Tandis que le numérique est en constante mutation et que la cybersécurité devient un enjeu de plus en plus important, les entreprises n’ont d’autre choix que de faire évoluer leurs pratiques. Voici le point de vue de trois experts sur la question.
Avec l’adoption de la Loi 25, qui encadre la protection de la vie privée et des données personnelles, les entreprises doivent revoir leur façon de faire en matière de cybersécurité. « La transformation numérique est un accélérateur qui permet de faire évoluer les entreprises plus rapidement, explique Fred Peter Boucher, directeur financier du groupe NOVIPRO. Elle apparaît sur tous les fronts et nous pousse à mieux comprendre notre marché, nos clients et nos fournisseurs. »
Un des impacts majeurs de la transformation numérique concerne les métiers en cybersécurité, explique Nora Thibault, directrice de la sécurité de l’information chez EXFO, une firme experte en matière de tests, de surveillance et d’analyse de réseaux. « Avant, on était confinés au contrôle des TI. Maintenant, il faut être plus proche des équipes afin de saisir leurs besoins pour mieux sécuriser les données et les systèmes des entreprises. Quand on ne comprend pas l’impact qu’une cyberattaque peut avoir sur l’entreprise, on ne peut pas bien faire notre travail. »
Et il n’y a pas que les tâches des employés qui se transforment. « Le profil des gens qui travaillent en cybersécurité devient plus humain et plus diversifié », poursuit Nora Thibault. Les « pentesters », soit ceux et celles qui font les tests d’intrusion dans la sécurité d’un système d’information, sont au cœur des équipes. « On a besoin de leurs connaissances pour comprendre les potentielles attaques. De plus en plus, notre rôle est de rassurer nos clients. Nous devenons une sorte de cyberassurance pour les entreprises. »
Une évolution dans les pratiques
Comme le milieu est changeant, les entreprises doivent concevoir un écosystème qui arrive à s’adapter rapidement, mais de façon sécuritaire. « L’écosystème d’aujourd’hui est plus complexe, dit Fred Peter Boucher, mais en contrepartie, il nous permet de faire des choses qu’on ne pouvait pas faire avant. » La cybersécurité, qui devient ainsi un enjeu délicat, comporte l’obligation de mettre en place une gouvernance dans un contexte d’éléments évolutifs et inconnus. « Il faut donc construire un écosystème flexible et rester à l’affût de notre marché, comprendre ses enjeux et opérer une transformation continue. »
« L’adaptation, c’est le nerf de la guerre », dit de son côté Gabrielle Botbol, « pentesteuse » et blogueuse en cybersécurité. D’un côté, il y a les technologies et tout ce qu’on ne connaît pas encore qui pourrait mener à des cyberattaques. De l’autre, il y a l’entreprise, ce qu’elle fait et les impacts qu’une cyberattaque peut avoir sur elle. Il importe donc, estime-t-elle, de toujours s’ajuster afin de voir venir les potentielles failles pour mieux protéger les données importantes.
Une modernisation de la perception de la cybersécurité
Alors que plusieurs entreprises perçoivent le budget alloué à la cybersécurité comme une dépense, Gabrielle Botbol rappelle que les coûts engendrés par une cyberattaque peuvent être très élevés. « Il y a des entreprises qui ont dû fermer parce que des cyberattaques ont été trop coûteuses. » Il importe donc de changer les perceptions en ce qui concerne l’importance de la cybersécurité.
La « pentesteuse » est d’avis que la Loi 25 contribuera à responsabiliser les entreprises et les amènera à adopter des pratiques plus sécuritaires. Car au-delà de la loi, c’est aussi leur réputation qui est en jeu.