SANS FRAIS 1 877-777-6412

Comment un voyage de montagne est soudainement devenu un atelier de gestion du risque!

Photo du Denali

Lors de mon dernier voyage, je l’avoue, j’aurais pu y laisser ma peau! Est-ce que j’exagère? Peut-être un peu… mais il demeure que c’était dans le domaine du possible…

Lors de mon expédition en janvier dernier pour aller grimper l’Aconcagua en Argentine, j’étais exposé à divers risques. Il demeure qu’à près 7,000 mètres, soit à 80% de la hauteur de l’Everest, tout peut arriver!

Une roche qui me tombe dessus, un début de mal aigu des montagnes, un pied dans une crevasse, ce sont toutes des choses qui me sont déjà arrivées dans le passé.

Tout ça pour me rendre à mon objectif d’atteindre les plus hauts sommets et d’ultimement réaliser mon rêve de faire les 7 sommets!

C’est un peu comme les risques en cybersécurité!

L’entreprise a une mission et définit des objectifs, elle accumule des données, et définitivement elle prend des risques. Mais, pour se rendre à destination, il faut mettre en place un ensemble d’éléments pour éviter que le pire survienne.

Chaque personne a sa propre tolérance au risque et chaque organisation également. De plus, un risque pour certains peut représenter une opportunité pour d’autres.

De votre côté, avez-vous une aversion au risque ou bien un appétit pour le risque? Certains posent plutôt la question: Quelle est votre appétence au risque?

De mon côté, en tant qu’entrepreneur et aventurier à la fois, j’ai tendance à prendre des risques; des risques oui, mais ils sont calculés.

Mais qu’est-ce que le risque exactement?

À quoi bon parler de risque si nous ne sommes pas certains de sa définition? Pour les besoins de la cause, nous utiliserons la définition suivante de l’Office québécois de la langue française;

« Un évènement futur qui, premièrement, peut ou non se réaliser ou dont la date de réalisation est incertaine et qui, deuxièmement, peut occasionner une perte ou un préjudice »

Ainsi, basé sur cette définition, nous pourrions établir différents scénarios de risque en montagne tel que :

  • Se fouler une cheville;
  • Attraper une gastro;
  • Une roche nous tombe dessus et nous blesse;
  • Une tempête de plusieurs jours se produit;
  • Subir le mal aigu des montagnes;
  • Tomber dans une crevasse;
  • Etc.

Si je refais le lien avec le domaine de la cybersécurité, on parlera plutôt :

Mais comment évaluer son risque?

La manière la plus reconnue de mesurer un risque est en fonction de la probabilité et de l’impact (ex. la norme ISO/IEC 27005 suggère cette façon de faire). Par conséquent, lors de mes différentes expéditions, je me pose toujours une série de questions afin d’évaluer quels sont les scénarios les plus risqués.

Évaluons ici la probabilité de différents scénarios de risque liés à un groupe d’expédition de montagne.

Voici les 4 niveaux de probabilité que je vous propose:

niveau probabilité

Ensuite, il nous faudra évaluer le niveau d’impact (conséquences), que cela peut avoir sur les personnes du groupe si le scénario venait qu’à se produire. Ici, on le présentera aussi en 4 niveaux:

niveau impact

Prenons maintenant une expédition que j’ai réalisée en 2018 pour atteindre le sommet du Denali.

Expédition du Denali en 2018

Avant de m’aventurer là-bas, j’ai réalisé pendant de nombreuses années différentes expéditions allant du Kilimandjaro en Afrique jusqu’au mont Carstensz en Papouasie Nouvelle-Guinée. J’ai pris de l’expérience pendant toutes ces années, mais j’étais alors toujours guidé par une agence de voyages spécialisée dans le domaine (Terra Ultima pour être plus précis). Ce n’est pas pour rien que je faisais affaire avec eux; n’ayant pas beaucoup d’expérience au début, c’est le moyen que j’ai pris pour gérer mon risque.

Cette fois-ci pour mon expédition au Denali, j’ai décidé que j’étais fin prêt pour réaliser une aventure sans guide et j’ai trouvé d’autres passionnés de montagne, ayant une bonne expérience, prêts à y aller avec moi. Il fallait alors planifier le tout de A à Z.

