superposition d'icônes de cybersécurité sur la main d'une personne

Multiplication des violations de données : pourquoi un recul des menaces passe par un changement de mentalité?

Multiplication des violations de données : pourquoi un recul des menaces passe par un changement de mentalité?

Résumé
6 minutes de lecture

La rapidité de la transformation numérique en cours est propice à la multiplication des menaces informatiques. Il est donc essentiel de penser autrement la cybersécurité afin de limiter les risques. Il s’agit notamment d’articuler vos initiatives de modernisation technologique et vos processus opérationnels autour de cette question fondamentale. En fait, c’est la place même de la cybersécurité au sein de votre structure organisationnelle que vous devez revoir.

Mais il vous faudra du temps, des ressources et une stratégie minutieuse pour réussir à transformer la culture de votre entreprise. Pendant que vous travaillez à instaurer ces changements déterminants, vous pouvez protéger votre organisation en vous conformant aux pratiques exemplaires liées à la cybersécurité : tenue d’un inventaire de vos appareils et de vos logiciels, limitation de leur configuration, contrôle des privilèges des administrateurs de système, etc.

L’essor rapide du numérique s’accompagne d’une hausse des cyberattaques et des brèches informatiques – dont les préjudices pour les entreprises sont de plus en plus lourds. Et les sommes colossales englouties chaque année pour enrayer le phénomène ne semblent rien pouvoir y changer : 85 % des organisations ont subi au moins une cyberattaque réussie en 2023, d’après le rapport sur la défense contre les cybermenaces [en anglais] publié par le groupe CyberEdge. Alors, quelles sont les erreurs à ne pas commettre et quels sont les changements à apporter au sein de votre organisation pour mieux la protéger?

Il est essentiel de penser autrement la cybersécurité afin de limiter les risques à mesure que le paysage numérique se transforme. En d’autres termes, c’est la place même de la cybersécurité au sein de votre organisation que vous devez revoir. Il s’agit de la mettre au cœur des évolutions technologiques de votre entreprise et de ses processus opérationnels. Intéressons-nous désormais au coût d’une cyberattaque réussie, aux façons de réinventer votre approche et aux cinq mesures à adopter pour mieux vous armer contre les menaces informatiques.

Quel est le coût d’une cyberattaque réussie?

Selon une étude menée par IBM en 2023 [en anglais], le coût moyen d’une violation de données s’élève à 4,45 millions de dollars américains. Mais une brèche de sécurité ou une fuite d’information n’ont pas que des répercussions financières : elles portent aussi atteinte à la réputation de votre entreprise, d’où une possible incidence sur sa rentabilité future. En outre, une attaque réussie peut toucher vos clients et vos employés à divers égards, et ces coûts sont plus difficiles à chiffrer.

En réponse à une brèche informatique, 51 % des organisations envisagent d’augmenter le budget consacré à la cybersécurité. Ces dépenses devraient d’ailleurs augmenter de 5 % en 2024. Toutefois, mettre de l’argent sur la table pour résoudre le problème ne suffit pas : ce n’est qu’en revoyant votre conception de la cybersécurité en profondeur que vous parviendrez à réduire les risques.

Quels changements mettre en œuvre?

Il est essentiel de porter un autre regard sur la cybersécurité. En effet, elle doit être au cœur des priorités de votre organisation tandis que de nouvelles menaces émergent sans cesse. Ces trois étapes peuvent vous aider à changer d’optique et à renforcer les mesures de sécurité au sein de votre entreprise.

Accordez la priorité à la sécurité au cours des phases de transformation numérique

À mesure que les technologies deviennent de plus en plus intégrées et sophistiquées, votre environnement et vos systèmes numériques ont tendance à se faire moins sûrs. Les entreprises sont promptes à adopter de nouvelles technologies pour gagner en efficacité et rester concurrentielles, mais peu se soucient des questions de sécurité au moment de la mise en œuvre de ces solutions.

Pourtant, il est plus difficile et plus coûteux de renforcer les mesures de sécurité après coup. Avant d’entamer toute transformation numérique, posez-vous les questions suivantes :

  • Cette technologie est-elle sûre?
  • Comment la rendre plus sûre encore?
  • Comment l’intégrer de façon sécuritaire à notre environnement?

