Guide sur la cybersécurité pour les conseils

d’administration

Résumé
Les conseils d’administration sont la première ligne de défense des organisations
contre la prolifération des menaces informatiques et menaces à la vie privée de
plus en plus complexes. Les stratégies que vous mettez en œuvre dès
maintenant peuvent décider du sort de votre entreprise dans les années à venir.

Table des matières

• Introduction
• Étendue des dommages liés à la cybersécurité
• Multiplication des points d’accès – votre propre système de sécurité
peut poser un risque
• Possibilités liées aux données et à la vie privée pour les organisations
• Stratégies et interventions des conseils d’administration sensibilisés
à la cybersécurité
• Stratégies des conseils d’administration axés sur la cybersécurité
• Interventions des conseils d’administration axés sur la cybersécurité
• Un aperçu de l’avenir?

Introduction
Le progrès des risques émergents liés à la cybersécurité revient toujours parmi les
préoccupations prioritaires des dirigeants d’entreprise. Pourquoi? On prévoit que
le coût annuel du cybercrime à l’échelle mondiale devrait atteindre six mille
milliards de dollars américains avant la fin de 2021, et ce, avant même que la
pandémie de COVID-19 n’ouvre tout un horizon de nouvelles perspectives aux
pirates informatiques. Selon les plus récentes prévisions, les ordinateurs et les
réseaux des entreprises sont désormais la cible de cyberattaques toutes les
39 secondes.

Les dirigeants, en particulier les conseils d’administration, doivent mettre de côté

la question à savoir si les cybercriminels tenteront de pirater leur organisation, car
il s’agit maintenant d’une évidence. La question est maintenant de
savoir quand attaqueront-ils et quelles sont leurs chances de réussite?

1|Page
Etendue des dommages liés à la cybersécurité
Les intrusions n’affectent pas seulement la capacité d’une organisation à exercer
ses activités. Une attaque bien ciblée peut compromettre la propriété
intellectuelle, les renseignements des employés et des clients, et même les
installations physiques. Le cas échéant, les dommages financiers et juridiques
ainsi que l’atteinte à la réputation peuvent être difficiles à surmonter. Il est même
probable qu’ils éclipsent le coût et le temps requis pour rétablir les systèmes.

De plus, les cyberattaquants sont de plus en plus hardis et compétents, ce qui en

fait un enjeu encore plus crucial. Pour chaque attaque repoussée et chaque
faiblesse corrigée, au moins deux autres semblent ressurgir. La préparation ne
cesse jamais; les organisations doivent constamment surveiller leurs systèmes,
scruter les menaces potentielles et vérifier la répartition de leurs ressources
simplement pour garder le rythme.

La sécurité et la vie privée sont des préoccupations fondamentales pour le

déroulement des activités et la gouvernance d’une entreprise, peu importe sa
taille. Même les entités d’envergure supérieure, qui semblent les mieux informées
et les plus avancées sur le plan technologique, sont la proie d’intrusions. Il suffit
de penser au propriétaire d’un véhicule électrique qui est récemment parvenu à
accéder à des données pour ensuite prendre le contrôle d’une flotte entière de
véhicules. Heureusement, il avait de bonnes intentions et a fait part de ses
découvertes à l’organisation concernée1. Cela dit, la situation aurait pu se révéler
bien pire.

Si une entreprise convoitant une capitalisation boursière de mille milliards de

dollars peut être la proie d’une telle attaque, qu’en est-il de celles disposant d’une
fraction de ces ressources?

Multiplication des points d’accès – votre propre système de sécurité

peut poser un risque
Il est important de ne pas oublier que la fréquence et le degré de complexité des
cyberattaques ne sont pas les seuls facteurs dignes de mention; la multiplication
rapide des points d’accès l’est également. La prolifération des systèmes
intelligents et des technologies de l’Internet des objets dans les voitures, les
immeubles, les résidences, les organisations et les services publics offre aux
pirates informatiques une abondance de points d’entrée.

Comme le montre l’exemple que nous avons donné ci-dessus, les véhicules
modernes, qui comportent une vaste gamme d’ordinateurs, de points d’accès sans
fil, de technologies Bluetooth, d’outils de diagnostic, etc., sont plus susceptibles
que jamais aux cybermenaces. Il y a quelque temps, l’Administration postale des

2|Page
États-Unis a annoncé son intention de moderniser ses véhicules de livraison, ce
qui posera assurément un cyberrisque accru. Les avantages du service client et de
l’efficacité sont évidents, mais ils sont aussi proportionnels aux efforts de la haute
direction pour remédier aux faiblesses.

Même les dispositifs apparemment inoffensifs tels que les porte-clés, les
ascenseurs et les systèmes de chauffage, de ventilation et de climatisation (CVC)
sont de plus en plus vulnérables. Les fabricants de ces systèmes, connectés à
Internet et Bluetooth, priorisent généralement le bon fonctionnement et l’aspect
pratique, et considèrent la cybersécurité comme accessoire. Par conséquent, les
pirates informatiques disposent d’une multitude de points d’accès vulnérables, et
se servent souvent de ces systèmes pour s’introduire dans les réseaux, que ce soit
afin de voler des données ou de rançonner les entités. Un casino a appris cette
leçon à la dure, lorsque la compromission d’un simple thermomètre pour
aquarium connecté à Internet a fourni à des pirates informatiques un accès direct
à la base de données des grands parieurs2.

