Votre meilleure stratégie possible en matière de sécurité

Pour optimiser la sécurité de votre entreprise, il est important de fixer judicieusement vos priorités en tenant compte des compétences, du budget et du facteur de la responsabilité juridique.

Dans ce deuxième article d’une série de quatre, nous jouerons avec l’idée de « tracer des lignes dans le sable » pour façonner votre approche de gestion des TI. Lorsque de nouvelles exigences en matière de TI se présentent, comment les abordez-vous tout en poursuivant la gestion de vos activités courantes?

Le concept est né de discussions entre deux experts de TELUS, David Steele et Nathan Roarty, Architectes Solutions Clients. De leur point de vue, les décisions prises au sujet des compétences, de l’argent et de l’aspect responsabilité peuvent déterminer la proportion des dossiers de TI que vous gérerez à l’interne et celle que vous confierez à des experts.

Voyons comment cela s’applique dans différents secteurs des TI, comme celui de la cybersécurité. Dave et Nathan ont des perspectives intéressantes sur le sujet.

Q : Quelles sont vos impressions sur l’état actuel de la gestion de la cybersécurité?

DS : C’est un aspect qu’il est coûteux de gérer de façon proactive. Par exemple, il faut penser aux compétences, au matériel, à l’architecture et aux vérifications de la conformité. Dans beaucoup d’aspects des TI, particulièrement celui de la cybersécurité, les coûts de maintenance sont élevés, mais ceux d’une négligence entraînant une responsabilité juridique le sont encore plus. La gestion de la sécurité est en constante évolution. Les choses bougent rapidement. Par conséquent, il faut être réactif. Cela dit, même à jour… vous êtes en retard!

NR : La cybersécurité est un peu différente du reste des TI. En effet, la menace d’un ennemi insaisissable plane toujours dans un contexte où les « bons » et les « méchants » jouent constamment au chat et à la souris. La cybersécurité est le seul volet des TI où l’ennemi, invisible, a une si grande influence, ce qui rend très difficile le choix des solutions.

Vous devez vous interroger sur des questions délicates, par exemple ce que vous auriez à perdre si vous deviez être ciblé par des attaques. Les réponses orienteront vos investissements et vos priorités. Il est aussi important de prendre en compte des facteurs internes et externes, comme la taille et le profil du client, le contexte réglementaire, les failles particulières et la menace, de même que les technologies employées.

Q : Où « traceriez-vous la ligne dans le sable » en ce qui a trait aux compétences et à la sécurité?

NR : Les compétences en sécurité sont rares dans le marché, encore plus quand elles doivent correspondre à la menace particulière à laquelle vous êtes exposé. Dans le domaine, les compétences évoluent au même de rythme que la menace… Savoir se tenir à jour devient une compétence proprement dite! Comme la sécurité est en constante mutation, il est pratiquement impossible de conserver à l’interne le bon profil de compétences, adapté au cycle complet de la sécurité.

DS : La longévité a aussi son importance dans les compétences en matière de sécurité. Vous faut-il une personne à temps plein ou encore une autre affectée ponctuellement à des aspects précis de votre sécurité? En général, vous devez cultiver certaines compétences de TI à l’interne pour bonifier votre capital intellectuel. Cela dit, bien des aspects de la sécurité pointent vers l’extérieur et ne contribuent pas directement à l’innovation et à la rentabilité. Or donc, lorsqu’on « trace la ligne dans le sable » pour baliser les services de cybersécurité, je recommande de poser la question suivante : l’entreprise doit-elle posséder la compétence ou simplement y avoir accès?

Mon travail avec un client illustre bien la question. Il s’agissait d’une PME qui comptait une ressource générale voyant efficacement à ses activités de TI. Cependant, lorsque le système téléphonique de l’entreprise a fait l’objet d’une attaque, cette personne n’avait pas les connaissances approfondies en sécurité nécessaires. Il y avait aussi une difficulté d’accès physique aux succursales pour mettre en œuvre la bonne solution de sécurité. Dans ce contexte, l’entreprise s’est tournée vers un fournisseur en mesure de régler le problème de sécurité et a donc employé une compétence externe plutôt qu’une des siennes.

