Rob Philpotts:
Maintenant que nous sommes en quelque sorte très conscients que la cybersécurité fait partie intégrante des activités géopolitiques, nous devons absolument en prendre davantage conscience et nous nous efforçons chaque jour d'aider nos clients à le comprendre.
Anne-Marie Henson:
Bonjour et bienvenue dans « La comptabilité de l'avenir ». Je suis votre animatrice, Anne-Marie Henson. Aujourd'hui, pour notre 50e épisode, c'est fou comme le temps passe vite. Je n'arrive pas à croire que nous en sommes déjà à 50. Nous allons explorer le paysage actuel de la cybersécurité, comment elle est devenue une priorité stratégique pour les entreprises, et pourquoi il est plus important que jamais de renforcer la résilience grâce à la cyberpréparation. Nous voulons examiner ce que les organisations doivent faire aujourd'hui pour rester préparées dans un contexte mondial très incertain.
Pour partager ses idées, j'accueille Rob Philpotts, associé en cybersécurité chez BDO Canada. Rob est un leader chevronné qui apporte à BDO plus de 22 ans d'expérience et d'expertise pratique en matière de cybersécurité. Son travail dans le domaine du renseignement et de la cybersécurité l'a amené à occuper des postes de haut niveau au sein de grandes organisations, de cabinets de conseil internationaux, de l'OTAN, du Cyber Command américain, de la National Security Agency et des Forces armées canadiennes, y compris une mission opérationnelle en Afghanistan. Il utilise une approche stratégique axée sur la gestion des risques pour sécuriser divers secteurs dans des environnements sur site et dans le cloud. Rob, je suis très heureuse de vous accueillir dans notre podcast aujourd'hui.
Rob Philpotts:
Bonjour, Anne-Marie. Je suis ravi d'être ici. Merci.
Anne-Marie Henson:
Vous avez un parcours et une expertise vraiment très intéressants, qui, je pense, seront très utiles pour cette discussion. Il semble que l'environnement et les risques liés à la cybersécurité soient en constante évolution. Je voudrais faire le lien avec les tendances actuelles que nous observons beaucoup aujourd'hui en matière de conflits commerciaux, de tensions géopolitiques, et savoir comment, selon vous, cela a changé la façon dont les organisations envisagent la cybersécurité aujourd'hui ou comment elles devraient l'envisager différemment aujourd'hui.
Rob Philpotts:
Oui, donc, de plus en plus, la cybersécurité est considérée comme un domaine de combat par les États-nations aujourd'hui, et c'est d'ailleurs pour cette raison, que je travaillais au US Cyber Command, où elle est traitée au même titre que les domaines maritime, terrestre, aérien ou spatial. Vous pouvez donc imaginer toute la planification et les efforts nécessaires dans un contexte militaire lorsque vous intégrez cela dans votre doctrine.
Cela étant dit, maintenant que nous le savons et que nous le voyons, nous allons parler de quelques exemples, mais maintenant que nous sommes tous conscients que la cybersécurité fait partie intégrante des activités géopolitiques, nous devons absolument en prendre de plus en plus conscience et nous nous efforçons chaque jour d'aider nos clients à comprendre cela, à savoir qu'en tant qu'outil utilisé par divers acteurs malveillants, des éléments tels que votre chaîne d'approvisionnement sont moins fiables. Lorsque nous parlons de cybersécurité, nous parlons de votre chaîne d'approvisionnement en matériel informatique, qu'il s'agisse des ordinateurs que vous achetez, pour votre entreprise. Nous en avons vu la preuve ces dernières années. Le gouvernement canadien a interdit à Huawei, un fabricant chinois de télécommunications, d'être présent au cœur de nos réseaux en raison d'une menace perçue pour la sécurité nationale.
L'autre partie de votre chaîne d'approvisionnement, ce sont vos logiciels. Souvent, vos applications, vos systèmes d'exploitation, tout ce qui fonctionne sur votre machine est connecté à un vaste réseau de mises à jour et de correctifs. Ces éléments, ou plutôt les correctifs et les améliorations, excusez-moi. Ces éléments deviennent vulnérables. Nous l'avons vu ces dernières années avec la faille SolarWinds, un pare-feu utilisé dans le monde entier par presque tout le monde, ou presque. La faille SolarWinds consistait en une fausse mise à jour qui s'est introduite dans ces systèmes et qui a simplement laissé une porte dérobée à un État-nation pour qu'il puisse se connecter à votre réseau lorsqu'il était prêt. Cela a donc créé beaucoup de cibles.
