’un antivirus, dans le contexte actuel, ne suffit pas;
- Procéder à la mise à jour régulière des serveurs et des systèmes et appliquer de meilleures pratiques;
- Implanter des mots de passe complexes et activer l’authentification multifacteur sur tous les comptes;
- Tenir les employés informés des cyberrisques et des possibilités d’attaques;
- S’associer à une entreprise partenaire qui va appuyer la PME dans sa démarche d’amélioration de postes de sécurité; le rôle du partenaire est d’avoir un plan en cas d’incident, de mettre en place des mesures et de fournir les outils pour les mettre en place;
- Comprendre que le propriétaire du risque, même si un partenaire externe est impliqué, demeure la PME et que celle-ci est responsable d’avoir un plan de réponse en place ainsi que des politiques de protection adéquates;
- Se questionner sur les processus qui seront activés en cas d’incident ou d’attaque;
- Élaborer un plan de réponse aux incidents de cybersécurité pour s’assurer de protéger la continuité d’exploitation;
- Mettre en place une solution intégrée grâce à des contrôles technologiques;
- Protéger les points de terminaison des postes de travail et des serveurs avec des solutions de défense appuyées par des équipes de sécurité;
- Former les utilisateurs à la cybersécurité grâce à un programme de sensibilisation; un tel programme va permettre de soutenir l’activité des employés et des utilisateurs tout en s’assurant que les politiques de sécurité sont respectées par l’ensemble du personnel;
- Élaborer une politique de gouvernance des données pour s’assurer que seules les bonnes personnes ont accès aux données dont elles ont besoin.
Par ailleurs, selon la maturité des mesures déjà en place au sein de l’organisation, Alexandre Blanc recommande aux dirigeants de PME d’établir un système de gestion des événements et des informations de sécurité permettant de collecter et de tracer toute activité dans les systèmes informatiques de l’organisation.
Quels sont les risques pour mon entreprise?
Les PME ont aussi l’option d’effectuer une analyse de leur empreinte numérique sur le Web clandestin (dark Web) une fois par an. Cette analyse permet d’évaluer la vulnérabilité de l’entreprise. Une recherche en profondeur permet de confirmer si des mots de passe de l’entreprise, des accès ou des informations sur les systèmes internes sont vendus ou distribués sur les marchés criminels.
Au Québec, rappelle M. Blanc, selon les changements apportés à la Loi 25 – le régime de la protection des données personnelles et sensibles –, toute entreprise qui collecte des données identifiables ou des données privées doit les protéger et bien les gérer. Cette loi oblige les entreprises à nommer une personne responsable de la protection des données privées; si personne n’est identifié au sein d’une PME, c’est le plus haut dirigeant qui hérite de la responsabilité.
Les conséquences d’une non-conformité en cas d’incident peuvent aller jusqu’à des condamnations criminelles et des amendes très onéreuses. Cependant, une entreprise qui aurait fait des démarches positives pour prendre en charge la sécurité de ses systèmes, qui aurait déployé des outils de protection adéquats et qui est bien accompagnée dans sa démarche pour se protéger des cyberattaques va pouvoir démontrer que le risque a été géré de façon responsable et ainsi établir qu’il n’y a pas eu de négligence en matière de gestion des données.
Finalement, selon Alexandre Blanc, il est impossible de se protéger à 100 % de tout incident; la mise en place des meilleures pratiques permet toutefois de réduire les répercussions et de contenir les dommages si jamais votre entreprise était victime d’une cyberattaque.