Keren Elazari s'exprime sur le podium lors de la conférence Digital Life Design (DLD) au HVB Forum à Munich, en Allemagne.

Comment se mettre dans la peau d’un pirate informatique? D’après Mme Elazari, plutôt que de réagir à une intrusion lorsqu’elle se produit, il faut faire preuve de prévoyance en définissant les menaces à la sécurité, de même que leurs signes précurseurs et leurs éléments communs. (Photo de dpa picture alliance/Alamy Stock Photo)

Innovation | Technologies

En cybersécurité, il faut penser comme un pirate

Pour protéger votre entreprise, vous devez savoir prévoir et contrer les cybermenaces.

A Facebook IconFacebook A Twitter IconTwitter A Linkedin IconLinkedin An Email IconCourriel

La lutte contre le cybercrime ne se résume pas à engager des as de l’informatique ou à adopter les technologies de pointe. Elle exige que l’on se mette dans la peau d’un pirate.

Selon Keren Elazari, ex-pirate devenue experte en cybersécurité, il s’agit d’un volet essentiel de toute stratégie de protection. Mme Elazari a donné une conférence sur ce sujet au Congrès mondial de la comptabilité, qui a lieu ce mois-ci à Sydney, en Australie, et dont CPA Canada est commanditaire et participant principal.

Chercheuse principale au Blavatnik Interdisciplinary Cyber Research Center, auteure et conférencière TED qui s’intéresse à la relation complexe entre les pirates informatiques, les secteurs d’activité et les États, Mme Elazari affirme que pour trouver et mettre en place des stratégies de protection efficaces, les entreprises doivent penser comme des pirates.

« Que vous soyez un particulier ou une entreprise, vous devez vous mettre dans la peau d’un pirate informatique chaque fois que vous pensez à des occasions ou à des stratégies pour améliorer la sécurité », a-t-elle dit dans un entretien récent avec CPA Canada.

« Les pirates informatiques comptent parmi les plus grands vecteurs de changement. Ils sont responsables de la plupart des bouleversements que nous connaissons – les bons comme les mauvais – et ils peuvent contribuer à augmenter la sécurité. »

Mais comment fait-on pour « se mettre dans la peau d’un pirate informatique »? D’après Mme Elazari, plutôt que de réagir à une intrusion lorsqu’elle se produit, il faut faire preuve de prévoyance en définissant les menaces à la sécurité, de même que leurs signes précurseurs et leurs éléments communs. Elle explique que les pirates analysent chaque situation sous tous les angles et regardent s’il est possible de pousser plus loin.

« Il faut se demander comment réagir lorsque survient un incident. Qui voudrait s’en prendre à votre entreprise? Plongez-vous dans cet univers pour découvrir comment vous pourriez devenir une cible », poursuit-elle. (Voir Les trois principales menaces à la cybersécurité selon une ex-pirate)

« La question n’est pas purement technologique. Nous n’avons pas à être des techniciens, des programmeurs ni des mordus d’informatique en chandail à capuchon qui restent cloîtrés dans leur sous-sol », soutient-elle.

Mme Elazari croit que si nous avons une perception déficiente de la cybersécurité, c’est parce que le commun des mortels ne sait pas trop qui est à risque ou responsable de la sécurité. Quant à elle, tous les employés, peu importe leur poste ou leur titre, doivent veiller à la sécurité de leur entreprise.

« Plusieurs jugent que la cybersécurité ne les concerne pas; ils croient que leur entreprise n’est pas assez grande ou intéressante ou qu’elle ne possède pas suffisamment de données confidentielles de valeur, explique-t-elle. Ils ont tort. Peu importe leur poste, ils devraient se préoccuper de la sécurité de leur entreprise, quelle que soit sa taille. »

Dans ce cas, que doivent faire les entreprises?

La solution consiste à adopter une vision pratique, tournée vers l’avenir, puis à l’intégrer à leur stratégie générale. Pour ce faire, les entreprises doivent engager des experts qui se consacreront à la gestion de la cybersécurité, par exemple des responsables de la sécurité et de la protection des renseignements personnels. De plus, grâce à une évaluation constante des risques, aux ressources appropriées et aux avis d’employés chevronnés, il sera possible de cerner les menaces et les moyens de les contrer.

« De plus en plus d’intervenants du secteur sont d’accord : en matière de sécurité, nous n’atteindrons jamais la marque de 100 %, affirme Mme Elazari. Il est illusoire d’espérer créer un environnement parfaitement sécurisé. »

« Peu importe ses ressources ou ses biens les plus précieux (par exemple, la formule secrète de Coca-Cola), chaque entreprise doit évaluer constamment sa situation au regard des risques. Il en va de l’atténuation des menaces les plus importantes. »

Voilà qui permet aux CPA d’élargir leurs compétences tout en faisant appel aux connaissances qu’ils possèdent déjà. Mme Elazari est d’avis que du point de vue de l’analyse et de la gestion des données, les comptables peuvent jouer un rôle déterminant sur le plan de la cybersécurité. (Voir Imran Ahmad : Les CPA et la lutte contre les cybermenaces)

« Dans ce contexte, les CPA peuvent acquérir des compétences qui, sans nécessairement être liées à la cybersécurité ou aux technologies de pointe, servent expressément à l’analyse des données », explique Mme Elazari.

« Le domaine de la cybersécurité a besoin, plus que jamais, de nombreuses personnes talentueuses. »

Le Congrès mondial de la comptabilité a lieu du 5 au 8 novembre à Sydney, en Australie. Depuis sa création en 1904 (il se tient tous les 4 ans depuis 2002), ce congrès attire bon an mal an quelque 5 500 participants de 115 pays. Cette année, CPA Canada a grandement contribué à l’élaboration du programme, axé sur l’avenir de la profession, plus précisément les thèmes centraux que sont la confiance, l’éthique, la diversité, la durabilité et les nouvelles technologies.

POUR EN SAVOIR PLUS

CPA Canada vous invite à découvrir comment mettre en place un solide processus de gestion des risques à l’aide des documents Cybersécurité : Gestion des risques et réévaluation des pratiques de communication de l’information et Gestion des risques liés au cyberespace et de la sécurité : Questions pour les administrateurs.