Anne-Marie Henson:
Oui, tout à fait. J'aimerais en savoir plus à ce sujet. Quand je pense à beaucoup d'entreprises canadiennes aujourd'hui, par exemple dans le secteur manufacturier. Je pourrais me dire que si je dirigeais cette entreprise aujourd'hui, et que c'était une PME, une petite ou moyenne entreprise, ma chaîne d'approvisionnement s'étendrait partout dans le monde. J'importe des matériaux, des produits chimiques et des produits industriels de partout. Je ne fournis pas le gouvernement. Je ne suis pas impliqué dans la défense. Je fabrique simplement des pièces pour, disons, l'industrie automobile ou autre. Pourquoi est-ce que je serais une cible de cyberattaques, disons, de la part de ces États-nations ? Pourquoi devrais-je me soucier autant de ces risques ?
Rob Philpotts:
C'est une bonne question. Tous les fabricants ne seront pas nécessairement la cible d'un État-nation en soi, car ceux-ci ont également des ressources limitées et doivent en quelque sorte s'attaquer à des cibles qui sont importantes pour eux. J'y reviendrai. Cependant, toutes les entreprises sont vulnérables à ce que nous appelons les cyber-gangs, qui exploitent généralement des réseaux de ransomware. Les ransomware, ils vous attaquent, s'emparent de vos données, puis exigent une rançon sinon, ils publient toutes vos données sur Internet. Le ransomware est donc un problème auquel toutes les entreprises sont confrontées. C'est ce que nous appelons généralement des campagnes non ciblées, où ils ratissent le plus large possible afin d'exploiter et d'obtenir le plus de rançons possible.
Souvent, certains acteurs du ransomware sont considérés comme des mandataires d'États-nations, dans le sens où il s'agit d'une activité approuvée, menée à distance, qui crée un peu de perturbation et de problèmes dans le monde. L'un des cas les plus célèbres de ces dernières années est celui de Colonial Gas, si je ne me trompe pas, une attaque contre un pipeline dans le sud-est des États-Unis. Il s'agissait d'une attaque par ransomware qui a paralysé la distribution d'essence dans le sud-est des États-Unis il y a quelques années.
Pour en revenir à votre question sur le type de petites et moyennes entreprises susceptibles d'être la cible d'un État-nation, je tiens à préciser que cela ne signifie pas que vous êtes automatiquement visé par les États-nations. Cela signifie que vous devez être plus vigilant et plus résilient en matière de cybersécurité. Si vous travaillez dans un domaine tel que la fabrication complexe, et il s'agit généralement de domaines tels que la technologie informatique, les logiciels, l'aéronautique, les véhicules électriques, tout ce qui est à la pointe de la technologie à l'heure actuelle, certains pays pourraient s'intéresser stratégiquement à l'activité que vous exercez. Si vous fabriquez quelque chose d'unique au monde ou d'unique pour votre pays ou votre secteur d'activité, qui est avancé et sensible sur le plan technologique, comme par exemple avec des brevets ou d'autres secrets commerciaux ou de la propriété intellectuelle, c'est quelque chose qui m'inquiéterait davantage.
Pour en revenir à votre question sur le type de petites et moyennes entreprises susceptibles d'être la cible d'un État-nation, je tiens à préciser que cela ne signifie pas que vous êtes automatiquement visé par les États-nations. Cela signifie que vous devez être plus vigilant et plus résilient en matière de cybersécurité. Si vous travaillez dans un domaine tel que la fabrication complexe, et il s'agit généralement de domaines tels que la technologie informatique, les logiciels, l'aéronautique, les véhicules électriques, tout ce qui est à la pointe de la technologie à l'heure actuelle, certains pays pourraient s'intéresser stratégiquement à l'activité que vous exercez. Si vous fabriquez quelque chose d'unique au monde ou d'unique pour votre pays ou votre secteur d'activité, qui est avancé et sensible sur le plan technologique, comme par exemple avec des brevets ou d'autres secrets commerciaux ou de la propriété intellectuelle, c'est quelque chose qui m'inquiéterait davantage.
