Comment prévenir les risques et menaces de cybersécurité en entreprise?
Depuis la démocratisation du travail à distance et la loi 25 sur la protection des renseignements personnels, les entreprises sont de plus en plus conscientes de l’importance de mettre en place des mesures efficaces en matière de cybersécurité. Si le risque zéro n’existe pas, le spécialiste en cybersécurité, Jean-Philippe Racine, soutient qu’il est néanmoins possible de mettre en place certaines mesures pour éviter le pire.
Il n’est pas rare de voir des incidents de cybersécurité défrayer les manchettes, qu’il s’agisse d’un vol massif de données, d’une interruption majeure de services ou de pertes financières importantes. Est-ce qu’un incident de cybersécurité est synonyme de négligence de la part d’une entreprise ?
Pas nécessairement. Parce que la sécurité à 100 % n’existe pas. Même si elles ne font pas les manchettes, tous les jours, au Québec, il y a des brèches de cybersécurité qui surviennent et qui impliquent ou n’impliquent pas des renseignements personnels. C’est beaucoup plus fréquent qu’on peut penser. On peut avoir mis un ensemble de bonnes pratiques en place et être victime d’un incident de cybersécurité malgré tout.
Si la sécurité à 100 % n’existe pas, comment les entreprises peuvent-elles se protéger ?
En connaissant les différents risques et menaces existants et en s’assurant de mettre en place les meilleures façons de faire, les entreprises viennent diminuer les chances qu’un incident de cybersécurité survienne. Elles viennent aussi diminuer l’impact qu’un tel incident peut générer. Une entreprise qui a mis en place différents éléments de sécurité va sans doute être moins impactée qu’une entreprise qui n’a rien fait – la quantité de renseignements personnels va être moins importante, par exemple. On va donc avoir atténué les risques et les conséquences d’un incident.
Et quels sont les principaux risques et menaces de cybersécurité pour une entreprise ?
Ça dépend de l’entreprise. Une institution financière n’aura pas les mêmes risques et menaces qu’une petite librairie de quartier, par exemple. Même les obligations légales sont différentes d’une entreprise à l’autre. Par exemple, les organisations qui sont dans le domaine financier vont faire face à des obligations légales différentes des entreprises dans le domaine du commerce au détail.
Pour aider à prioriser ce qu’on veut sécuriser, il faut évaluer la valeur des informations qu’on veut protéger et l’impact qu’un incident de cybersécurité pourrait générer. Par exemple, si une entreprise n’a plus accès à ses informations à l’interne, quel impact cela va-t-il avoir ? Si l’information est modifiée par quelqu’un sans autorisation, quel impact cela pourrait-il générer ? Et si l’information était divulguée en lien avec la fonctionnalité, quel impact ça aurait pour l’entreprise et sa clientèle ? Une fois qu’on a établi la valeur et qu’on a évalué les risques, ça va nous permettre de savoir quel est le top 10 des risques et menaces de notre entreprise, à nous.
Existe-t-il des normes en matière de cybersécurité ?
Oui. Il y a notamment les normes ISO 27001 et ISO 27002. Celles-ci sont des cadres de référence pour guider les organisations sur ce qui devrait être mise en place. Ces normes mettent beaucoup de l’avant l’amélioration continue en matière de sécurité informatique. Il ne s’agit donc pas uniquement de mettre des contrôles en place, mais aussi de s’assurer que ces contrôles-là fonctionnent adéquatement, de manière continue et que, d’une année à l’autre, on s’améliore. Ces normes donnent donc de la crédibilité aux entreprises en matière de cybersécurité.
Ce ne sont pas toutes les organisations qui ont besoin d’aller chercher ces certifications ISO, mais elles sont pratiques malgré tout, car elles servent de référentiel pour s’assurer qu’on demeure dans les bonnes pratiques. Ces certifications sont également utiles pour quelqu’un qui est appelé à mettre en place des normes de sécurité au sein d’une organisation, car elles vont lui permettre de prouver, notamment aux gestionnaires, qu’elle ne sort pas ça de son chapeau, mais qu’elle s’appuie sur un référentiel reconnu. Ça donne de la crédibilité.
Pensez-vous que les entreprises sont suffisamment conscientisées par rapport à la cybersécurité, et qu’elles prennent les risques au sérieux?
Ça demeure un travail continu. Depuis les cinq dernières années, je dirais que les organisations sont plus sensibilisées, surtout depuis la COVID et le travail à domicile. La cybersécurité passe par la vigilance humaine et cela exige de maintenir un effort constant de sensibilisation et de formation.
Les dirigeants des organisations, lorsqu’ils vont de l’avant avec un projet informatique, devraient toujours penser à allouer un budget à la cybersécurité pour s’assurer que leur entreprise demeure à un niveau de sécurité acceptable.
Envie d’être mieux outillé pour affronter les risques et menaces en matière de cybersécurité ? Inscrivez-vous dès maintenant à la formation, Démystifier la cybersécurité : le top 10 des risques et menaces.
3 septembre 2025