Je dois cependant l’avouer, une partie de la décision était pécuniaire : il n’y a que 6 agences de voyages américaines autorisées à guider sur le Denali et il en coûte facilement 10,000$ US par personne pour faire l’expédition de cette manière. En le faisant par nous même, cela allait nous coûter FACILEMENT le tiers du prix… une vraie aubaine (ou presque) à comparer à l’utilisation des services de ces spécialistes!

Situé en Alaska, le Denali fait tout de même 6200m et est la plus haute montagne en Amérique du Nord. Cette montagne étant très au nord, le froid vient augmenter le niveau de difficulté, d’autant plus que la pression barométrique est plus faible lorsque l’on se rapproche des pôles et vient raréfié davantage la quantité d’oxygène. La montagne est très isolée (ravitaillement et évacuation par avion sur skis), on doit transporter environ 125 lbs de matériel chacun et en plus, il y a un nombre important de crevasses!

Voici donc une partie de la réflexion que j’ai faite sur différents scénarios de risque:

niveau de risque

Pour évaluer les différents risques, j’ai dû contacter des gens qui avaient déjà fait la montagne, j’ai lu des livres, j’ai regardé des vidéos sur YouTube, j’ai consulté d’autres collègues qui avaient de l’expérience sur de hautes montagnes, etc. Le nombre d’heures que j’ai dû y passer est faramineux. Sur la base de ce tableau, on voit clairement qu’il y a des scénarios de risque à prendre plus au sérieux! Comment pallier à tout ça? En fait, j’ai mis en place différentes mesures telles que:

  • Amener de la crème solaire FPS 60 qui contient un écran physique;
  • Sélectionner des vêtements plus chauds (duvet 800, etc.);
  • Suivre des cours de sauvetage en crevasse;
  • Réaliser un plan d’ascension réaliste avec des jours de repos d’expédition de plus (en cas de tempête);
  • Calculer le plus précisément possible la quantité de nourriture et de gaz nécessaire pour faire à manger pendant l’expédition, tout en prévoyant des réserves supplémentaires à mettre à des endroits stratégiques sur la montagne;
  • Etc.

Le but ultime ici est de rendre ces risques à un niveau acceptable. Puisque nous avons tous une tolérance au risque un peu différente, il faut savoir qu’un risque qui n’est pas acceptable pour une personne pourrait l’être pour une autre! C’est d’ailleurs un processus similaire qui se passe dans une organisation lorsque l’on parle de cybersécurité! Quelle est la tolérance au risque de la vôtre? Évaluer cela n’est pas toujours évident et c’est pour cela que des spécialistes sont là pour faire cet accompagnement.

Malgré la mise en place d’un ensemble de mesures de sécurité; est-ce que le risque zéro existe?

Malheureusement non, le risque zéro n’existe pas. De mon côté, une succession d’évènements, incluant des conditions météo qui n’étaient pas favorables, nous ont finalement obligés à rebrousser chemin après près de 2 semaines d’expédition. Notre méconnaissance de la montagne, malgré toute notre préparation, a fini par avoir raison de nous. Notamment, nous avions mal planifié notre gestion de la nourriture et l’utilisation du gaz qui nous était nécessaire pour la faire cuire. Je vous rassure, même si j’ai mis le pied dans une crevasse à un certain moment, je n’ai pas eu peur d’y laisser ma peau 😉. C’est d’ailleurs afin de ne pas nous mettre en danger que nous avons rebroussé chemin.

En conclusion, que pouvons-nous tirer de cette expérience?

Si nous avions fait notre expédition avec une agence autorisée à guider sur cette montagne, nous aurions augmenté notre probabilité de réussir notre expédition. À tout de moins, les erreurs que nous avons commises de notre côté ne se seraient pas produites. C’est pour cela que depuis ce temps, j’ai pris la décision de recommencer à faire des expéditions guidées. Bien que cela puisse coûter plus cher, on augmente nos chances de réussite et on diminue la probabilité et l’impact des différents scénarios de risque.

C’est la même chose en entreprise lorsque vient le temps de protéger son information. Certes, cela demande un investissement de temps et d’argent, mais il faut se demander quelles seront les conséquences, par exemple, d’une fuite de données ou d’un arrêt de production? Pouvons-nous nous le permettre?