Q : Combien les entreprises doivent-elles investir pour se protéger suffisamment?

NR : En sécurité, on peut investir à l’infini et obtenir un rendement décroissant. En fait, dans ce domaine, l’investissement et la responsabilité juridique sont intimement liés. Toutes les entreprises doivent évaluer le coût des mesures de cybersécurité par rapport aux coûts d’atteintes éventuelles. À l’amorce d’un projet avec un client, l’équipe de sécurité de TELUS effectue une enquête et une analyse, produit un rapport, et classe différentes activités selon leur coût de mise en œuvre et la menace à laquelle elles s’appliquent. L’investissement doit être progressif.

DS : Les dépenses consacrées à la sécurité ne relèvent pas de règles absolues. L’objectif sera d’assurer la meilleure efficience possible sur le plan de la sécurité, en tenant compte des compétences et de l’aspect responsabilité juridique. Les entreprises doivent se poser des questions cruciales sur ce qu’elles dépensent déjà en la matière. Les solutions en question répondent-elles à leurs besoins? Le niveau de sécurité obtenu reflète-t-il l’investissement? Quels sont les coûts de certains types d’atteintes à la sécurité et des correctifs, le cas échéant? Voilà où « tracer la ligne dans le sable ».

Q : Et qu’en est-il de la responsabilité juridique? Faut-il aussi tracer une ligne dans ce cas?

NR : Les nouvelles réglementations prévoient deux niveaux de responsabilité, un organisationnel et un personnel. Dans ce nouveau contexte réglementaire, les particuliers peuvent être tenus personnellement responsables d’atteintes à la sécurité. Voilà qui motive grandement les entreprises à travailler avec des experts, car personne ne souhaite être personnellement imputable.

DS : Quand vient le temps de choisir de faire le travail à l’interne ou de le confier à un expert, il importe d’analyser les deux côtés de la médaille en matière de responsabilité juridique. Premièrement, la responsabilité présente un coût réel. À combien s’élèvent les amendes possibles? Et quelles sont les répercussions moins tangibles, par exemple sur la marque ou la réputation de l’entreprise? Ensuite, il faut s’interroger sur la responsabilité réglementaire. Une connaissance des critères de conformité et des conséquences d’une atteinte est essentielle lorsqu’on trace la ligne pour ce qui est de la responsabilité.

Q : Avez-vous fait d’autres observations?

NR : Les compétences, les finances et la responsabilité juridique sont tous des aspects influençant la façon de gérer la cybersécurité. Les compétences supposent des défis, l’argent permet de quantifier le « niveau de sécurité », et la responsabilité juridique est la conséquence, qui joue sur les deux premiers facteurs. Les trois volets pèsent dans la balance et sont interreliés. En voyant bien comment les compétences, l’investissement et la répartition de la responsabilité se présentent au sein de votre entreprise, vous pourrez établir son niveau de risque et d’exposition.

DS : En « traçant votre ligne dans le sable » en matière de cybersécurité, vous déploierez votre meilleure stratégie possible pour vous assurer une sécurité adéquate. Je parle de « meilleure stratégie possible » parce vous travaillez à la lumière de l’information qui vous est accessible à un moment précis. En fait, un tel effort représente une aspiration réaliste, vu le nombre et la rapidité de changements dans le domaine de la sécurité. Il est essentiel d’évaluer honnêtement vos compétences, votre investissement et la responsabilité qui peut vous incomber dans le cadre de votre analyse rigoureuse, ce qui vous aidera à déterminer en quoi un fournisseur externe peut combler vos lacunes et diminuer votre risque.

Dans le prochain article, Nathan et David aborderont la façon de « tracer une ligne dans le sable », cette fois pour la gestion des mises à niveau technologiques.