Cybersécurité organisationnelle : tout le monde est concerné
Les dirigeants devraient revoir leurs pratiques au moins une fois l’an, selon la taille de leur organisation et le nombre d’incidents. (Getty Images/Skynesher).
La cybersécurité a longtemps été considérée du seul ressort des TI, mais il est de plus en plus évident qu’elle est maintenant l’affaire de tous. Aujourd’hui, tous les aspects des activités sont concernés : TI, services juridiques, protection de la vie privée, marketing, finances, etc.
Les CPA doivent, au même titre que tous les cadres, faire leur part en matière de cybersécurité, notamment en aidant les organisations à se prémunir contre les cybermenaces ou encore en évaluant la situation en cas d’incident pour déterminer les mesures à prendre.
« Les CPA jouent un rôle essentiel dans tout le processus de cybersécurité, souligne Will Xiang, CPA, vice-président et expert en cybersécurité, analyse des données et confidentialité chez Richter. Non seulement ils ont l’avantage d’être très pragmatiques, mais ils interviennent à l’intersection des finances et des affaires et même, dans certains cas, des risques, de la conformité et des TI. »
LA CYBERSÉCURITÉ, UN UNIVERS QUI ÉVOLUE SANS CESSE
Les pirates informatiques emploient des techniques et des outils technologiques de plus en plus sophistiqués. En outre, la COVID a accéléré le processus de numérisation de nombreuses organisations, exposant dans la foulée plus de données, d’informations financières et de renseignements personnels sur des clients que jamais.
« Les cyberrisques ont toujours existé, poursuit Will Xiang. La menace a simplement augmenté. Les intervenants se doivent d’être informés afin de poser les bonnes actions. »
« Nous faisons face aujourd’hui à deux grands défis en matière de cybersécurité, explique Cathy Cobey, FCPA, chef de l’équipe canadienne responsable des risques technologiques d’EY Canada. Premièrement, les cyberpirates se sont organisés au point de fonctionner eux-mêmes comme des entreprises. Et grâce aux robots et à l’IA, ils peuvent attaquer sans interruption, jusqu’à trouver une ouverture. Il est difficile d’avoir toujours le dessus sur les pirates informatiques.
Deuxièmement, les attaques ne viennent plus que de l’extérieur. « Protéger le périmètre ne suffit plus à tenir les pirates en respect, ajoute Cathy Cobey. Ils réussissent de mieux en mieux à s’infiltrer dans les organisations au moyen de courriels d’hameçonnage ou d’autres communications semblant tout à fait légitimes et inoffensives. Ils excellent à se faire passer pour quelqu’un d’autre, de sorte que les employés les laissent entrer sans même s’en apercevoir. »
LA COLLABORATION INTERDISCIPLINAIRE : UN ÉLÉMENT ESSENTIEL
« Aucun membre de la direction n’est à l’abri d’un cyberincident, nous met en garde Cathy Cobey. Les entreprises les mieux protégées sont celles qui reconnaissent que la cybersécurité, c’est l’affaire de toute l’organisation. »
L’exercice de simulation est l’un des moyens de prévention des brèches de sécurité. Il consiste à réunir les équipes technique et opérationnelle pour réagir à un incident simulé. « Ce type d’exercice peut se révéler très utile, car il permet d’étudier le déroulement chronologique, les personnes touchées, les communications et les processus d’approbation, précise l’experte d’EY Canada. Il aide les gens à vraiment comprendre comment les incidents se produisent, comment les gérer et qui doit participer à cette gestion. »
Selon Will Xiang, les CPA et les dirigeants financiers doivent s’investir pleinement dans l'exercice de simulation, car ils peuvent contribuer à la résolution de certains problèmes, comme le paiement d’une rançon à des pirates qui attaquent par rançongiciel ou les répercussions possibles d’un cyberincident sur la réputation et les finances de l’entreprise. « Ils doivent aussi être présents pour faire part de leurs observations sur les exigences réglementaires et les obligations de déclaration à respecter. »
Chez Richter, l’exercice de simulation est la première étape d’un processus de cybersécurité à trois niveaux, qui monte dans la hiérarchie jusqu’aux membres de la haute direction et du conseil d’administration, poursuit le CPA. « Les organisations doivent rassembler les bonnes personnes et faire avaliser par le conseil la procédure à suivre avant qu’une brèche survienne. En testant les processus en amont, tout le monde sera au diapason. »
Richter examine un scénario d’attaque avec toute l’équipe de direction pour voir quelles décisions doivent être prises à chaque niveau. « Par exemple, on simulera une tentative d’hameçonnage ou une atteinte à la protection de données financières. Un dirigeant financier pourrait poser les questions suivantes : “Avons-nous des contrôles en place pour empêcher la fraude électronique? Les systèmes affectés sont-ils liés aux finances? Devrions-nous payer une rançon, et le cas échéant, nos assurances en couvriront-elles le paiement?” »
Cathy Cobey remarque par ailleurs que les entreprises s’intéressent de plus en plus à la création de centres interdisciplinaires chargés des questions de cybersécurité. Ces centres peuvent regrouper des employés de la cybersécurité, des services juridiques, de la protection de la vie privée, des TI et d’autres secteurs.