Pour les PME qui désireraient faire évaluer leur niveau de risque, sachez que nous réalisons depuis maintenant plusieurs années un diagnostic qui permet de rapidement savoir quels sont les scénarios de risque les plus probables et d’avoir un plan pour y remédier.

Ascension de l’Aconcagua – janvier 2020

Pour les passionnés de montagne, sachez que je donne parfois des conférences sur mes expéditions. Vous n’avez qu’à nous suivre sur les réseaux sociaux ou via notre liste de distribution par courriel et vous serez informé lors de la prochaine conférence 😉

Finalement je me permets de vous faire une suggestion de film dans lequel j’y figure (un peu). Il s’agit d’un film ayant un regard intérieur sur les motivations, les défis et les difficultés de l’ascension de l’Aconcagua en Argentine. Cette expédition s’est déroulée en janvier 2016 avec l’agence Terra Ultima. Les 2 premières semaines de l’année 2016 ont été marquées par le dérèglement climatique El Niño qui a frappé les Andes centrales…
Ce film a été réalisé par David Lamontagne, cinéaste et grimpeur lors de cette expédition.

Voici le lien viméo : https://vimeo.com/231759623

Merci beaucoup et au plaisir de se voir bientôt!

Jean-Philippe

Aconcagua 2016, au temps d’El Niño !

Est-ce que Zoom est sécuritaire?

visioconferences
Note: Cet article a été rédigé initialement le 14 avril 2020 et mis à jour le 23 avril 2020. Zoom met régulièrement en place des correctifs de sécurité qui peuvent régler certaines des problématiques abordées dans cet article et dans le webinaire.

L’application de visioconférence Zoom est devenue TRÈS populaire depuis le début de la pandémie de COVID-19. Pour preuve, la plateforme aurait atteint en mars plus de 200 millions de participants aux réunions quotidiennes. L’application en comptait 10 millions en décembre dernier. Finalement, sa valorisation boursière a plus que doublé depuis le mois de janvier.

Mais voilà, maintenant que la plateforme est adoptée, on est à se demander si elle est véritablement sécuritaire. En quelques jours seulement, plusieurs vulnérabilités ont été découvertes et ont été relayées par les médias. Certains se plaignent également que des malfaiteurs ont réussi à s’inviter dans des salles virtuelles et ont proféré des obscénités. Devons-nous changer de plateforme? Est-ce adapté au télétravail? Mardi 7 avril dernier, nous avons donné un webinaire gratuit pour répondre à ces questions.

Ce webinaire s’adressait à toute personne en entreprise qui se demande si elle peut continuer à utiliser la plateforme ou bien si elle doit migrer vers une autre. Nous avons également mis de l’avant des actions qui peuvent être faites dès maintenant du côté des utilisateurs et des administrateurs TI pour favoriser une utilisation sécuritaire de la visioconférence, quelle que soit la plateforme.

Cette conférence a mis en scène Jean-Philippe Racine, Président de Groupe Cyberswat, ainsi que Clément Gagnon Propriétaire de Tactika inc. Nous avons décidé de vous offrir un résumé sommaire des points qui ont été abordés lors de ce webinaire pour faciliter la mise en place de bonnes pratiques.

Les plateformes de visioconférences sont en pleine expansion

Avec la pandémie mondiale et donc, une explosion du télétravail dans le monde, les plateformes de visioconférence ont connu une expansion sans précédent. Comme c’était prévisible, des personnes malveillantes ont cherché à profiter de cet outil populaire pour mettre le bordel dans des conférences ou encore se faire de l’argent par divers moyens. Des chercheurs ont également étudié davantage le fonctionnement de la plateforme. Plusieurs failles de sécurité, ou encore des problèmes de configurations, ont alors été découvertes sur Zoom.

À défaut d’avoir été proactif, Zoom s’est engagé dans les prochains 90 jours à faire passer la cybersécurité de sa plateforme en priorité; toutes les ressources nécessaires vont être déployées pour identifier et corriger les failles de sécurité plutôt que de s’atteler au développement de nouvelles fonctionnalités. Aussi, ils s’engagent à être transparent tout au long du processus.

zoom fait la une de la presse

Les principales failles de sécurité de Zoom identifiées sont les suivantes :

Pour plus d’information sur la nature de ses failles et les risques qui en découlent, nous vous invitons à écouter notre webinaire où nous prenons le temps de les expliquer une par une.