Anne-Marie Henson:
Oui, c'est très intéressant, Rob, car je pense que dans le passé, on considérait la cybersécurité comme une menace, comme vous l'avez mentionné à propos des ransomwares, qui visent essentiellement à prendre en otage les informations, les informations confidentielles des entreprises, afin d'obtenir le plus d'argent possible. Je pense qu'aujourd'hui, les entreprises doivent voir les choses différemment, car ils ne recherchent pas seulement une source immédiate d'argent. Parfois, c'est le cas. Parfois, comme vous l'avez dit, ils recherchent votre propriété intellectuelle. Ou peut-être qu'ils ne cherchent même pas à voler votre propriété intellectuelle, mais, comme vous êtes une PME, et que vous êtes par exemple fournisseur au sein d'une grande chaîne d'approvisionnement, vos clients peuvent détenir des informations très sensibles qu'un État pourrait vouloir obtenir. Dans ce cas, ils pourraient accéder à vos systèmes, souvent moins protégés, pour atteindre ceux d'une organisation beaucoup plus grande.
Rob Philpotts:
Le fait que nous soyons aussi étroitement intégrés, entre fournisseurs, ventes, flux entrants et sortants, et que les entreprises soient interconnectées à ce point, tant sur le plan logistique que technologique, est certainement un élément à prendre en compte à une époque où la mondialisation tend à se fragmenter. Nous le voyons. Nous voyons les dirigeants mondiaux affirmer clairement, les dirigeants occidentaux affirmer clairement que l'ère de la chaîne d'approvisionnement mondiale est en train de changer. À l'heure actuelle, nous devons être plus sélectifs en ce qui concerne l'origine de vos données, vos sources d'information. Si je suis dans une entreprise au Canada, à la recherche d'un partenaire avec lequel m'intégrer, je m'intéresserais aux juridictions qui partagent en quelque sorte nos principes généraux. L'Europe, les États-Unis, bien sûr encore, mais aussi potentiellement des nations partageant nos valeurs et nos processus institutionnels, ce qui est très important. Ce sont des éléments à prendre en compte lorsque vous planifiez vos activités commerciales.
Anne-Marie Henson:
Oui, absolument. Merci de nous avoir fait part de cela. C'est très informatif comme point de départ pour cette conversation. Je veux parler d'un livre blanc intéressant que BDO a récemment parrainé. Il a été réalisé par l'International Data Corporation. Il s'intitule « Préparation à la cybersécurité à l'ère de la transformation numérique ». Le rapport note que seulement 40 % des organisations intègrent la cybersécurité pendant leur phase de planification. Pourquoi ce chiffre est-il encore si bas alors que nous voyons tout ce qui se passe dans l'actualité aujourd'hui ?
Rob Philpotts:
Je pense que beaucoup de cela peut s'expliquer, je crois, simplement par la nature humaine. Nous constatons que lorsque nous mettons en œuvre des solutions technologiques pour gérer notre entreprise, IT, OT, etc., il est évident que la rapidité avec laquelle on peut être efficace et saisir les opportunités est un point sur lequel il faut se concentrer. Je pense que c'est ce qui a été le moteur.
À mesure que les entreprises se digitalisent, les gains d'efficacité qu'elles constatent les incitent simplement à poursuivre dans cette voie. Nous voyons cela maintenant avec l'IA. Il y a une technologie majeure qui arrive, avec l'intelligence artificielle. Vous voyez, évidemment... Peut-être pas de manière évidente, mais il est assez clair qu'il y a une ruée d'investissements. Des entreprises investissent des milliers de milliards de dollars, des centres de données sont construits, et les gens misent énormément sur le succès de cette technologie, dont le potentiel est certainement réel. C'est la partie précipitée. C'est le fait de s'engager dans cette technologie et d'en tirer les gains d'efficacité, et ainsi de suite.
Cependant, l'autre aspect de la nature humaine est que nous avons beaucoup de mal à percevoir des menaces que nous ne pouvons pas voir. Si vous ne pouvez pas le voir, vous ne le percevez tout simplement pas, jusqu'à ce que ce soit littéralement sous vos yeux, pour ainsi dire. Percevoir clairement les menaces cyber, celles-ci sont relativement invisibles, si vous n'avez pas la technologie ou si vous ne pensez pas à cet espace. Je pense que c'est en quelque sorte de là que cela vient.
La technologie, et je dirais, le cloud, est un contributeur encore plus important, le cloud est censé rendre les choses plus sûres, ce qu'il fait assurément, mais il accélère également de manière égale la capacité à établir des empreintes numériques efficaces ou connectées à l'entreprise. Elles créent un risque ou ce que nous appelons une surface d'attaque. Puis ils passent à une autre empreinte cloud, laissant peut-être des traces de l'ancienne encore disponibles. C'est quelque chose que nous voyons tout le temps dans le domaine de la cybersécurité, il s'agit en quelque sorte de failles ou de voies d'attaque dans les entreprises qui subsistent en raison de la rapidité du déploiement et de la rapidité de la production technique.