Même les systèmes de sécurité, qui par leur nature sont censés permettre la
détection précoce des menaces et assurer une tranquillité d’esprit incomparable,
peuvent s’avérer le talon d’Achille d’une entité sans supervision ni contrôles
adéquats. La preuve? Un groupe de pirates informatiques a récemment pu
accéder au flux en direct de 150 000 caméras de sécurité situées dans des
hôpitaux, des entreprises, des postes de police, des prisons, des écoles et des
organisations d’envergure. La longue chaîne d’approvisionnement et
d’exploitation de ces appareils et de bien d’autres rend difficile la localisation du
point faible, qui peut se trouver au sein de l’organisation ou d’un fournisseur de
services éloigné.

Possibilités liées aux données et à la vie privée pour les

organisations
Les consommateurs sont de plus en plus inquiets de la façon dont les entités
recueillent et utilisent leurs données personnelles, surtout depuis que la collecte
de données est monnaie courante et que les intrusions continuent de faire les
gros titres. Les organismes de réglementation rattrapent également leur retard.
Cette attention accrue peut donner l’impression aux dirigeants d’être
constamment scrutés au microscope; pourtant, il est judicieux de tenir compte
des possibles avantages concurrentiels d’une position fortement axée sur la vie
privée.

Les consommateurs sont plus informés que jamais, particulièrement en ce qui a

trait au numérique, et la vie privée devient rapidement un critère d’achat
déterminant pour eux. Les données que recueille une organisation sont un
élément crucial, tout comme la façon dont elles sont recueillies, utilisées et
3|Page
protégées. Des politiques de protection des données fiables et transparentes ainsi
qu’une gouvernance rigoureuse deviennent rapidement des propositions de
valeur concurrentielles au même titre que le prix, la qualité et le service client.

Il est intéressant d’étudier le cas d’Apple Inc., multinationale spécialisée dans la

technologie, qui prône le respect de la vie privée des utilisateurs et prend des
mesures concrètes à cet égard. Plusieurs de ses concurrents esquivent les
demandes pour obtenir une information plus exhaustive et un contrôle des
utilisateurs sur leurs données, mais Apple privilégie une approche différente en
défendant les préoccupations et les priorités de ses loyaux utilisateurs.

Évidemment, l’établissement d’une culture authentique, rigoureuse et honnête

favorisant la vie privée entraîne plusieurs coûts initiaux. Toutefois, les possibilités
et les avantages à long terme qui en découlent en valent largement la peine.

Stratégies et interventions des conseils d’administration

sensibilisés à la cybersécurité
Aujourd’hui, la vie privée et la sécurité ne sont plus des préoccupations purement
technologiques. Nous avons déjà constaté le rôle déterminant que jouent la
culture, la marque et les politiques dans l’atténuation des risques et la prévention
des attaques. La haute direction (en particulier les administrateurs) doit par
conséquent relever le défi d’établir une culture et un cadre stratégique qui
contribuent réellement à gérer et à atténuer les risques liés à la cybersécurité et à
la vie privée. Chaque membre d’une organisation a une part de responsabilité
dans la prévention, le signalement et la gestion des incidents. Cela dit, tout
commence à la table du conseil d’administration.

Stratégies des conseils d’administration axés sur la cybersécurité

Puisque les membres d’un conseil d’administration doivent donner l’exemple, les
stratégies décrites ci-dessous peuvent influencer leurs discussions et les guider
dans leur prise de décisions ainsi que dans la détermination de leurs priorités.

1. Le cyberrisque est un risque d’entreprise : La technologie et les affaires

sont indissociables. Il y a donc lieu d’intégrer les questions de cybersécurité
et de vie privée à votre stratégie de gestion des risques d’entreprise (c.-à-d.
à votre registre des risques) pour comprendre la probabilité d’une intrusion,
connaître son origine possible et déterminer les étapes à suivre afin de
l’éviter (ou d’en réduire l’incidence).