Les 10 choses à mettre en place maintenant si vous utilisez Zoom:

  • Mot de passe pour rejoindre une réunion (proposé désormais par défaut)
  • Activation de la salle d’attente
  • Bloquer la réunion lorsque tout le monde est en ligne
  • Ne pas utiliser la fonction « numéro de salle personnel »
  • Bloquer le clavardage si pas nécessaire
  • Limiter le partage d’écran à l’organisateur de la réunion
  • Mettre à jour le client Zoom
  • Prioriser l’enregistrement vidéo « en local »
  • Configurer l’authentification en 2 étapes pour les détenteurs de licences Zoom
  • Configurer une clé d’hôte de 10 chiffres au lieu de 6

Voici des plateformes alternatives à Zoom:

Même si c’est Zoom qui fait la une de la presse depuis quelques semaines, cela ne veut pas dire que les plateformes suivantes sont 100% sécuritaires. Nous vous recommandons d’être toujours vigilent peu importe les outils utilisés. Et n’oubliez pas ; une bonne partie de la sécurité en place dépend de comment vous configurez et utilisez la plate-forme.

D’autres alternatives, québécoises cette fois-ci:

Peu importe la plateforme utilisée, certaines actions peuvent être faites pour sécuriser vos visioconférences d’affaire:

  • Chaque participant pourrait s’identifier (ouvrir la caméra) pour s’assurer qu’il s’agit de la bonne personne
  • Éviter de communiquer et de partager des renseignements personnels et confidentiels
  • Demander la permission avant d’enregistrer
  • Utiliser un casque d’écoute ou être dans une salle fermée

En conclusion, utiliser Zoom : OUI mais pas pour discuter d’informations confidentielles (enfin, pour l’instant!)

Zoom n’est pas devenu leader sur le marché pour rien. Cette plateforme est très bien construite et permet notamment de proposer des webinaires pouvant accueillir des milliers de personnes et ce, de façon efficace. Zoom dispose aussi de l’une des interfaces les plus facile d’utilisation, ce qui n’est pas un avantage négligeable.

Aussi, Zoom offre très régulièrement des mises à jour pour corriger les failles de sécurité qui ont été identifiées donc sa posture en sécurité devrait s’améliorer dans les prochaines semaines; enfin, on l’espère!

De plus, il faut aussi faire une distinction claire entre la version gratuite et la version payante; cette dernière donne accès à davantage de fonctionnalités et permet d’avoir un meilleur contrôle sur la configuration de sécurité à mettre en place dans un contexte corporatif.

En prenant en compte tous ces aspects, nous tirons la conclusion suivante : vous pouvez continuer d’utiliser Zoom pour vos réunions et webinaire MAIS uniquement si vous ne discutez pas d’informations confidentielles.

Par exemple, utiliser la plateforme Zoom pour :

  • Donner des webinaires ouverts aux grands public: Oui
  • Faire des appels vidéo avec sa famille, des amis: Oui
  • Faire des réunions d’affaires pour discuter de besoins, recommandations et autre information « interne » qui ne sont pas nécessairement confidentielles: À évaluer à l’aide d’un expert
  • Pour discuter de propriété intellectuelle, de demande de brevets, renseignements personnels d’employés ou clients et autres renseignements sensibles de cette catégorie: Déconseillé

Si voulez approfondir le sujet et (ré)écouter notre webinaire complet sur le sujet, nous vous invitons à cliquer sur le lien ci-dessous: Accéder au webinaire. Chaque point de cet article y est discuté de façon bien plus approfondie et nous avons aussi pris le temps de répondre à de nombreuses questions des participants sur le sujet. Peut-être est-ce les mêmes questions que vous vous posez présentement?

Les 5 articles les plus populaires en cybersécurité à lire cet été

Comme les années précédentes, nous allons profiter de la période estivale pour faire une pause d’articles de blogue afin de vous revenir en force en septembre.

Chez CyberSwat, nous travaillons fort pour toujours mieux vous aider à protéger votre entreprise contre les menaces grandissantes sur le marché et l’été est un moment essentiel pour nous ressourcer afin de préparer les mois à venir.

De votre côté, avez-vous des vacances cette année? Dans plusieurs organisations, l’été est plus tranquille au niveau des opérations et les employés peuvent alors en profiter pour parfaire leurs connaissances.

