Q. Comment une entreprise peut-elle faire preuve de leadership en matière de cybersécurité ?
R. D’abord, il est important de souligner que toutes les entreprises doivent prendre au sérieux les enjeux de cybersécurité. Certains sont communs à la majorité des entreprises, tandis que d’autres seront propres à l’entreprise, selon son domaine d’activité, les technologies qu’elle utilise et les renseignements qu’elle recueille.
De ce fait, une entreprise qui fait preuve de leadership en la matière se doit d’évaluer ses risques afin de bien connaître ce qui est déjà fait et ce qu’il reste à faire. L’évaluation du risque permettra d’établir un plan tout en priorisant ses investissements de manière à abaisser le risque le plus possible afin de dépenser le moins d’argent et d’efforts possible. Néanmoins, une entreprise qui fait preuve de leadership est consciente que la cybersécurité demande un effort constant et que ce n’est pas un seul projet qui va régler tous les problèmes.
Q. Quel pourcentage de ses revenus et de son temps une entreprise devrait-elle consacrer à la protection de ses données et à l’éducation de ses employés au sujet de cet enjeu ?
R. Il est difficile de répondre à cette question sans la contextualiser. Le pourcentage du budget pourrait varier selon l’industrie, la sensibilité des informations et plusieurs autres paramètres, comme l’analyse de risque que l’on a mentionnée auparavant. Ce que nous voyons cependant ressemble à 0,5 % à 1 % du volume d’affaires d’une entreprise. Donc, une entreprise avec un chiffre d’affaires de 2 millions de dollars doit investir de 10 000 $ à 20 000 $ par année.
Il faut toutefois comprendre que ce n’est pas juste une question d’achat du bon antivirus ou du bon coupe-feu. Parfois, la cybersécurité peut être améliorée simplement en prenant le temps de bien configurer les applications que l’on possède déjà. À d’autres moments, investir en cybersécurité, ce sera choisir un logiciel CRM (logiciel de gestion client) plutôt qu’un autre, qui inclura des fonctionnalités permettant à l’ensemble des employés de travailler de manière plus sécuritaire.
Q. Pourquoi, à votre avis, les PME négligent-elles encore la menace de cyberattaques en entreprise ?
R. Il y a encore beaucoup de PME qui croient qu’elles ne sont pas assez grosses pour être la cible de pirates. Pourtant, les sources sont multiples. Ça peut être un employé mécontent, un concurrent malfaisant ou encore tout simplement une attaque automatisée qui vise un grand nombre d’entreprises. Il faut comprendre que la majorité des attaques ne sont pas très complexes et ne requièrent pas un niveau d’expertise élevé de la part du pirate pour atteindre sa cible. Finalement, encore beaucoup trop d’entreprises croient qu’en confiant à un fournisseur informatique leur gestion des TI, ce ne sera plus de leur responsabilité. Ce qui est totalement faux.
Q. Pourquoi est-il recommandé de ne pas verser de rançon après une attaque ou un vol de données ?
R. Ce n’est pas recommandé, car rien n’empêche le malfaiteur de revenir, quelques semaines plus tard, perpétrer une nouvelle attaque. De plus, il n’est jamais garanti que vous recevrez la clé de déchiffrement, une fois le virement effectué. D’ailleurs, de plus en plus de pays envisagent de rendre illégal le paiement de rançons. Pour toutes ces raisons, de moins en moins d’assureurs en cyberrisques vont accepter de payer une rançon et vont plutôt préconiser une approche préventive qui vise à avoir de bonnes sauvegardes qui sont testées régulièrement et qui ne peuvent être effacées par les pirates.