Logo - Les Affaires
Logo - Les Affaires

Cinq conseils pour trouver un bon partenaire en cybersécurité

Fanny Tan|Édition de la mi‑octobre 2023

Cinq conseils pour trouver un bon partenaire en cybersécurité

Marc-Étienne Léveillé, chercheur en logiciels malveillants chez Eset (Photo: courtoisie)

CYBERSÉCURITÉ. Parmi la panoplie d’experts et d’entreprises offrant des services de cybersécurité, il peut être difficile de s’y retrouver. Comment s’assurer d’obtenir les solutions les mieux adaptées aux caractéristiques et aux besoins particuliers de son entreprise ? Marc-Étienne Léveillé, chercheur en logiciels malveillants chez Eset, offre cinq conseils pour trouver un bon partenaire en cybersécurité.

 

1- Établir son modèle de menace

Avant de se mettre à la recherche d’un partenaire en cybersécurité, une responsabilité nous incombe : définir les besoins de son entreprise. « La première étape, c’est de déterminer quels risques on veut contrôler et mitiger », explique Marc-Étienne Léveillé, qui évoque deux grands types de menaces visant les organisations : les attaques à incitatif financier, comme les rançongiciels, et le cyberespionnage. 

Quelles données et quels actifs numériques voulons-nous protéger ? Il peut s’agir de données de clients, ou encore de propriété intellectuelle. De qui voulons-nous les mettre à l’abri ? Quels sont les acteurs et les parties concernés ? Une attaque sur un fournisseur tiers, par exemple, peut affecter la sécurité de l’entreprise. 

C’est ici que la création d’un modèle de menace entre en jeu. Ce processus sert à organiser de manière structurée toutes les informations relatives à la sécurisation de l’organisation. En plus de permettre de déterminer les risques et les vulnérabilités, la modélisation des menaces sert à évaluer la probabilité d’être atteint ainsi que les capacités humaines et budgétaires de l’organisation en matière de cyberdéfense.

 

2- Ne pas sous-estimer l’aspect humain 

« On peut acquérir tous les derniers logiciels, mais si un employé clique sur des hyperliens dans un courriel frauduleux et permet à un logiciel malveillant d’outrepasser toutes les barrières de sécurité, l’efficacité de ces logiciels-là sera limité », argue Marc-Étienne Léveillé. « La partie “éducation” est très importante », insiste-t-il. 

Alors que certaines entreprises possèdent les ressources nécessaires en interne, d’autres devront se tourner vers des ressources externes pour développer la résilience des employés face aux cybermenaces. Pour un fournisseur de services en cybersécurité, « c’est aussi valable d’essayer de vendre une formation destinée à l’ensemble de l’entreprise que de vendre un logiciel », soutient Marc-Étienne Léveillé.

 

3- Regarder les certifications… mais ne pas s’y arrêter 

Les professionnels de la cybersécurité peuvent acquérir des certifications pour attester de leurs connaissances dans une variété de sous-domaines. Toutefois, pour le chercheur en logiciels malveillants, les certifications seules ne garantissent ni les compétences ni le professionnalisme du partenaire. « On peut avoir quelqu’un qui possède cinq certifications, mais qui n’a aucune expérience. D’autres ne sont pas certifiés, mais sont tout à fait à l’aise avec le travail demandé. Faire son choix uniquement en fonction des certifications, ce n’est pas la meilleure idée », avertit le chercheur, qui suggère de se pencher plutôt sur l’expérience du prestataire de services. 

Par exemple, a-t-il déjà travaillé pour une organisation évoluant dans notre secteur d’activité ? « Ce n’est pas essentiel, mais c’est préférable, dans le sens où le partenaire sera plus aligné sur les processus d’affaires et sera peut-être capable d’identifier plus facilement les risques », explique Marc-Étienne Léveillé.

 

4- Choisir un partenaire à l’écoute 

Déployer un produit de cybersécurité est une chose ; le configurer adéquatement en est une autre. Marc-Étienne Léveillé se souvient de nombreux cas où des organisations possédaient des solutions informatiques, mais que celles-ci, inadéquatement configurées, se révélaient complètement inefficaces.

« C’est quelque chose qui revient très souvent, confirme l’expert. On ne peut pas se dire : je vais déployer un logiciel, le poser ici, et ne plus y toucher. Il faut le comprendre, être capable de le configurer correctement, pour maximiser sa valeur. » 

Un partenaire en cybersécurité doit donc immanquablement être à l’écoute des besoins de l’entreprise et ne pas simplement appliquer des « solutions toutes faites ». « Un bon prestataire doit être capable de poser les bonnes questions et s’adapter en conséquence, indique Marc-Étienne Léveillé. Et s’il ne pose pas de questions, pour moi, c’est un drapeau rouge ».

 

5- Évaluer la réactivité du partenaire 

Les cyberattaques peuvent nous tomber dessus sans le moindre avertissement. Pire encore : il peut s’écouler des semaines, voire des mois, entre une cyberattaque et sa découverte. 

Le cas des rançongiciels est parlant, explique le chercheur en logiciels malveillants. « Ce que l’on observe, c’est qu’il peut y avoir plusieurs semaines entre l’accès initial et le chiffrement des données. Si on est capable de déterminer qu’un acteur malveillant a accès à l’un de nos systèmes et qu’il est en train de pivoter dans le réseau, d’exfiltrer de l’information, on sera peut-être capable d’éviter le déploiement du rançongiciel avant qu’il ne soit trop tard. » 

Évaluer au préalable la réactivité du partenaire en lui demandant son délai de réponse en cas d’urgence peut faire une grande différence quand la menace frappe à la porte.