Quant à l'impact de cela, je peux simplement dire que la planification coûte moins cher que la réaction. Je pense que cela est bien documenté. La planification n'est pas, elle est considérée comme un investissement dans la cybersécurité. Elle est considérée comme un coût. Elle ne contribue pas au profit de l'entreprise. Elle ne fabrique pas les gadgets qui sortent de l'usine, par exemple. Quand on pense aux réglementations, les attentes du public sont telles que si vous me fournissez un produit et que, peut-être, il utilise certaines de mes données en retour, pour faire fonctionner le produit, peu importe ce que c'est, je m'attends à ce que vous fassiez de votre mieux en matière de sécurité, ou du moins un niveau raisonnable de protection. Car nous voyons bien qu'il y a des affaires judiciaires, des procès, différentes choses qui se produisent lorsque les entreprises ne prennent pas la cybersécurité au sérieux.
Que se passe-t-il si vous finissez par réagir sans avoir de plan ? C'est généralement beaucoup plus risqué. Ces choses ont tendance à devenir plus publiques en général, surtout si, disons, un acteur de ransomware, s'il met vos données en ligne, tout le monde peut les voir. Le fonctionnement est le suivant : ils mettent ça en ligne. Il y a toute une série de bots sur Twitter/X qui surveillent ces sites. Ce ne sont pas des sites secrets. Dès qu'elles sont publiées sur le dark web, sur ce que nous appelons un site de dénonciation, elles sont immédiatement rendues publiques via les réseaux sociaux. Beaucoup de chercheurs font cela comme passe-temps, en recherchant ces divulgations.
Pourquoi prendre ce risque. Pourquoi prendre ce risque à ce moment-là ? Imaginez que vous réagissiez, c'est le chaos, vos défenses étaient faibles, elles n'avaient pas bénéficié d'investissements, vous êtes confronté à une crise potentielle de relations publiques, une crise réglementaire, ainsi qu'une crise commerciale. Il ne s'agit pas de faire honte à quelqu'un. Nous ne faisons jamais cela. Réagir à un incident est très sérieux. Nous prenons cela très au sérieux. Si vous réfléchissez et que vous prenez le temps de vous éloigner de l'instant présent, en vous demandant, « Pourquoi n'ai-je pas investi plus tôt ? » Ce n'est pas compliqué.
L'autre chose que je veux dire à ce sujet, c'est que cela devient important et que le gouvernement s'y attend. Au Canada, par exemple, nous avons le projet de loi C-8, qui est en cours d'examen au Parlement. Il s'agit d'un exemple de notre propre législation nationale qui, je pense, va modifier la loi sur les télécommunications afin de créer essentiellement une charte cybernétique qui ne s'appliquera pas à toutes les entreprises, mais uniquement à ce qu'on appelle les opérateurs désignés. Il s'agit donc essentiellement d'infrastructures critiques. Il en existe toute une série. Vous trouverez ici une liste. Il n'y en a pas que quelques-unes. Ces types d'organisations et d'entreprises, tant publiques que privées, devront démontrer leur compétence en matière de cybersécurité. Une législation est donc en cours d'élaboration.
D'autres pays ont été plus francs à ce sujet. Ce que vous voyez émerger, c'est une tendance selon laquelle les dirigeants d'entreprise, c'est-à-dire les directeurs généraux, les directeurs financiers, les directeurs des opérations, les directeurs informatiques, s'ils ont connaissance d'un problème cybernétique qui leur a été signalé et qu'ils n'ont pas pris de mesures à ce sujet, il y a maintenant..., la SEC a récemment engagé une action en justice contre un dirigeant d'entreprise. Je ne sais pas où en est cette affaire à l'heure actuelle, mais la SEC a effectivement engagé des poursuites en tant qu'organisme de réglementation contre un dirigeant d'entreprise américain pour avoir négligé les notifications de son personnel concernant l'état de la cybersécurité de l'entreprise.
La responsabilisation est donc en marche. Il s'agit là d'exemples assez extrêmes. Tout ne se termine pas nécessairement par des poursuites, mais il y aura des amendes. C'est une question de visibilité de votre posture de sécurité. Il faut donc agir. Commencez à planifier. Soyez résilient et ne laissez pas votre entreprise être perturbée. De mon point de vue, cela me semble être une excellente chose à faire.