C’est pour cela que nous vous présentons les 5 articles ayant eu le plus de succès depuis l’été dernier. Si vous n’avez pas été en mesure de les lire, c’est le moment de vous rattraper! Ces articles traitent tous des défis cruciaux que vivent les entreprises de nos jours en cybersécurité.

Bonne lecture!

Quelques suggestions de lecture pour se tenir au courant des enjeux actuels de cybersécurité

 

1. Témoignage : La fois où je me suis fait pirater et que ma vie a basculé

Avez-vous déjà vécu un piratage informatique?  Est-ce que vous étiez personnellement visé ou bien est-ce que l’entreprise dans laquelle vous œuvriez était directement visée? Cette année, notre président, Jean-Philippe Racine a décidé de partager avec vous une histoire qui a eu un grand impact sur la personne qu’il est devenu aujourd’hui. Son article a été le plus consulté et le plus partagé du blogue de CyberSwat.

Lire la suite.

 

2. 11 raisons de venir travailler en cybersécurité chez CyberSwat

Notre deuxième article le plus populaire a été au sujet du recrutement.

Le marché de la sécurité informatique est en pleine croissance. Chaque mois, une nouvelle cyberattaque de grande ampleur fait les manchettes. C’est énorme. Or, ce n’est pas tout. Chaque jour, dans l’ombre, de nombreuses attaques sont perpétuées sur de plus petites entreprises sans attirer l’attention des médias. Ces entreprises se retrouvent dans des situations très critiques, faute d’avoir pu se protéger adéquatement. Les entreprises ont besoin d’aide. Les risques de sécurité évoluent à une vitesse fulgurante et les dirigeants ne sont pas outillés pour pouvoir suivre cette évolution.

Afin d’aider toutes ces entreprises, nous sommes entrés dans une phase intensive de recrutement.

Découvrir les 11 raisons de venir travailler chez CyberSwat.

 

3.  Pourquoi le RGPD (ou GDPR) me concerne en tant qu’entreprise canadienne ?

Au printemps 2018, le Règlement Général sur la Protection des Données a beaucoup fait parler de lui et sans surprise, l’article que nous avons rédigé en collaboration avec Mélanie Gagnon de MGSI, se retrouve dans notre top 3.

En apprendre plus.

 

4.  Pourquoi les PME sont-elles de plus en plus victimes de cyberattaques?

Les petites et moyennes entreprises (PME) sont de plus en plus la cible de cyberattaques. Selon Symantec, 54% des escroqueries par courriel visent les PME! Mais pourquoi? Martin Samson, notre directeur conformité a voulu en savoir un peu plus sur le sujet et a mené sa petite enquête.

Lire l’article.

 

5.  À quoi servent les assurances en cyber-risques et comment cela fonctionne

Finalement, un des sujets de l’heure est sans hésitation la question des assurances en cyber-risques. Cette année, nous avons échangé avec Marie-Andrée Labrecque, courtière en assurance commerciale chez Martel&Martel. Grâce à elle, nous avons pu comprendre un peu mieux à quoi sert une assurance en cybersécurité, quels types d’entreprises sont visées ou encore, quelles sont les protections disponibles.

Lire l’entrevue.

 

Bonnes vacances!

Pourquoi le RGPD (ou GDPR) me concerne en tant qu’entreprise canadienne ?

GDPR RGPD

Depuis quelques semaines, vous avez sûrement vu passer des publications au sujet du Règlement Général sur la Protection des Données (RGPD ou GDPR en anglais). Le RGPD entrera en application le 25 mai 2018 et vise à harmoniser les règles en matière de protection des données à caractère personnel au sein de l’Union européenne.

Mais alors, en quoi cela vous concerne-t-il ? Vous êtes une entreprise canadienne et vous croyez que ce RGPD ne s’applique qu’aux entreprises européennes ? Détrompez-vous ! L’une des principales caractéristiques de cette réglementation est son champ d’application allant au-delà des frontières de l’Union européenne.

Comme la législation est toujours un peu complexe à comprendre, surtout lorsque celle-ci a été élaborée dans un autre continent que le nôtre, nous avons décidé de poser quelques questions directement à une citoyenne de l’Union européenne, Mélanie Gagnon !

