La cybersécurité a évolué énormément dans les dernières années. Au début des années 2000, les incidents de cybersécurité étaient isolés. Les malfaiteurs visaient la propriété intellectuelle, les comptes bancaires, les numéros de cartes de crédit et les informations stratégiques ou militaires.
Aujourd’hui, le cybercrime est systématique. Il est très bien organisé et très bien financé. C’est une industrie bien rodée qui convoite vos données pour les monétiser d’une multitude de façons. Si bien, même, que les revenus mondiaux du cybercrime, en 2021, positionneraient cette économie comme la 3e plus grande au monde derrière les États-Unis et la Chine.
Les grandes entreprises allouent énormément de ressources humaines et financières pour faire face à la menace et malgré cela, chaque semaine, elles font malheureusement les manchettes.
Du côté des petites et moyennes entreprises, le carnage est moins médiatisé, mais encore plus sanglant. Plusieurs d’entre elles évaluent très mal le risque d’une attaque. Les président(e)s de ces organisations considèrent souvent qu’il s’agit d’un problème technique et que l’équipe technique l’a «probablement» déjà pris en charge.
Le cyberrisque est tellement élevé que plusieurs assureurs refusent maintenant d’offrir une couverture pour ce type de risque. La menace d’une cyberattaque est imminente pour toutes les organisations utilisant de la technologie.
Les experts instantanés
La pénurie de ressources spécialisées jumelée à la recrudescence des attaques a créé un engouement pour la cybersécurité. Certaines organisations œuvrant dans des domaines connexes voient une belle opportunité d’augmenter leurs revenus. Ces organisations, sans aucune expérience ni expertise en cybersécurité, deviennent, en quelques ajouts sur leur site web, des spécialistes.
Il en est de même pour les individus. Chaque mois, je vois naître de nouveaux spécialistes en cybersécurité. Malheureusement, ces spécialistes ont tendance à proposer des solutions magiques qui bloquent toutes les attaques. C’est un peu comme la potion magique qui vous fera perdre 20 livres sans effort ni changement à votre alimentation. C’est attrayant et plusieurs technologues vont succomber à cette tentation de la facilité.
Les clients sont déroutés
L’achat de solution de cybersécurité est une nouveauté pour plusieurs organisations. La hausse des attaques, la pandémie, les demandes des assureurs, la loi 25 et la migration vers des solutions infonuagiques les placent dans une situation où ils doivent agir. Qui croire? Celui qui dit que son équipement de sécurité vous protégera de 99% des attaques une fois branché? Ou l’autre, qui veut vous vendre des services de consultation pour évaluer l’état actuel des choses? Les équipes TI opèrent très souvent avec des effectifs réduits. La complexité de leur environnement technologique a explosé avec le télétravail et l’infonuagique. L’intérêt de repousser la décision en demandant d’évaluer l’état actuel des choses est grand. On gagne un peu de temps.
La promesse d’une solution sans effort de mise en œuvre et de maintenance, qui s’achète de la même façon qu’une imprimante est aussi très attrayante. Même si ça semble trop beau pour être vrai, le technologue qui prend la décision s’appuie sur la parole d’un vendeur d’une société connue.
La haute direction lève le nez
Encore aujourd’hui, quand je parle à des PDG, certain(e)s me disent qu’ils ont des gens pour gérer les aspects techniques de leur compagnie. La cybersécurité est encore vue comme une commodité au même titre que les téléphones, les imprimantes et les courriels. Malheureusement, ces dirigeant(e)s sont pris au dépourvu quand une attaque les frappe.
Les procédures de réponse sont inexistantes, les communications avec les clients et les fournisseurs sont chaotiques, la remise en marche des systèmes, si elle est possible, peut prendre plusieurs semaines. Les impacts financiers et réputationnels sont majeurs. Parlez-en à Sunwing, ils doivent être encore en pleine gestion de crise.
La haute direction doit s’impliquer
Il n’y a pas d’équipement de cybersécurité qui vous protège complètement des attaques. Les attaques peuvent frapper à différentes portes. Il faut travailler avec votre fournisseur pour identifier ces portes et les protéger. Malgré la protection, il est possible qu’un acteur malveillant se faufile. Il faut être capable de le détecter et le repousser rapidement en limitant les dégâts.
Il y a des milliers de solutions de cybersécurité. La plupart des solutions visent un segment très pointu. Chaque solution augmente le coût total de la cybersécurité d’une organisation et plusieurs solutions de cybersécurité sont nécessaires pour la protéger. Ces solutions doivent être installées, intégrées les unes aux autres, surveillées et maintenues en tout temps. Elles sont complexes et nécessitent une expertise pointue.
Vous n’avez pas besoin de payer pour faire évaluer votre maturité en cybersécurité si les éléments fondamentaux sont absents. Personnellement, je considère que c’est une très mauvaise allocation du capital. Pourquoi investir des milliers de dollars dans un rapport lorsqu’on en connaît déjà les résultats?
Les éléments de base comme l’authentification à plusieurs facteurs, l’identification des données sensibles, la protection centralisée des courriels, des postes et des serveurs sont nécessaires. Si vous ne les avez pas, c’est ce qui devrait être priorisé. Si votre véhicule n’a pas de frein, vous n’avez pas besoin d’une inspection en 91 points pour vous convaincre de les faire installer.
La cybersécurité n’est pas une fonction uniquement technologique. La haute direction doit être impliquée dans la sélection d’un partenaire de confiance. Elle doit faire partie prenante des procédures d’escalade et de réponse à une attaque. L’efficacité des procédures de signalement et de réponse à un incident aura un impact significatif sur les dommages causés par ce dernier. En cas d’incident majeur, la haute direction doit prendre des décisions rapides. Si elle n’est pas préparée, elle ne sera pas efficace. Les dommages seront plus grands.
La taxe cybersécurité
Malheureusement, la cybersécurité ne s’achète pas comme une imprimante, un serveur ou un téléphone. La cybersécurité est maintenant un investissement que toutes les organisations sérieuses devront effectuer.
Elle fait désormais partie du coût des affaires. Il est primordial d’acquérir des connaissances dans le domaine en s’alliant à un partenaire de confiance. Ce dernier vous posera des questions sur votre entreprise, sur ce que vous voulez protéger en priorité, sur les procédures de remédiation et d’escalade en cas d’incident.
Il s’agit de questions fondamentales dont vous devrez être en mesure de répondre ou d’avoir le bon accompagnement pour trouver les bonnes réponses, rapidement.