Faire de la sécurité une bonne habitude

Si les grandes organisations ont l’argent et le personnel nécessaires pour procéder activement à la gestion de la sécurité, les petites et moyennes entreprises n’ont pas les mêmes ressources en main. L’organisme québécois ISIQ prodigue à leur attention des documents et quelques pistes pour assurer la sécurité de l’information.

L’utilisation des technologies de l’information fait partie du quotidien des entreprises québécoises, qu’elles soient multinationales ou qu’elles ne comptent que quelques employés. Toutefois, les menaces qui sont liées à l’informatique – virus, intrusions, usurpation d’identité par hameçonnage, etc. – bien qu’elles soient proportionnelles au niveau d’utilisation des TIC, n’épargnent personne.

Or, les petites et les moyennes entreprises n’ont pas de service informatique où plusieurs personnes peuvent exécuter des tâches reliées à la sécurité des actifs informatiques. Dans certains cas, il n’y a qu’une personne responsable dans l’entreprise, et dans d’autres, il n’y en a pas…

L’Institut de la sécurité de l’information du Québec (ISIQ), qui est en activité depuis janvier 2005, est une plateforme publique/privée d’échange d’information et de connaissances et une base d’intervention en matière de sécurité de l’information. Ses partenaires fondateurs sont le CRIM, le Fonds de solidarité FTQ, la division IREQ d’Hydro-Québec, la Sûreté du Québec, la Ville de Québec, l’Université Laval, Odesia Solutions et plusieurs ministères gouvernementaux provinciaux.

L’organisme, par l’entremise de son site Web, offre des services de soutien pour l’identification de fournisseurs de produits et de services, une liste de certifications et de cours spécialisés et un service de veille qui sont consacrés à la sécurité de l’information. L’ISIQ y offre également des outils de sensibilisation, un modèle de plan de communication ainsi que plus d’une douzaine de guides en format PDF à l’intention des citoyens et des PME. Les guides destinés aux entreprises traitent de thèmes divers, comme la gestion de l’actif informationnel, l’assurance de la sécurité physique, la prévision de la continuité des activités et l’assurance de la sécurité des ressources humaines.

« La plupart des grandes entreprises ont des ressources et des budgets pour la sécurité de l’information, et elles appliquent généralement une démarche de réflexion, basée sur la norme ISO 17999-2005, pour sécuriser leur environnement technologique. Pour les PME, on ne peut arriver aux mêmes diagnostics, constate Jean-Guy Pelletier, le directeur du développement de l’ISIQ. Elles n’ont pas les mêmes budgets à attribuer à la sécurité de l’information et même aux technologies, et cela se limite souvent aux éléments de base. Elles n’appliquent pas toutes une politique de sécurité de l’information, pour informer leurs ressources humaines en rapport à la sécurité et à la protection des renseignements personnels. Il y a une démarche à appliquer et une réflexion à faire afin qu’elles soient plus sensibilisées à cet effet. »

Responsabilité et action

Invité à formuler des recommandations à l’intention des PME, M. Pelletier suggère en premier lieu de procéder à l’élaboration d’une politique de la sécurité de l’information, avec l’implication du patron. « Il faut déterminer qui sera responsable de ce dossier. Il faut élaborer une politique de sécurité de l’information et définir comment on l’applique. Il faut ensuite déterminer les actifs de l’entreprise, puis poursuivre au niveau des façons de faire », explique-t-il.

M. Pelletier souligne que l’ISIS publiera sous peu un guide qui fournira aux entreprises une façon de faire et un gabarit pour l’établissement d’une politique de sécurité de l’information. Ce guide sera accompagné de modèles d’entreprises dont le département d’informatique compte une trentaine de personnes ou bien une seule personne.

Il poursuit en recommandant que le responsable assure de façon régulière la mise à jour des outils de pare-feu, d’antivirus et de protection contre les pourriels, mais aussi le suivi des menaces et des risques émergents. « Il doit fréquenter des sites et avoir des outils de veille qui lui permettront de s’informer d’une façon quotidienne », suggère-t-il.

Il mentionne, notamment, l’importance de la confirmation de la sécurité des réseaux informatiques sans fil, qui constitue un enjeu important alors qu’un grand nombre de PME y ont recours.

Également, la réalisation, au moins une fois par année, d’un audit complet des systèmes d’information et des infrastructures technologiques, permet d’assurer la conformité des mécanismes déployés.

« En fonction de la grandeur de l’entreprise, cet audit peut être fait à l’interne ou bien par une firme externe. La politique de sécurité doit inclure des engagements, de la part des personnes qui ont à faire ces travaux, à propos du respect des informations et l’assurance de la confidentialité des renseignements personnels et sensibles de l’entreprise », recommande M. Pelletier.

Les firmes spécialisées, par ailleurs, devront prouver qu’elles ont obtenu des certifications reconnues en matière de sécurité de l’information.

Quiz révélateur

Enfin, la sensibilisation du personnel joue un rôle important dans la réussite de l’application d’une politique de l’information. L’entreprise, toutefois, doit procéder à une évaluation de la compréhension afin que les efforts ne soient pas vains.

« En analysant la compréhension du personnel, on peut voir l’évolution de leur perception envers la sécurité de l’information. Si l’on ne fait pas de sondage, il est difficile de savoir si les aspects de la sécurité sont bien compris », indique M. Pelletier.

Jean-François Ferland
Jean-François Ferland
Jean-François Ferland a occupé les fonctions de journaliste, d'adjoint au rédacteur en chef et de rédacteur en chef au magazine Direction informatique.

Articles connexes

Adoption du projet de loi no 38 sur la cybersécurité et la transformation numérique de l’administration publique

Le projet de loi no 38, connu sous le nom de Loi modifiant la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement et d'autres dispositions législatives, a été adopté plus tôt cette semaine par l'Assemblée nationale.

Investissements majeurs de 500 M$US de Microsoft au Québec

Au cours des deux prochaines années, Microsoft investira 500 millions de dollars américains dans l'expansion de son infrastructure infonuagique et d'intelligence artificielle à grande échelle au Québec.

Balado Hashtag Tendances, 23 novembre 2023 — Crise chez OpenAI, des puces Microsoft et investissements majeurs au Québec pour Microsoft

Cette semaine : Grave crise à la tête d’OpenAI, Microsoft conçoit ses propres processeurs et investissements de 500 M$ de Microsoft au Québec.

Consultation publique sur la cybersécurité

Le ministère de la Cybersécurité et du Numérique lance cette semaine une consultation publique sur la cybersécurité. Celle-ci permettra au gouvernement du Québec de solliciter un grand nombre d'intervenants ainsi que la population générale sur les enjeux et les besoins en cybersécurité.

Plus de six PME québécoises sur dix touchées par la cybercriminalité au cours de la dernière année

Un nouveau sondage mené par KPMG au Canada le mois dernier révèle que plus de six PME sur dix au Québec ont été attaquées par des cybercriminels au cours de la dernière année, et près des trois quarts d'entre elles affirment que leurs anciens systèmes d'information et de technologie opérationnelle les rendent vulnérables aux attaques.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.