Mélanie a fondé son entreprise en protection des données et sécurité de l’information, MGSI, au Luxembourg, après avoir travaillé plusieurs années dans le domaine au Québec. Elle connaît donc très bien les deux continents et peut comprendre les impacts réels du RGPD sur les entreprises canadiennes.

À qui s’applique ce règlement et pourquoi des entreprises canadiennes peuvent-elles être visées ?

Le règlement s’applique aux données à caractère personnel relatives à des individus qui se trouvent sur le territoire de l’Union européenne. Il peut s’appliquer à une société qui n’a pas de siège en Europe, mais qui offre des biens ou services à des personnes dans l’Union ou qui suit le comportement de ces personnes (par exemple, profilage en ligne des sites Web consultés).

Donc même si vous n’avez pas de bureau dans un pays d’Union européenne, mais que vous y vendez des services ou produits, vous serez concernés !

Petite parenthèse : Qu’est-ce qu’une donnée à caractère personnel dans le cadre du RGPD ?

Une donnée à caractère personnel est définie comme toute information, quels que soient sa nature et son support, se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement (nom, prénom, historique de navigation). Même les adresses IP ou les cookies (témoins de connexion) sont concernés. Ce sont des informations que presque toutes les entreprises récoltent dès qu’elles ont un site Web.

Concrètement, cela veut dire quoi ? Dans quel contexte une compagnie canadienne peut-elle être concernée ?

Je peux vous donner quelques exemples :

  • Est-ce que votre société permet à des personnes dans l’Union d’acheter des produits et services en ligne ? Par exemple, la loi concerne une société canadienne spécialisée dans la vente de chaussures si celle-ci permet à des clients situés en Espagne, en Allemagne ou en France de les commander et de se les faire livrer dans l’un de ces pays.
  • Est-ce que vous avez (ou prévoyez) développer une application traitant des données à caractère personnel disponible pour le marché européen ? Ainsi, une plateforme de streaming de musique canadienne qui analyse les goûts musicaux de ses utilisateurs situés au Luxembourg, en Belgique ou aux Pays-Bas sera certainement soumise aux obligations du RGPD.

Si une entreprise s’est reconnue dans un de ces exemples, quels sont les impacts à partir de là ?

Si votre société est soumise au RGPD, cela a de nombreux impacts à ne pas négliger. Notamment :

Obligation de la protection des données dès la conception (et par défaut) : De manière plus générale, les entreprises canadiennes ciblant des Européens devront prendre en compte les règles et principes de protection des données du RGPD dès la mise en œuvre de nouveaux traitements. Elles devront en conséquence documenter cette mise en conformité, en tenant par exemple un registre de traitement et en désignant un DPO, pilote de cette démarche.

Le DPO, pour « Data Protection Officer », est une personne responsable de la protection des données personnelles traitées par un organisme (administration, entreprise…). Ce texte rend sa désignation obligatoire pour un grand nombre de responsables de traitement de données personnelles.

Obligation de la nomination d’un représentant : Une société canadienne se trouvant dans l’obligation de se conformer au RGPD est tenue de désigner un représentant au sein de l’Union européenne. Ce représentant est amené à être le point de contact des autorités de contrôle et des individus.

Obligation de permettre l’exercice des droits des individus : Des mesures doivent être prises par les sociétés canadiennes afin de permettre aux individus d’exercer leurs droits : notamment les droits d’accès, de rectification et d’effacement de leurs données.

Sanctions en cas de non-respect de l’obligation de notification des violations de données: Les sanctions peuvent atteindre jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros, selon le plus élevé, mais il ne faut pas oublier que les autorités de contrôle peuvent également imposer des mesures correctrices, par exemple, ordonner la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement.

À partir du 25 mai 2018, toutes les entreprises canadiennes qui souhaitent maintenir leurs relations commerciales avec le marché européen devront se conformer au RGPD ! Une non-conformité pourra se traduire par de lourdes amendes administratives, ou par l’injonction de cesser d’offrir vos produits et services en Union européenne.

Finalement, vous pensez que le RGPD vous concerne ? Vous ne savez pas trop comment aborder les prochaines étapes pour y être conforme ? Pas de panique ! Mélanie Gagnon et CyberSwat s’unissent pour vous proposer une demi-journée de formation, dédiée aux entrepreneurs et dirigeants de PME qui font affaire avec l’Union européenne.

