La cybersécurité n’est pas que l’affaire des banques et des grandes institutions. Pour une PME ou un organisme sans but lucratif, les risques sont aussi importants. Êtes-vous bien protégé contre les vols de données, l’hameçonnage, les interruptions de service et l’atteinte à votre réputation dues à un cybercrime ?

Publié le 4 oct. 2021
Caroline Rodgers Collaboration spéciale

S’il est souhaitable pour une PME de souscrire une assurance contre la cybercriminalité, celle-ci ne constitue qu’une facette des mesures à prendre.

Guillaume Caron, président de VARS, filiale de cybersécurité de Raymond Chabot Grant Thornton qui offre des services, entre autres, au marché des PME, constate que la fonction cybersécurité est trop souvent inexistante chez ces sociétés, et définit les principaux enjeux à observer.

Il y a un grand manque d’éducation au sein des entreprises et il n’est pas rare de trouver des entreprises qui possèdent des milliers de données qui ne sont pas protégées selon les normes. Elles n’ont pas nécessairement conscience de l’impact qu’une brèche de sécurité pourrait avoir et de leurs implications légales, entre autres.

Guillaume Caron, président de VARS

La menace des tiers

Vos partenaires d’affaires, leurs courriels, les solutions informatiques externes sont autant de portes d’entrée potentielles pour des menaces. Comme PME, vous devez aussi démontrer à vos partenaires que vous ne constituez pas un risque.

« Savez-vous vraiment si ce que vous intégrez est sécuritaire ? Ce petit module, que vous ajoutez à votre application, a-t-il fait l’objet de tests d’intrusion ? Deviendra-t-il un point d’entrée ? Au cours des prochaines années, on va voir beaucoup de demandes de la part des gouvernements et des grands donneurs d’ordre pour que les PME qui agissent à titre de sous-traitants garantissent qu’elles ont de bonnes pratiques en cybersécurité, et demander des certifications, comme ISO 27001 », estime M. Caron.

Le manque d’objectivité

Quand on confie sa cybersécurité uniquement à son équipe ou à son partenaire externe de technologies de l’information (TI), ces services n’auront pas l’objectivité nécessaire pour évaluer leurs propres défaillances si une menace ou un évènement survient, soutient Guillaume Caron.

Les TI sont là pour gérer les réseaux et c’est une fonction complètement différente de celle de la sécurité de l’information et de la conformité. Il faut un regard externe et objectif de quelqu’un qui représente l’entreprise dans la fonction de cybersécurité.

Guillaume Caron, président de VARS

Le cas de la Chambre de sécurité financière

Pour la Chambre de sécurité financière, l’enjeu concerne, notamment, les données de ses 32 000 membres. L’organisme a choisi de faire appel à VARS comme partenaire externe.

« Nous avons des données confidentielles de très haut niveau, et nous faisons aussi des enquêtes sur le respect de la déontologie, explique Christian Faubert, vice-président des services corporatifs. Nous traitons de l’information hautement confidentielle. On a le devoir de protéger les informations de nos membres et celles du grand public, et il y a également un important risque réputationnel. »

« Notre équipe informatique ne compte que trois personnes, dit Christian Faubert. Nous avons évalué notre cybersécurité et nous avons constaté qu’il fallait mettre en place des outils de protection et de détection des menaces. Nous avons donc procédé à des tests avant d’acheter une solution où l’entreprise de sécurité, VARS, se connecte de l’extérieur pour surveiller nos systèmes. Elle offre une équipe que nous ne pouvons pas nous permettre, qui suit les menaces 24 heures sur 24, 7 jours sur 7, et nous informe des risques que nous avons, pour que nous puissions renforcer notre sécurité. »