Par : Avi Posesorsky, V.-P., région de l’Est, Fortinet, Canada
Planifier la cybersécurité en adoptant une approche proactive est une responsabilité et un outil puissant qui protégera votre entreprise contre les risques potentiels. L’entreprise dépend de plus en plus des systèmes informatiques pour fournir ses produits et services et gérer ses affaires. Une attaque contre ses systèmes de technologies de l’information (TI) pourrait donc gravement perturber ses activités.
Pour Fortinet, leader de l’industrie en matière de convergence du réseautage et de la cybersécurité, aider les dirigeants à comprendre ce risque est essentiel. Dans notre travail auprès des chefs d’entreprise, nous voyons bien que la cybersécurité revient constamment dans les conversations, et pas seulement chez les Responsables de la sécurité des systèmes d’information (DSI). Cela s’observe à tous les échelons de direction.
En tant que responsables de la cybersécurité, les DSI jouent un rôle essentiel dans la protection des systèmes d’entreprise et la réduction du risque de cyberattaque, dans l’intervention en cas d’attaque et dans la restauration après-coup. Ils sont là pour élaborer et mettre en œuvre les stratégies de cybersécurité, superviser les évaluations des risques et veiller au respect des réglementations.
Évaluation des risques
Pour le DSI, la première étape d’une stratégie efficace de réduction du risque consiste en une connaissance complète des risques potentiels de l’entreprise en cas de cyberattaque. Il doit aussi connaître à fond les processus opérationnels de l’organisation afin de contrer les cybermenaces plus efficacement.
L’évaluation des risques doit porter sur les processus internes pour bien protéger l’entreprise contre les intrusions. Les chefs d’entreprise doivent aussi songer aux risques externes, qui peuvent comprendre des amendes réglementaires en cas de non-conformité. Au Canada, les entreprises doivent porter attention à différents cadres législatifs, notamment la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), les lignes directrices du Centre canadien pour la cybersécurité et les réglementations régissant leur secteur. Au fil de l’évolution de ces cadres législatifs et réglementaires, les chefs d’entreprise doivent tenir compte des risques et obligations d’ordre légal dans toute stratégie de cybersécurité.
La gestion de ces risques juridiques et de TI part du sommet de la hiérarchie. Les visionnaires avec qui nous travaillons savent qu’il leur faut l’aval du conseil d’administration. Plus les administrateurs ont des connaissances approfondies sur la réglementation et le cyberrisque, plus il sera facile d’en discuter avec eux.
La résilience d’une entreprise passe par la gestion du risque
La réduction du cyberrisque est un gage de résilience. C’est pourquoi la direction de l’entreprise doit participer à l’élaboration du plan de cybersécurité. Créer un plan vérifiable responsabilise l’entreprise quant au rétablissement des services essentiels en cas de cyberincident. Au moment d’établir son plan, le DSI a intérêt à garder ces trois méthodes à l’esprit :
- Établir les priorités : La définition des systèmes prioritaires en cas de cyberattaque est un sujet délicat dont le DSI doit discuter avec la direction. Une fois le consensus établi, il est plus facile de prévoir les éléments à protéger d’abord afin de maintenir les activités essentielles de l’entreprise.
- Protégez-vous : Quand on investit dans les produits, services, ressources humaines et processus de cybersécurité, on peut faire plus avec moins. Les meilleurs investissements éloigneront votre entreprise des mille et un produits et offres plus ou moins utiles, et miseront sur le réseautage et la convergence en matière de sécurité. On parle ici d’intégration du réseau et des technologies de sécurité pour une protection plus complète et efficace contre les cybermenaces.
- Rester flexible : Offrez une gamme de solutions différentes, et soyez au fait des coûts, des échéanciers, des avantages et des risques pour l’organisation. Présenter des solutions détaillées aidera les administrateurs à prendre des décisions éclairées. C’est la responsabilité du DSI.
Dans le monde numérique d’aujourd’hui, les cyberattaques devraient toujours figurer parmi les principaux risques d’entreprise. Les dirigeants doivent traiter la cybersécurité en priorité, mais le DSI doit aussi songer à l’entreprise dans son ensemble : gestion du risque, maintien des activités et respect des exigences légales.
Les éléments actifs et passifs de sécurité doivent guider les DSI dans leurs investissements. Les solutions désuètes, même si elles étaient à la fine pointe de la technologie au moment de leur installation, ne répondront pas aux besoins d’une entreprise moderne. Ce sont plutôt les plateformes intégrées réduisant le nombre de technologies, de processus et de fournisseurs qui alimenteront la transformation des technologies numériques – et qui permettront la gestion du risque et la résilience dont l’entreprise a besoin pour prospérer.
Fortinet est un pionnier de la cybersécurité avec des années d'innovation organique développée dans nos principaux centres de R&D en Amérique du Nord et au Canada, avec des investissements locaux en ingénierie et en recherche sur les menaces au Canada.