Le 12 juillet à Québec, nous vous donnerons des outils précis pour vous aider à mieux comprendre le règlement, puis à devenir conforme, en nous basant sur votre situation actuelle. Ne manquez pas cette formation unique et concrète !

SVP, remplir le formulaire ci-dessous si vous souhaitez participer.

Conseil d’administration – comment bien comprendre les enjeux de cybersécurité

josée morin conseil d'administration enjeux de cybersécurité sécurité informatique

Vous siégez au conseil d’administration d’une entreprise et vous vous posez des questions sur la sécurité des données de celle-ci? Vous êtes plutôt du côté de la direction et vous devez rendre des comptes à votre conseil d’administration en regard de la cybersécurité de votre organisation?

Pour bien commencer l’année, nous avons rencontré Josée Morin, administratrice de sociétés spécialisée en gestion de risques, cybersécurité et gouvernance des TI, et grande habituée des conseils d’administration (CA). Nous avons discuté avec elle des enjeux de cybersécurité que les membres d’un CA doivent comprendre et suivre de près.

Pouvez-vous nous dire brièvement ce que vous faites dans la vie et quel est votre rôle par rapport aux conseils d’administration?

Je suis une entrepreneure en TI dans le milieu de la santé ou santé numérique et depuis trois années, je me consacre à siéger à des conseils d’administration. Je siège actuellement aux conseils de deux entreprises, d’un fonds d’investissement et d’un organisme en santé numérique.  Je suis souvent recrutée sur les conseils pour mes compétences en TI, en transformation numérique d’entreprises et en sécurité.

Josée Morin

Pourquoi la cybersécurité est-elle un enjeu qui doit intéresser un conseil d’administration?

Les impacts que peut avoir un incident de sécurité sur une entreprise sont très importants. De nombreuses petites entreprises qui ont été la cible d’une cyberattaque réussie ont dû fermer six mois plus tard. Le rôle du conseil étant entre autres d’épauler la croissance d’une entreprise, la cybersécurité doit absolument faire partie de sa liste d’éléments à surveiller. Quand on ajoute le nombre grandissant d’attaques de toutes sortes, on se trouve devant un risque majeur pour les conseils d’administration.

Trouvez-vous qu’au Québec, les conseils d’administration parlent suffisamment des questions de cybersécurité? Quel est le niveau moyen de connaissance à ce sujet?

Je crois que les grandes entreprises qui ont le moyen d’avoir des employés dédiés, un Responsable de la sécurité de l’information (CISO) par exemple, et de l’expertise externe parlent fréquemment de cybersécurité avec leur conseil d’administration. Elles prennent des moyens pour assurer une certaine protection. Ce sont les moyennes et les petites entreprises (PME) qui le font moins, souvent parce que l’expertise n’est pas à l’interne ou au CA. On croit souvent dans ces entreprises qu’on est trop petit pour intéresser un pirate ou qu’on n’a pas de données qui ont besoin d’être protégées. C’est aussi parce que les moyennes entreprises sont très occupées à exécuter leur plan stratégique et ont beaucoup d’autres priorités que la cybersécurité.

Cependant, des attaques comme la fraude du président ou l’attaque chez Fedex en Europe, qui s’est produite à partir des systèmes d’un fournisseur, démontrent que toutes les tailles d’entreprises sont visées! Toutes les organisations devraient avoir au moins une liste de ses données clés, savoir comment les protéger, avoir une surveillance de ses réseaux et un plan de réponse à une attaque même si très sommaire.

Selon l’étude « Managing Cyber Risk: Are Companies Safeguarding their Assets? » du magazine consacré à la sécurité de la gouvernance du NYSE, moins d’un quart des membres du conseil sont « assez confiants » dans la capacité de leur direction à réagir face à une menace de cybersécurité. De votre côté, avez-vous constaté ce manque de confiance également au Québec?