Anne-Marie Henson:
Oui, il semble clairement que l'investissement en vaille la peine, au vu de ce que nous avons constaté, et, espérons-le, ce pourcentage augmentera avec le temps. J'aimerais savoir, d'après ce que nous avons lu, lorsqu'il y a un cyberincident et que des données sont perdues, volées ou prises en otage pendant un certain temps, le temps de récupération peut généralement dépasser sept jours pour ce type d'incidents, ce qui semble assez long, car une semaine de perturbation, c'est beaucoup, sans compter le temps qu'il faut ensuite pour reprendre le cours normal des activités et être pleinement opérationnel. Au vu de ce chiffre, quelles sont, selon vous, les conséquences les plus importantes de la perte d'accès à vos données et, en substance, de la perte de la capacité à fonctionner en tant qu'entreprise pendant une semaine ?
Rob Philpotts:
Cela dépend de votre activité, les conséquences peuvent donc varier. En général, il y a un impact financier. Nous avons vu des organisations qui ont dû puiser dans leurs lignes de crédit parce que leur trésorerie s'était tarie, du fait qu'elles n'avaient plus accès à leurs données et ne pouvaient plus poursuivre leur activité. C'est un impact, car cela a un coût. Ce n'est pas gratuit de recourir à vos lignes de crédit. C'est donc généralement une décision qui peut être prise.
D'autres répercussions, qui sont à mon avis plus graves et plus durables, concernent la réputation. Si vous êtes une entreprise dans un secteur critique, par exemple les fournitures médicales ou autre chose, l'électricité, par exemple, etc. On pourrait continuer. Il y a tellement de secteurs et de domaines sensibles. Si vous fournissez quelque chose d'unique, restons-en aux fournitures médicales. Quelque chose d'unique. Peu de gens fabriquent ce produit qui est essentiel à la continuité des soins de santé. Même des choses simples. Nous avons déjà vu par le passé que des choses simples pouvaient venir à manquer. Si cela résulte de votre propre manque de planification et d'une attention insuffisante portée à la cybersécurité, car, pour une raison quelconque, un acteur malveillant a pénétré votre réseau, si l'on découvre que cela est dû à un faible niveau de sécurité, cela aura un impact sur votre réputation. Les gens diront alors, « Je ne peux pas me permettre une telle perturbation de mon côté. Je comptais sur vous. Par conséquent, je pourrais envisager de changer ou d'avoir plusieurs fournisseurs qui fournissent ce même type de produits essentiels. »
L'atteinte à la réputation est donc un élément important, et nous en parlons beaucoup lorsque nous faisons nos exercices de simulation avec nos clients. Un exercice de simulation où nous les guidons à travers une violation simulée et où les dirigeants apprennent comment réagir et répondre dans ce contexte. Lorsque nous faisons cela, nous insistons, et cela varie selon les clients et la manière dont ils choisissent de procéder, mais ce dont nous discutons, c'est de la manière dont vous gérez une crise et de la manière dont le public perçoit cette gestion de la crise et son impact sur vous lorsque vous sortez de la crise. Si la réponse est bâclée et que votre entreprise prend un mauvais tournant en termes de réputation ou d'impact commercial et que les gens se demandent : « Que se passe-t-il ici ? » Cela aura des conséquences à plus long terme, et vous serez alors plutôt évasif sur ce que vous faites en interne et peu communicatif. Cela nuira assurément à votre réputation.
Un exemple classique de cela, ce n'était pas une cybercrise, mais une crise alimentaire. Maple Leaf Foods. Un exemple largement salué, où ils étaient ouverts au quotidien, tous les deux jours, peu importe. Le PDG a pris ses responsabilités et a été transparent sur ce qui se passait. C'est un cas très étudié. Cela ne signifie pas que vous devez tout leur dire, mais vous devez en dire suffisamment pour donner confiance au public. Il en va de même pour un incident de cybersécurité. Nous constatons généralement des répercussions sur la réputation et les finances.
Anne-Marie Henson:
Oui, c'est un bon point, car je pense que les risques financiers sont immédiats, et généralement, ils apparaissent assez rapidement en cas de problème de cybersécurité. Le risque pour la réputation est vraiment le préjudice potentiel à long terme, pour votre chaîne d'approvisionnement, vos clients qui pourraient avoir perdu confiance en votre capacité à sécuriser leurs données et leurs informations. Ces risques ne doivent donc pas être sous-estimés lorsque nous examinons ce type de problèmes.