« La création de ces centres permet aux groupes de cerner les secteurs de collaboration, de réagir plus rapidement et de comprendre toute l’ampleur des menaces en vue de mieux y répondre. Les CPA devraient être invités à se joindre aux discussions, vu que les données et les questions financières ne devraient pas être envisagées chacune en vase clos. »
COMMENT RESTER AU-DEVANT DES CYBERPIRATES
La cybersécurité demande une vigilance constante de tous les dirigeants. « Ce qui était valide il y a un ou deux ans ne l’est plus aujourd’hui, soutient Will Xiang. La technologie évolue et les pirates raffinent constamment leurs procédés. »
À titre préventif, il importe entre autres que les dirigeants comprennent qui attaque leur secteur et quels types de cyberattaques ils sont le plus susceptibles d’attirer. « Il y a trois facteurs de risques à envisager, constate l’expert. Les attaques à visées financières, les attaques venant d’autres États-nations, et les attaques d’activistes. Les banques et les cabinets comptables sont plus vulnérables aux attaques à visées financières, car ces organisations détiennent beaucoup de données confidentielles sur des entreprises et des particuliers, tandis que le secteur de l’énergie est plus exposé aux attaques venant d’autres États-nations. »
Cathy Cobey conseille aussi aux dirigeants de revoir leurs pratiques au moins une fois l’an, selon la taille de leur organisation et le nombre d’incidents. « Dans les sociétés de grande taille, le conseil d’administration et la haute direction devraient faire le point chaque trimestre avec l’équipe des TI, et cet exercice devrait être administré ou supervisé par le groupe de gestion des risques. Il faut faire un suivi mensuel, voire hebdomadaire, des indicateurs clés de performance et de risque pour vérifier s’ils révèlent des perturbations ou des problèmes dans la sécurité et la disponibilité des systèmes. »
On gagne aussi à conduire régulièrement des tests internes d’hameçonnage et à donner de la formation continue sur la cybersécurité.
Lorsqu’on investit dans des outils, les CPA jouent un rôle primordial pour déterminer si les fonds alloués à la cybersécurité sont utilisés à bon escient. « Chez Richter, insiste Will Xiang, nous appliquons entre autres des évaluations de la maturité aux outils pour mesurer leur efficacité et voir si on s’en sert correctement. »
Les CPA et les hauts dirigeants doivent aussi connaître leurs obligations de signalement aux différentes autorités, notamment les organismes de réglementation provinciaux et fédéraux, de façon à ne pas devoir acquérir ce savoir en catastrophe à la suite d’un incident. « Les signalements peuvent être très compliqués étant donné que vous avez peut-être aussi des contrats avec des clients qui stipulent que vous devez leur rapporter les cyberattaques dans un délai donné, ajoute Will Xiang. Le non-respect de ce délai peut avoir des conséquences financières. »
« Certaines organisations ont des comités sur les signalements qui suivent l’évolution des différentes règles, indique Cathy Cobey. C’est important pour les CPA et les autres dirigeants de garder en mémoire les exigences des ACVM et d’autres organismes de réglementation pertinents concernant les rapports sur les cyberincidents que doivent présenter les sociétés ouvertes. Selon la gravité d’un incident, le délai de signalement à respecter peut être court et il est possible qu’il soit nécessaire d’obtenir la participation des services juridiques, de la réglementation et des finances pour déterminer la nature du signalement et l’échéance à respecter. »
DEMEURER DILIGENT
Compte tenu de l’ampleur de la planification de la cybersécurité, les CPA cadres doivent occuper un rôle clé dans les discussions de la direction sur la prévention des cyberattaques, la manière d’y répondre et l’analyse de leurs effets. « Les CPA, de concert avec les autres cadres, doivent être plus diligents dans la détection des risques et l’évaluation de leur importance, ainsi que dans la détermination des failles de leur organisation, conclut Cathy Cobey. Plus vous en savez, plus vite vous pouvez vous protéger, vous et votre entreprise. »
DEVENEZ CYBERFUTÉS
Améliorez vos connaissances sur les questions de cybersécurité et de protection des renseignements personnels que les administrateurs doivent surveiller de près et voyez pourquoi il est important pour les CPA, peu importe leur rôle, de se familiariser avec ces sujets. De plus, exploitez les nombreuses ressources techniques offertes par CPA Canada sur des sujets comme l’IA et l’apprentissage machine, et rafraîchissez vos connaissances en suivant le certificat sur les Fondements de la gestion des données ou celui sur la Gestion avancée des données offerts par notre organisation.