Ces questions vous aideront à repérer les risques en amont et à y répondre avant qu’il ne soit trop tard. Elles vous permettront également d’éviter des mesures de sécurité plus coûteuses, une fois la solution mise en œuvre.

Renforcez la sécurité de vos processus opérationnels

La notion de sécurité doit occuper une place centrale dans vos processus opérationnels et votre cadre de gestion des risques. Évaluez votre performance liée à la cybersécurité, puis préparez des rapports sur le sujet comme vous le feriez pour n’importe quelle autre fonction opérationnelle. De nombreux indicateurs peuvent s’avérer pertinents : durée moyenne de détection, d’intervention et de rétablissement; heure à laquelle la vulnérabilité s’est manifestée, temps d’attente; taux de résolution.

Ces mesures se révèlent particulièrement utiles pour déceler les vulnérabilités au sein de votre organisation, optimiser la répartition des ressources et la gestion des risques et vous adapter aux nouvelles menaces. Elles vous permettent également de créer une norme de référence afin de suivre l’évolution de votre performance au fil du temps.

En outre, demandez régulièrement des rapports sur l’efficacité de vos contrôles de cybersécurité et le rendement de vos différents investissements, en veillant à inclure la direction et les autres parties prenantes tout au long du processus. Vous pourrez ainsi vous assurer que la cybersécurité reste au cœur des priorités de votre organisation à mesure que son environnement numérique évolue.

Repensez la place de la cybersécurité au sein de votre entreprise

De nos jours, le fonctionnement de toute entreprise s’articule autour de son environnement numérique et des données dont elle dispose. C’est pourquoi la notion de cybersécurité revêt une même importance dans chaque activité quotidienne de votre organisation. Pourtant, de nombreuses entreprises continuent à mettre les questions de sécurité entre les mains d’un seul groupe au sein de l’équipe des TI. Cette approche a vécu. Vous devez la repenser pour que la cybersécurité devienne l’affaire de tous vos employés.

L’analogie avec le secteur financier est éloquente : chaque service se voit attribuer un budget, puis doit le gérer et rendre compte de ses dépenses. De la même façon, il faut intégrer la cybersécurité à l’ensemble de vos activités et ne plus en faire une fonction unique et centralisée.

L’approche traditionnelle qui consiste à confier cette question à un groupe autonome du Service des TI a montré ses limites dans le contexte actuel, où l’environnement numérique est en constante évolution. À mesure que la dépendance à l’égard des technologies s’accentue, vous devez ériger la cybersécurité au rang de responsabilité commune, ancrée dans tous les secteurs de votre entreprise.

Comment réduire les cyberrisques au sein de votre organisation?

Pour vous protéger efficacement contre les menaces informatiques, il est primordial de faire évoluer les mentalités et d’accorder la priorité à la sécurité à l’échelle de votre entreprise. Mais il vous faudra du temps, des ressources et une stratégie minutieuse afin de réussir à transformer votre culture organisationnelle.

Pendant que ces changements profonds se mettent en place, voici cinq mesures qui peuvent vous aider à réduire les cyberrisques dans les meilleurs délais :

Tenez un inventaire

Dressez un inventaire exhaustif de votre matériel et de vos logiciels autorisés et non autorisés, sans oublier de recenser par exemple vos téléphones cellulaires et vos progiciels de gestion intégrés. Vous aurez ainsi une vue d’ensemble de votre dispositif. Certes, cet inventaire ne vous permettra pas d’éviter les violations de données. En revanche, il vous aidera à savoir si du matériel ou des logiciels apparaissent de façon inexpliquée dans votre système.

Limitez la configuration de vos logiciels et appareils

Pour renforcer la cybersécurité au sein de votre organisation, configurez vos logiciels et appareils afin de respecter l’usage précis auquel ils sont destinés. Par exemple, un serveur Web ne doit avoir que cette fonction activée. Repérez les fonctionnalités qui exposent votre système à une attaque et éteignez toutes celles qui ne sont pas nécessaires.