Rob Philpotts:
Les risques financiers aussi. Les risques financiers peuvent être tout aussi importants... Car sur le plan financier, nous avons vu des entreprises fermer leurs portes parce qu'elles ne disposaient pas des lignes de crédit ou de la structure financière ou des moyens nécessaires pour surmonter cette période. Nous avons également observé, dans le cas d'organisations à but non lucratif qui dépendent peut-être de dons pour soutenir une activité caritative, et où des données sensibles peuvent être concernées, que certains donateurs étaient littéralement préoccupés par la façon dont leur soutien était géré et protégé au sein de l'organisation. Cela peut donc se produire de toutes sortes de façons, et nous le constatons. Il faut planifier l'avenir lorsque vous élaborez ce plan, c'est ce que nous appelons un plan d'intervention en cas d'incident. C'est en fait un élément très important d'un programme de cybersécurité. Il ne s'agit donc pas seulement de disposer d'une protection et d'une technologie telles que la protection des terminaux, par exemple, pour protéger vos ordinateurs, mais aussi d'avoir un plan que vous pouvez invoquer et mettre en œuvre en cas de crise, car cela permet à chacun de rester dans son rôle et vous permet de rester sur la bonne voie avec cette réponse et de gérer les risques en cas de crise. Tout cela est donc très important.
Anne-Marie Henson:
C'est un bon point, Rob. Vous avez probablement répondu en partie à la question suivante, mais j'aimerais savoir s'il y a autre chose que nous devrions prendre en considération. Le rapport que nous avons co-parrainé suggère également que le simple budget, c'est-à-dire mettre de côté régulièrement des fonds pour bénéficier de services gérés, auprès d'une entreprise comme BDO, pour aider à gérer la cybersécurité au quotidien, ne garantit à lui seul pas la préparation à un incident. Quels sont donc les facteurs qui sont vraiment essentiels, au-delà de la simple mise de côté d'un budget et de moyens financiers, pour être résilient du point de vue de la cybersécurité ?
Rob Philpotts:
Je commencerai par l'utilisation de ces budgets. Nous avons constaté dans certaines organisations que cela arrive plus souvent que vous ne le pensez ou que vous ne le souhaiteriez. Lorsqu'un budget est alloué, je gère ça. Quel est le problème ? N'est-ce pas ? Vous allez plus loin, et nous sommes invités à travailler chez certains de ces clients. Nous les aidons. Ce que nous constatons, c'est qu'ils ont besoin d'aide lorsque cela se produit, car ils disposent de toutes les technologies possibles et imaginables. Ils disposeront de certaines choses qu'en tant que professionnel de la cybersécurité, j'aimerais avoir, pour pouvoir travailler avec des outils très performants. Vous verrez tous ces investissements, toutes ces technologies individuelles, mais aucune d'entre elles n'est intégrée.
Il faut donc intégrer ces technologies, car la cybersécurité, sans entrer dans les détails techniques, consiste à obtenir une visibilité et des signaux provenant de différentes parties de votre activité numérique. D'accord ? Cela signifie de savoir ce qui se passe avec un compte. Que se passe-t-il avec un compte ? Ce compte est-il compromis, ce compte interagit-il avec un ordinateur avec lequel il n'interagit pas normalement. Ou interagit-il avec un ensemble de données avec lequel il n'interagit généralement pas ? Pourquoi untel accède-t-il aux données RH aujourd'hui ? Ce profil d'utilisateur ne fait jamais cela.
En faisant cela à la vitesse de la lumière, c'est là que votre intégration doit se faire et rechercher ces anomalies. Car c'est à cette vitesse que se produit une cyberattaque. Nous appelons ça la « vitesse cyber ». Cela se produit en un clin d'œil. L'intégration de ces technologies est souvent ce qui nous semble faire défaut. Nous aidons nos clients de différentes manières à intégrer cela et à atteindre une certaine maturité. Si vous êtes le directeur financier qui fournit ce budget, comment pouvez-vous savoir si c'est..., enfin, ce qui se cache derrière tout ça ? Car en général, c'est comme un investissement. Dans les cas où nous constatons un manque d'intégration, cela provient généralement d'un manque d'expérience ou d'un faible niveau d'effectifs qui n'ont tout simplement pas le temps de réaliser l'architecture complète, ce que nous appelons l'architecture de sécurité. C'est là qu'ils s'appuient sur des partenaires comme BDO pour les aider à corriger ce manque d'intégration.
s, c'est s'assurer que vos communications internes, vos dépendances internes n'exposent pas de chemins d'attaque supplémentaires qui permettraient à un attaquant d'aller trop loin dans votre réseau ou de se déplacer partout dans votre réseau au lieu d'idéalement, pas idéalement, mais plus idéalement, dans un seul service vulnérable plutôt qu'un ensemble entier vulnérable. Ils examinent donc cet aspect également.