4|Page
 2. La gestion du cyberrisque nécessite des connaissances
spécialisées : Invitez des experts en cybersécurité à vos réunions et
prévoyez des questions sur le cyberrisque et la vie privée à l’ordre du jour.
Créez un comité des technologies qui discutera des priorités, des
tendances, des préoccupations ainsi que des contrôles émergents.
3. La gestion du cyberrisque commence par des politiques : Établissez et
encouragez une culture de prévention des cyberincidents en mettant
l’accent sur la protection des renseignements personnels, de saines
pratiques technologiques et la sensibilisation aux risques dans l’ensemble
de l’organisation.
4. Les cyberrisques ont des répercussions juridiques : Demeurez au fait
des changements législatifs, des exigences en matière de conformité et de
réglementation, ainsi que des décisions que les tribunaux ont rendues sur
la vie privée, la cybersécurité, les directives relatives au signalement et les
répercussions pour les entreprises qui ont subi une cyberintrusion.
5. Les cyberrisques et les attaques sont en constante
évolution : Concentrez-vous sur les principes de base en cybersécurité et
visez l’excellence, tout en demeurant au fait des plus récentes techniques
utilisées par les pirates ainsi que des incidents et des risques, plus
particulièrement dans votre secteur.
6. Les cyberrisques ne sont pas tous égaux : Déterminez les cyberrisques
que vous souhaitez éviter, ceux qu’il vous faut atténuer ou que vous êtes
prêts à tolérer ou à transférer au moyen d’une assurance — ainsi que votre
stratégie pour chacun d’eux.
7. Une politique sur la collecte de données et la vie privée est
essentielle : Tenez-vous informé sur les données que vous recueillez et
surveillez de près les nouvelles réglementations ainsi que celles qui existent
déjà dans votre territoire. Demeurez au fait des connaissances et des
exigences des parties prenantes, et investissez dans la mise en œuvre de
politiques qui surpasseront sans cesse leurs attentes.

5|Page
Bonnes habitudes des conseils d’administration soucieux de la
cybersécurité
Les membres du conseil d’administration sont les mieux placés pour influencer et
remodeler la culture d’une organisation de haut en bas. Tout comme les
sept stratégies précédentes peuvent contribuer à définir les attitudes et les
objectifs du conseil en lui-même, les six étapes qui suivent peuvent jeter les bases
d’une culture durable et résistante en matière de cybersécurité.

1. Établir des politiques et des procédures efficaces : Faites que votre

organisation respecte les lois sur la protection des renseignements
personnels qui s’appliquent, tout en mettant à la disposition de votre
équipe un ensemble de règles et de pratiques exemplaires à cet effet.
2. Créer (et tester) un plan d’intervention en cas d’incident : Veillez à ce
que chacun comprenne comment reconnaître une intrusion et la contenir,
avec qui communiquer en cas d’intrusion connue ou suspectée, et quoi faire
par la suite.
3. Procéder à une analyse de la préparation et des menaces : Revoyez
périodiquement les contrôles (c.-à-d. les politiques, la technologie) pour
déterminer s’ils répondent de manière convenable et efficace au profil de
risque de votre entreprise.
4. Revoir votre infrastructure technologique : Évaluez périodiquement
votre cadre technologique (pare-feu, anti-maliciel, versions logicielles, etc.)
pour déterminer s’il vous protégera contre une intrusion.
5. Soumettre vos systèmes à un test d’intrusion : Soyez proactif dans la
détection des vulnérabilités de vos systèmes technologiques; vous pourrez
ainsi évaluer l’efficacité de vos contrôles informatiques et les dommages
potentiels d’une intrusion.
6. Gérer vos fournisseurs externes : Informez-vous des précautions prises
par les organisations avec lesquelles vous collaborez afin d’assurer
l’intégrité de vos données, de la façon dont elles vous protégeront en cas
d’intrusion dans leurs systèmes, et de vos responsabilités afférentes.

6|Page
Un aperçu de l’avenir?
La pandémie de COVID-19 a donné lieu à une profusion d’escroqueries, de fraudes
et de demandes trompeuses provenant d’acteurs malveillants et opportunistes.
Selon le gouvernement du Canada, le volume cumulatif de courriels et de menaces
connexes pourrait constituer la plus vaste série d’attaques jamais menée
exploitant une seule et même situation. La pandémie a créé la parfaite
combinaison de peur, d’incertitude, de doute et de chaos, dont les fraudeurs se
sont empressés de tirer profit. Les organisations, plus précisément les conseils
d’administration, doivent en faire de même.

Considérer la crise actuelle comme une situation passagère et s’attendre à un

retour à la normale une fois les principaux problèmes réglés tiendrait de la
négligence. La normalité qui s’ensuivra posera de nouveaux défis; les
organisations doivent s’adapter à des modèles d’exploitation hybrides, l’écart se
creuse entre les ressources en télétravail et celles au bureau, et les
investissements dans les initiatives numériques qui avaient temporairement été
mis de côté en raison de besoins plus urgents doivent maintenant être réalisés.

Les préoccupations et les vulnérabilités découlant de la pandémie ont été

particulièrement évidentes au cours de la dernière année, ce qui présente des
avantages, mais aussi des inconvénients pour les criminels. Ils peuvent bien sûr
exploiter ces points faibles, mais les gens sont plus informés et peuvent déjouer
leurs tactiques. La question qui se pose dorénavant est la suivante : serez-vous
prêt quand les pirates informatiques changeront leur façon de procéder?

C’est déjà arrivé et ça se reproduira assurément. Une approche de haut en bas en

matière de gestion des risques et de résilience est le seul moyen de répondre à
cette question avec une quelconque assurance.

7|Page