Dans le monde des nouvelles technologies, l’efficacité et la facilité d’utilisation ont souvent tendance à éclipser la sécurité. D’ailleurs, de nombreuses plateformes fournissent des mots de passe par défaut en vue d’offrir une expérience clé en main à leurs utilisateurs. Veillez à mettre en place des processus efficaces afin de les modifier immédiatement.

Effectuez des audits de vulnérabilité et apportez les correctifs nécessaires

Le code d’un logiciel est complexe – et tout bogue ou tout problème de configuration peuvent donner lieu à des failles de sécurité exploitables. Les analyses de vulnérabilité en continu constituent actuellement la solution la plus complète pour surveiller vos systèmes. Des entreprises de toutes tailles y ont d’ailleurs recours pour atténuer les menaces informatiques à mesure que leur dépendance technologique s’accroît.

Il s’agit d’utiliser des outils qui exécutent des analyses en continu sur vos systèmes, applications et environnements en nuage, afin de vous donner un aperçu des vulnérabilités de votre organisation en temps quasi réel. Une fois qu’elles sont repérées, il devient possible d’y remédier grâce à des mises à jour logicielles ou à des changements de configuration. À tout moment, vous pouvez aussi déterminer les faiblesses à corriger en priorité.

Contrôlez les privilèges des administrateurs de système

Les administrateurs de système disposent du niveau d’accès le plus élevé au réseau informatique de votre entreprise. Il est donc essentiel de mettre en place des contrôles afin de réduire les risques organisationnels. Par exemple, vous pouvez donner un accès à la carte à vos systèmes en instaurant un compte sur demande, utilisable uniquement quand des privilèges de niveau administrateur sont nécessaires.

De nombreuses brèches informatiques sont dues à des comptes d’utilisateur compromis. En mettant de l’ordre dans les autorisations, vous complexifiez la tâche des éventuels pirates. Vous contribuez aussi à mieux protéger votre entreprise contre diverses menaces telles que l’hameçonnage. En effet, si un employé se fait piéger par un message frauduleux, cette approche permettra de limiter la marge de manœuvre des expéditeurs malveillants.

Investissez dans la formation de votre personnel

Vos employés jouent un rôle clé dans le succès de votre organisation – et ont souvent à manier de l’information et des données délicates. Investissez dans un programme de formation qui leur apprendra à préserver la sécurité des données. Votre personnel deviendra alors votre meilleur rempart contre les cyberattaques.

Il n’est pas nécessaire d’engager des sommes et des moyens importants afin de mettre en œuvre cette solution. Pourtant, il s’agit d’une excellente façon de changer l’état d’esprit de vos employés et de les encourager à signaler les brèches et les menaces informatiques potentielles sans crainte des représailles.

Et maintenant?

La nature des menaces informatiques évolue sans cesse. Il est donc essentiel de changer d’optique et d’ériger la sécurité en priorité à l’échelle de toute votre entreprise – y compris dans le cadre de vos initiatives de modernisation technologique et de vos processus opérationnels. En outre, le respect des pratiques exemplaires liées à la cybersécurité peut contribuer à réduire les risques tandis que vous élaborez votre stratégie de transformation numérique.

Pour en savoir plus, veuillez communiquer avec notre groupe Cybersécurité et protection de la vie privée. Nous travaillerons avec vous pour établir une norme de référence en vue de préserver la sécurité et la confidentialité de vos données et systèmes. Nous vous aiderons également à repérer les principales menaces et à définir des tactiques de résilience en vue de protéger votre organisation plus efficacement.

Points de vue

  • Performance

    26 mars 2024

    Faits saillants du budget 2024 de l’Ontario

    Voir le sommaire de MNP sur les faits saillants du budget 2024 de l’Ontario.

  • Performance

    25 mars 2024

    Ai-je besoin d’une société de portefeuille?

    Nos clients qui sont déjà propriétaires (ou qui envisagent l’acquisition) d’une ou de plusieurs sociétés en exploitation posent souvent cette question aux fiscalistes de MNP.

  • 20 mars 2024

    Comment protéger efficacement votre cabinet contre les menaces informatiques?

    Découvrez les principaux cyberrisques qui guettent les cabinets médicaux et dentaires indépendants, et les moyens pour les atténuer.