La deuxième activité, je ne vais pas m'attarder dessus, consiste simplement en une évaluation de la posture de sécurité. C'est ce que l'on appelle aussi le « blue teaming ». C'est là qu'un de nos architectes en sécurité intervient, ce n'est pas tellement un test, mais c'est là que nos architectes en sécurité s'assoient avec le client et examinent toutes leurs configurations de l'intérieur, c'est-à-dire depuis une perspective interne et passent en revue les meilleures pratiques et l'alignement industriel pour s'assurer que ces technologies sont intégrées, et fournissent simplement une feuille de route aux clients ou nous le faisons pour eux. Cela correspond à une vision de l'intérieur et à la mise en place des dispositifs.
La troisième chose que nous faisons est ce que j'ai mentionné plus tôt, ces exercices sur table. Si vous ne l'avez pas fait et que vous avez des parties prenantes externes et des dirigeants, des propriétaires, des investisseurs, des régulateurs, des données sensibles, un type d'opération sensible dont nous avons parlé, comme la fabrication scientifique et technologique, par exemple, si vous n'avez pas fait d'exercice sur table, je le recommande fortement. Car vous verrez alors à quel point votre organisation est prête. C'est important, car un plan vous guidera à travers les conséquences liées à la confidentialité et vous expliquera comment gérer cela en cas de crise, notamment en ce qui concerne les données des employés ou les données personnelles.
Il vous guidera également à travers les conséquences d'une perturbation des activités, dont nous avons parlé, et vous verrez, si vos équipes sont réellement capables de maintenir le fonctionnement de l'entreprise. Êtes-vous capable de récupérer votre entreprise à partir d'une sauvegarde, par exemple ? Il est surprenant de voir ce qui en ressort. Nous avons eu un client qui utilisait exclusivement le cloud et dont toutes les données étaient sauvegardées. Ou plutôt, ils utilisaient à la fois le cloud et des solutions sur site. Tout était sauvegardé. Ils étaient très efficaces pour sauvegarder leurs données professionnelles. Si quelque chose arrivait, ils pouvaient, en quelque sorte, déconnecter et reprendre en quelques heures, c'était la théorie.
Ce qui s'est passé, c'est qu'ils n'avaient pas prévu la bande passante nécessaire pour restaurer l'activité depuis leur centre de données vers leur site physique. Ce n'était peut-être pas simple. Peut-être que c'était compliqué de souscrire ou de contracter cette bande passante. Tout était pratiquement réglé, sauf pour ce détail concernant la bande passante nécessaire pour restaurer le réseau. Ils ont donc été perturbés parce que leur plan n'avait pas été..., enfin, je ne dirais pas qu'il n'avait pas été mis en œuvre, mais s'ils avaient mis en œuvre cette activité, ils l'auraient vu avant le moment critique.
Anne-Marie Henson:
Je pense qu'une autre chose que j'ai constatée également c'est qu'un plan vraiment bien conçu implique toute l'organisation. Parfois, j'ai vu l'équipe financière ou le CFO dire, « Ok, équipe technologie, quel est le budget pour la cybersécurité ? » Vous le notez dans votre budget annuel et à la fin de l'année, vous comparez ce qui a réellement été dépensé avec le budget prévu.
Il s'agit davantage d'une formalité administrative que d'une prise de conscience collective de la responsabilité de chacun en matière de cybersécurité, de préparation adéquate et de choses de ce genre. Les organisations qui ne se contentent pas de confier cette responsabilité au directeur technique ou au directeur informatique, mais qui en font la responsabilité de chacun, sont celles qui, d'après mon expérience, réussissent le mieux.
J'ai une dernière question pour vous, Rob. Vous avez parlé de tant de choses différentes qu'une organisation peut faire pour être mieux préparée dans l'environnement actuel de cybersécurité et de menaces. Si vous deviez donner un seul conseil aux organisations qui tentent de se préparer aux cybermenaces dans ce contexte d'incertitude, vous en auriez probablement beaucoup à donner. Je suppose que pour les organisations qui ont toutes ces priorités différentes et des urgences ou des incendies à éteindre, quelle serait la seule chose que vous voudriez nous dire ?
Rob Philpotts:
Une chose que je dirais est de faire appel aux services d'un fournisseur de sécurité dédié. Beaucoup d'entreprises dans ce domaine, nous avons beaucoup parlé des petites et moyennes entreprises, de la fabrication, etc. Beaucoup d'entreprises dans ce secteur ont un fournisseur de services informatiques dédié. Un fournisseur de services informatiques, il peut être assez robuste. Il y a des opérations très compétentes. Ce que nous constatons, c'est que leur priorité est de faire fonctionner les choses. Il s'agit de mettre la voiture en route, de la faire rouler, pneus, moteur, et tout, pour la faire avancer.
