L'équipementier a été fondé en 1899. (Photo: 123RF)
SE TIRER D’AFFAIRES (4/6). CCM Hockey ne veut pas uniquement dépendre de la technologie pour protéger son organisation contre les cyberattaques. Il y a un an et demi, l’entreprise s’est demandé comment elle pouvait développer de meilleurs réflexes de cybersécurité au sein de ses équipes.
Le défi de l’entrepreneur
À l’hiver 2022, CCM Hockey a décidé de rehausser sa protection en matière de cybersécurité. D’une part, l’entreprise montréalaise a déployé une première ligne de défense « technologique » avec des logiciels de détection et de réponse gérées (DRG) et de détection et de réponse étendue (XDR) opérés par une équipe d’exploitation du réseau. Aux yeux de Joshua Trujillo, chef mondial de la technologie de CCM Hockey, cette protection purement « technologique » était cependant loin de suffire; il fallait aussi aborder le volet humain à l’aide d’un programme de formation plus robuste. « Les utilisateurs sont le maillon faible d’un réseau informatique, explique-t-il. En entreprise, les employés constituent la principale porte d’entrée pour un virus informatique ou un rançongiciel. »
Toutes les entreprises craignent les affres d’une cyberattaque, fait valoir Joshua Trujillo. Bien sûr, CCM Hockey n’est pas une banque ou un cabinet d’avocats, elle ne manipule pas des données « sensibles » de consommateurs. Toutefois, une infiltration malveillante pourrait malgré tout compromettre sa réputation ou ses opérations. « Nous avons beaucoup de propriété intellectuelle, puis nous sommes aussi une entreprise très sensible au calendrier, dit le chef mondial de la technologie. Si une attaque par rançongiciel nous paralysait avant la saison de hockey, au moment de livrer le matériel, cela aurait un gros impact économique pour nous. »
Finalement, le télétravail rend l’entreprise plus vulnérable. « Avant la pandémie, nous n’avions qu’un seul lieu physique à gérer : le bureau. C’était beaucoup plus facile pour l’équipe des TI. Aujourd’hui, lorsqu’un employé travaille à domicile, nous ne contrôlons pas son réseau wifi et nous ne voyons pas ce qu’il connecte sur son ordinateur. » C’est ici que la responsabilisation individuelle prend tout son sens.
SUIVANT: la solution de l’expert
Joshua Trujillo, chef mondial de la technologie de CCM Hockey (Photo: courtoisie)
La solution de l’expert
Il y a un an et demi, CCM Hockey a décidé de revamper son programme de formation en cybersécurité en joignant une plateforme « gérée » en externe par Vars, la division en cybersécurité de Raymond Chabot Grant Thornton. La plateforme de Vars permet de visionner des capsules interactives assorties de « quiz » pour confirmer que l’utilisateur a bien écouté et compris le contenu. Ensuite, la plateforme permet de conduire des tests d’hameçonnage et elle inclut un système de rappels et un tableau de bord pour savoir qui a terminé les capsules et qui s’est fait piéger dans les simulations de piratage.
Penser la fréquence des tests
« Le programme peut s’adapter à la réalité de chaque entreprise, mais, selon notre expérience, une cadence mensuelle constitue une bonne pratique », dit Guillaume Caron, président de Vars. C’est ce que CCM Hockey a choisi de faire : les employés suivent une capsule d’environ cinq minutes chaque mois et un test d’hameçonnage est conduit à la même fréquence. « Pour sensibiliser les employés et vraiment changer la culture, on ne peut se limiter à des campagnes annuelles ou lors de l’embauche des employés, fait valoir Guillaume Caron. Ça demande de continuellement rappeler les éléments clés de la politique de cybersécurité, que ce soit les bonnes pratiques de cybersécurité entourant la gestion des mots de passe, l’utilisation des médias sociaux, le télétravail et les voyages. »
Aujourd’hui, les tests d’hameçonnage mensuels effectués à CCM Hockey ont un effet presque instantané, rapporte Joshua Trujillo. « Chaque fois qu’on fait une session, mon équipe est débordée d’utilisateurs qui communiquent avec nous pour savoir si le courriel est légitime. Nous leur répondons : “Bravo, vous n’êtes pas tombé dans le piège.” »
CCM Hockey préfère ne pas divulguer ses résultats internes, mais Guillaume Caron a accepté de partager des statistiques d’industrie. « Lors d’un premier test générique mené sur toute l’entreprise, nous réussissons à piéger régulièrement plus de 40 % des employés. Le pourcentage augmente quand nous ciblons les employés avec du contenu personnalisé. Généralement, après quelques mois de formation et de simulations régulières, nous voyons ces chiffres diminuer considérablement. Or, il reste toujours un faible pourcentage (de 5 % à 10 %) d’employés qui tombent dans le piège. » D’où l’importance de maintenir des rendez-vous mensuels.
Responsabiliser le personnel
Le président de Vars recommande de rendre le programme de formation « obligatoire pour tous », puis de suivre la progression de chaque employé par l’entremise de la plateforme. « Les gestionnaires doivent être capables de savoir quel employé constitue un risque et quelle division est moins mature en matière de connaissance en sécurité. Si une personne échoue constamment les « quiz », il y a matière à la rencontrer et à lui expliquer l’importance du programme », explique-t-il.
Encore une fois, c’est le choix retenu par CCM Hockey. Joshua Trujillo garde un œil sur les employés et les divisions qui traînent de la patte dans la formation et fait circuler l’information aux divisions respectives. De plus, les employés qui se font « piéger » sont rencontrés et reçoivent de la formation supplémentaire. « Notre message est clair : si les employés ne suivent pas les formations et se retrouvent impliqués dans une brèche de sécurité, ils auront des conséquences. »
Impliquer la direction
Joshua Trujillo note un facteur clé ayant favorisé l’engagement des employés dans le programme. « Au début du projet, j’ai demandé à tous les directeurs d’expliquer l’importance du programme à leurs employés. Par la suite, chaque directeur est tenu informé des résultats de son équipe et s’il y a une intervention à faire auprès d’un employé qui tarde à compléter ses formations, c’est ce dernier qui s’en occupe. »
Après un an et demi de sensibilisation soutenue, Joshua Trujillo peut aujourd’hui compter sur des équipes de travail davantage à l’affût des courriels malveillants, plus conscientes des cyberrisques en général et plus engagées dans la conversation qui s’est créée autour de ce sujet au sein de l’entreprise.
Ce texte fait partie de notre édition du 11 octobre 2023.