Je suis Imed Masmoudi, conseiller en sécurité de l'information à HEC Montréal.

Je suis également président du RISIUQ qui est un regroupement des intervenants en

sécurité de l'information des universités québécoises.
Notre travail est effectivement exigeant.
Notre charge de travail est élevée.
Donc, on travaille dans un milieu d'enseignement, de recherche qui prône
l'ouverture,
l'utilisation de nouvelles technologies, développement de nouveaux concepts.
On a aussi notre communauté composée d'enseignants,
d'étudiants qui sont très consommateurs,
très avides de nouvelles technologies et ça rend le défi d'assurer la sécurité plus
élevée.
En premier lieu, on utilise des moyens technologiques de défense traditionnels,
comme s'assurer que nos infrastructures sont
à jour avec les correctifs de sécurité appliqués régulièrement, religieusement.
On s'assure que les données critiques sont conservées dans des zones segmentées,
protégées, non accessibles autant que possible de l'Internet.
On vérifie régulièrement aussi l'étanchéité et la sécurité de nos systèmes en
effectuant des tests
d'intrusion, des analyses de vulnérabilités, en corrigeant les failles détectées
s'il y a lieu.
On effectue des exercices de simulation d'incidents de sécurité,
ce qui nous permet de confirmer et de valider nos processus en place,
mais surtout de former et d'habituer les spécialistes et les gestionnaires à réagir
rapidement en posant les gestes comme si l'incident finalement a vraiment eu lieu.
Beaucoup de réflexes sont ainsi développés, confirmés, car,
quand un accident arrive, l'agilité et la manière avec laquelle on réagit peuvent
réduire considérablement l'impact de l'attaque ou de l'intrusion.
Au-delà des aspects techniques de la gestion de la sécurité, et tenant compte de la
nouvelle
réalité des menaces, les services de sécurité informatique concentrent depuis
quelques années
leurs efforts sur deux aspects majeurs à mon avis dans la protection des réseaux
universitaires.
Premièrement, les fraudeurs et les criminels ciblant aujourd'hui le comportement
humain
et comme la sécurité est l'affaire de tous, nos établissements misent alors de plus
en plus sur la
formation et la sensibilisation de la communauté universitaire sur les enjeux de
cybersécurité.
Notre stratégie est de mettre le personnel, les étudiants, les chercheurs, les
enseignants
au cœur de la cybersécurité et de favoriser les comportements cybersécuritaires des
utilisateurs.
Le deuxième axe majeur dans notre travail en cybersécurité est la
collaboration et la mutualisation de nos efforts dans le réseau de l'éducation.
Comme dit l'adage, l'union fait la force.
Les fraudeurs sont organisés, travaillent en équipe,
en collaboration, c'est la même chose pour nous aussi.
La communauté des praticiens en sécurité dans les universités est très dynamique,
elle favorise le partage, la mise en commun des connaissances et de l'expertise,
ainsi que le recours à des pratiques normalisées.
Plusieurs initiatives ont ainsi vu le jour comme le RISIUQ au Québec, CUCCIO au
Canada où les
spécialistes des universités disposent d'un forum pour échanger, partager des
pratiques, conseils,
analyses de risques et même la gestion d'incidents de sécurité qui touchent un des
établissements.
On fait en groupe ce qu'habituellement on fait tout seul.
On vit aujourd'hui dans un monde connecté,
mais le monde de demain sera certainement hyperconnecté et les menaces multipliées.
Donc, dans ce contexte, la collaboration et le partage des connaissances est selon
moi un des meilleurs moyens de faire face aux défis qu'on vit et qui nous
attendent.
Je terminerai en soulignant que plusieurs universités et bon nombre de collèges ont
adapté leur offre de formations pour intégrer de plus en plus de parcours
et des cours spécialisés en cybersécurité afin de répondre aux besoins du marché de
l'emploi et d'élargir le besoin de talents dans le domaine de la cybersécurité.
La disponibilité de ces spécialistes architectes ou professionnels issus
des universités et des collèges va sans doute aider à mieux équiper les sociétés
de demain avec des ressources qui sauront mettre en place les bonnes politiques,
les bonnes pratiques et les bonnes mesures et technologies pour les protéger.
C'est une des responsabilités du secteur dans l'enseignement supérieur de
s'impliquer dans la
recherche de solutions pratiques aux problèmes et aux défis que pose le domaine de
la cybersécurité.