Si vous n'intégrez pas la sécurité, ce qui relève d'un état d'esprit différent, ce sera comme les serrures de votre porte, ou plutôt, les serrures de la porte de la voiture, la ceinture de sécurité, peut-être même les essuie-glaces, selon jusqu'où on veut pousser cette comparaison. C'est un état d'esprit différent de celui qui consiste simplement à mettre la voiture en route et la faire avancer. Généralement, cela fait partie intégrante de la philosophie des fournisseurs informatiques : faire avancer les choses, et quand les choses avancent, d'autres choses peuvent se produire.
Vous ne voulez pas ralentir votre entreprise. Nous ne sommes pas là pour arrêter de faire avancer les choses. Ce n'est pas ce que nous essayons de faire, ce n'est pas notre rôle. Ce que nous disons, cependant, c'est, prenez un fournisseur de services de sécurité qui est un peu indépendant de ce fournisseur informatique. Le fournisseur informatique pourrait dire, « Nous nous occupons de la sécurité. » Ça va, pas de problème. Il existe des opérations très compétentes.
Mais de temps en temps, si vous vous demandez comment cela se passe et si vous avez une sécurité suffisante, ce fournisseur de sécurité indépendant peut effectuer certaines des vérifications simples que j'ai mentionnées, qu'il s'agisse d'une vérification interne par une équipe bleue de votre architecture interne ou d'un test de sécurité offensif de votre patrimoine numérique proposé par ce fournisseur de services informatiques, c'est une approche très efficace pour vous permettre de savoir si vous êtes en bonne posture, ou, au moins, savoir ce que vous devez faire ensuite.
Les types de rapports que peut produire le blue teaming ou la sécurité offensive c'est que lorsque vous y revenez plus tard, six mois, un an, vous avez alors quelque chose avec quoi comparer. Si votre société de services informatiques n'évolue pas, vous avez au moins maintenant des preuves pour réfléchir à la manière dont vous allouez vos investissements et pour orienter vos décisions. C'est très important.
Une chose à garder à l'esprit, ces types de vérifications ponctuelles, même si c'est un audit de sécurité, par exemple, ce sont des instantanés. Ce n'est pas en temps réel. Nous avons beaucoup parlé de ce qui se passe en temps réel, de la manière dont les incidents peuvent survenir littéralement sur le moment. Cela relève davantage des opérations cyber.
Si vous êtes une entreprise assez importante, alors, oui, vous voulez avoir un programme d'opérations de sécurité où vous défendez activement votre réseau avec des services et des technologies dédiés. Je m'en tiendrai à cela. Je m'en tiendrai à ces vérifications ponctuelles. Elles offrent un excellent rapport qualité‑prix, et elles peuvent rendre vos équipes et vos fournisseurs pleinement responsables de la sécurité de votre patrimoine numérique.
Au fait, vous ne pouvez pas externaliser le risque. Ce n'est pas le risque de votre société informatique. C'est votre risque. D'accord ? C'est aussi votre responsabilité. Ne vous déchargez pas de cette responsabilité, surtout alors que nous voyons les choses évoluer, comme nous en avons parlé dans la discussion aujourd'hui.
Anne-Marie Henson:
Merci beaucoup, Rob. J'adore en fait l'analogie de la voiture. Je pense que c'est vraiment très pertinent.
Je vous remercie vraiment pour votre temps et pour votre point de vue aujourd'hui. J'espère que notre audience a apprécié cette discussion. Si vous avez aimé cet épisode, assurez-vous de laisser un avis ou un commentaire, et cliquez sur le bouton « Suivre » ou « S'abonner » pour rester informé des nouveaux épisodes. Merci à nos auditeurs d'avoir été à l'écoute aujourd'hui et pour tous nos épisodes. Je m'appelle Anne-Marie Henson et vous venez d'écouter « La comptabilité de l'avenir » de BDO. Merci beaucoup.
Narrateur :
Merci d'avoir écouté « La comptabilité de l’avenir », de BDO Canada. Les derniers épisodes et les idées connexes sont disponibles sur www.bdo.ca/accountingforthefuture. Vous pouvez également vous abonner sur Apple Apple Podcasts, Spotify, or Google Podcasts. Pour plus d'informations sur BDO Canada, visitez bdo.ca.