EXPERT INVITÉ. On mentionne souvent le manque de main-d’œuvre qualifiée, la complexité technologique, les coûts élevés et une plus longue période de recouvrement de l’investissement comme des freins à la transformation numérique des entreprises. Celles-ci ne sont pas au bout de leurs peines avec l’avènement d’un autre facteur qui s’est récemment ajouté à la liste : les besoins urgents en cybersécurité.
Cela s’ajoute sur la pile des enjeux critiques des propriétaires d’entreprise qui ne cessent d’augmenter. Bon nombre d’entrepreneurs se demandent d’ailleurs quand cela va s’arrêter. Quand ce n’est pas la main-d’œuvre, ce sont les chaînes d’approvisionnements, l’augmentation des coûts, la hausse des taux d’intérêt, l’accès aux marchés étrangers, la règlementation environnementale et autre souci du mois.
C’est aussi simple que cela : il n’y a pas de transition numérique réussie sans des investissements et des changements culturels à l’égard de la cybersécurité.
Pis encore, c’est qu’avec la cybersécurité, votre instinct de dirigeant ne vous sert finalement pas à grand-chose. Les réflexes qui ont fait votre succès en affaires peuvent maintenant vous trahir et vous mettre encore plus dans le pétrin.
Le moins que l’on puisse dire, c’est que le domaine de la cybersécurité est plutôt contre intuitif.
Il faudra considérer cet état de fait avec humilité, et accepter de se faire accompagner pour demeurer du bon côté de l’équation numérique. Ce qui me fait dire que la cybersécurité est finalement un monde de paradoxes.
Je vous propose donc 5 paradoxes à considérer :
1. Les PME sont davantage des proies que les grandes entreprises
2. Les entreprises les plus numérisées sont les plus vulnérables
3. Les entreprises qui se protègent économisent comparativement à celles qui réagissent
4. La brèche fatale provient plus de l’erreur humaine que d’une protection technologique insuffisante
5. L’investissement dans l’humain est plus important que dans les technologies défensives sophistiquées
Le premier paradoxe veut que ce sont maintenant de plus en plus les PME qui font les frais des pirates informatiques et non les grandes entreprises. Comme le dit Maxime Dion, expert et président de MS Solutions, « La question n’est plus si nous subirons une cyberattaque, mais bien quand ? ».
Ce qui nous amène un deuxième paradoxe : plus on intègre les technologies numériques dans ses opérations, plus l’entreprise devient vulnérable aux cyberpirates, et ce, en offrant des angles d’attaque plus nombreux à travers sa chaîne de valeur.
Étant donné que la transition numérique est devenue existentielle pour les entreprises, il devient impensable de faire marche arrière. Il en va de la compétitivité de l’entreprise. Les dirigeants doivent donc agir avec fermeté à l’égard de la cybersécurité et y investir des ressources humaines, matérielles et financières.
Le troisième paradoxe est qu’investir en prévention devient moins coûteux que les frais engendrés par la cyberattaque elle-même. Un préjugé répandu envers les services informatiques est que ça coûte cher et que ça ne finit jamais. En revanche, les coûts des attaques sont de plus en plus documentés – et la facture est habituellement salée.
Le calvaire de la PME D-Box
Rappelez-vous le calvaire subi par l’entreprise de divertissement immersif D-Box, qui a été victime d’une attaque russe par rançongiciel durant la pandémie. Le PDG Sébastien Mailhot a raconté cette terrible expérience lors d’un forum de l’Association québécoise des technologies (AQT).
La simple ouverture d’un courriel par un employé aura suffi pour déclencher cette invasion des systèmes de l’entreprise qui aura duré 8 heures. Comme il se doit dans de pareilles circonstances, l’entreprise a reçu une demande de rançon assez conséquente pour « déparalyser » l’entreprise et éviter ainsi la fuite d’informations sensibles.
Ce qui m’amène à souligner un quatrième paradoxe. Ainsi, malgré toutes les mesures défensives mises en place, c’est par le biais de l’erreur humaine que le loup entre dans la bergerie et sème la pagaille.
Tout comme la tristement célèbre ligne Maginot en France, jugée impénétrable, qui a été facilement contournée lors de l’invasion allemande durant la Deuxième Guerre mondiale, votre muraille informatique ne sert à rien si des employés insouciants invitent le mal à y pénétrer.
Le cinquième paradoxe nous enseigne que malgré nos croyances et réflexes, ce ne sont pas les technologies défensives qui constituent la première ligne de défense. Il faut plutôt investir dans la formation des employés, notamment en ce qui a trait aux comportements à proscrire et à encourager.
Pour les sceptiques, le sujet est plutôt bien documenté.
Des statistiques préoccupantes
Un récent article de Dominique Talbot des Affaires nous apprend que 41% des entreprises canadiennes avaient été victimes d’une cyberattaque, dont seulement 24% étaient assurées.
Par ailleurs, le portrait annuel des TI 2022 de NOVIPRO révèle que 56% des organisations attaquées ont versé les sommes demandées par les cybercriminels.
Finalement, un sondage récent de la Fédération canadienne de l’entreprise indépendante (FCEI) nous apprend que seulement 11% des entreprises offrent à leurs employés de la formation obligatoire afin de les sensibiliser aux pratiques exemplaires en cybersécurité.
Les effets de la cybercriminalité sont donc bien réels et continueront de hanter les chefs d’entreprise. Dans un monde de paradoxes, la tentation d’en ajouter un sixième devient forte.
Comme quoi tenter de régler en secret cet enjeu seul dans son coin par rapport à se faire accompagner par des experts et suivre les pratiques exemplaires demeure une fausse bonne idée.