J’étais à une formation en gouvernance récemment et il y a eu peu de questions lors des différentes sessions, sauf pour celle qui traitait de cybersécurité, alors que les administrateurs dans la salle n’avaient pas d’antécédents en technologie. Alors je dirais qu’une grande portion des administrateurs de sociétés sont conscients de l’enjeu de la cybersécurité. C’est un sujet qui les tracasse; ce qui est bien. Je crois qu’il est vrai que peu d’entre eux ont confiance que l’entreprise pourrait se relever facilement d’une attaque et que souvent le sujet n’a pas encore été abordé au CA. Mais c’est en train de changer. Il y a moyen maintenant de trouver de l’expertise abordable pour avoir un début de démarche en cybersécurité et au moins un plan de réponse et de relève. Je crois dans les petits pas pour faire un long chemin…

Finalement, pour justement gagner de la confiance, quelles sont les questions qu’un conseil d’administration devrait poser pour s’assurer que son entreprise gère adéquatement la sécurité?

Les questions posées par le CA doivent tenir en compte la maturité en cybersécurité de l’entreprise pour tenter de faire évoluer celle-ci vers une sécurité renforcée. J’utilise souvent le Handbook 2017 sur la surveillance des cyberrisques de la NACD (National Association of Corporate Directors) et le Framework NIST pour ajuster ma démarche (Identifiy, protect, detect, respond, recover). Il faut commencer par se demander :

  • Quelles sont les données à protéger
  • Comment elles sont protégées
  • Comment on est capable de détecter les attaques
  • Comment on est prêt à y répondre
  • Si on pourra se relever sans trop de dommages.

Vous vous sentez au dépourvu devant toutes ces informations que vous devriez connaître? Groupe CyberSwat est là pour vous accompagner, que vous soyez membre d’un conseil d’administration ou partie intégrante de la direction d’une entreprise. Contactez-nous pour en savoir plus sur nos services d’accompagnement personnalisés.

SANS FRAIS 1 877-777-6412

Assurance en cyberrisque

Vous êtes courtier en assurance et la cybersécurité est l’une de vos préoccupations? Vous cherchez à mieux comprendre les enjeux de sécurité de vos clients afin de mieux les conseiller? Nous pouvons :

Si vous avez une entente avec nous :

Gestion d'incidents de sécurité

Vous voulez être prêt en cas d’incident de sécurité dans votre entreprise? Vous cherchez un accompagnement dans la mise en place d’un plan de gestion d’incident afin d’en minimiser au maximum les conséquences? Nous pouvons :

Pour nos clients avec contrat de service:

Assurance en cyberrisque

Vous êtes courtier en assurance et la cybersécurité est l’une de vos préoccupations? Nous vous aidons à comprendre tous les enjeux de sécurité chez vos clients pour que vous puissiez leur offrir le meilleur service possible.

Client :

Courtier :

Sécurité des services infonuagiques

Ne prenez pas à la légère les enjeux de sécurité du Cloud! Avec nous, vous bénéficierez de la souplesse du Cloud tout en diminuant les risques. Vous et vos clients serez rassurés de savoir vos données en sécurité.

Gouvernance de la sécurité

La sécurité informatique doit faire partie des préoccupations de la direction de votre entreprise. La mise en place d’une politique de sécurité et de la catégorisation des actifs sont notamment des éléments importants d’une stratégie efficace en cybersécurité.

Sensibilisation à la sécurité

Saviez-vous que l’hameçonnage est le vecteur n°1 pour réaliser des fraudes dans les entreprises? Diminuez les risques d’être victime d’incidents de cybersécurité grâce à nos ateliers de sensibilisation spécialement conçus pour vos employés.

Nous mettons toujours l’accent sur la vulgarisation des concepts et des enjeux de sécurité

Service-conseil en cybersécurité

Votre entreprise recherche un accompagnement à plein temps pour la gestion de la cybersécurité? Faites appel à nous! L’un de nos précieux talents se fera un plaisir de venir travailler dans votre entreprise au quotidien.

Notre équipe est composée de conseillers en architecture de sécurité, d’analystes en sécurité, de conseillers en gouvernance, de spécialiste en Gestion des Identités et des Accès, de spécialiste en test d’intrusions, etc.

Sécurité des services infonuagiques

Ne prenez pas à la légère les enjeux de sécurité du Cloud! Avec nous, vous bénéficierez de la souplesse du Cloud tout en diminuant les risques. Vous et vos clients serez rassurés de savoir vos données en sécurité.

Évaluez les risques de votre entreprise

Protégez vos données les plus importantes et épargnez les coûts d’un incident de sécurité. Cyberswat vous aide à identifier les situations à risque et vous donne des recommandations concrètes et faciles à mettre en place.