lien externe

Colloque CQSI 2009

Envoyez-nous un courriel

La sécurité de l’information, un mal nécessaire?

 
Les entreprises et organisations considèrent de moins en moins la sécurité de l’information comme une dépense superflue mais bien comme un investissement nécessaire. C’est l’avis des conférenciers invités au CQSI – le Colloque québécois de la sécurité de l’information – qui s’est déroulé les 8 et 9 septembre à La Malbaie. Le CQSI est l’un des plus importants événements du genre au pays. L’ITIS a assisté à ce congrès organisé par l’ASIQ - l’Association de la sécurité de l’information du Québec.
 
 
Cette année, les organisateurs de la rencontre sont revenus à une programmation étalée sur deux jours. Une formule plus appréciée des participants et qui a permis à davantage d’experts de venir se prononcer sur des sujets d’actualité entourant la sécurité de l’information.
 
Le thème retenu pour cette 17e édition du CQSI était Miser sécurité, un choix payant. Le président d’honneur de l’événement et expert européen en gouvernance de la SI (sécurité de l’information), Hendrik Ceulemans, voit dans ce choix une évidence.
 
« Il y a 20 ans, lorsque j’ai débuté dans le domaine, les gens de l’industrie considéraient la sécurité de l’information comme une dépense. Le vent a tourné depuis. S’il faut encore insister sur l’importance d’investir en SI, de plus en plus de décideurs y voient là un mal nécessaire. Ils sont davantage informés et sensibilisés aux risques énormes associés au fait de ne pas investir en sécurité », explique-t-il.
 
Néanmoins, M. Ceulemans, qui est gérant d’InfoGovernance - un cabinet de conseil et de formation en gouvernance de la SI – se dit toujours surpris de constater que des décideurs se laissent encore tirer l’oreille. « Qui, de nos jours, ne comprend pas encore l’importance de la sécurité de l’information? C’est une énigme pour moi de voir le nombre de gestionnaires qui ne comprennent toujours pas cette notion. Cela doit entrer dans les bonnes pratiques des organisations. C’est une question de culture et de gestion de l’image. »
 

Pratiques en sécurité des TI: le Canada rattrape les États-Unis

 
En matière de pratiques de sécurité de l’information, le Canada a longtemps eu mauvaise presse. Maintes fois critiqués pour leurs mauvaises pratiques, les décideurs canadiens ont mis les bouchées doubles ces dernières années afin de rattraper leur retard par rapport à leurs voisins américains. C’est un constat qui ressort l’étude 2008 Rotman-TELUS sur les pratiques canadiennes en TI.
 
Quelque 300 chefs d’organisations et d’entreprises canadiennes ont répondu à ce sondage effectué conjointement en 2008 par TELUS et Rotman.
 
« Le Canada a en effet comblé l’écart qui le séparait des États-Unis au chapitre des exigences de conformité. Il adopté le niveau de sécurité de son voisin par l’entremise de nouvelles lois telles que la Loi sur la protection des renseignements personnels », a expliqué Brigitte Legault, directrice de pratique chez TELUS, lors d’une conférence organisée dans le cadre du CQSI 2009.
 
Toutefois, une différence de taille subsiste entre les deux pays, note Mme Legault. Le sondage a mis en lumière le fait qu’au Canada, le manque d’expertise et de compétences dans les entreprises les poussent à investir davantage dans les technologies qu’en sécurité de l’information.
 
« Les investissements en TI sont grandement réservés à la sécurité du réseau alors que la sécurité des applications est largement sous-financée, observe-t-elle. On remarque aussi un besoin pressant de personnel qualifié au sein des organisations, de même qu’un manque de formation pour ceux déjà en place. » Résultat, de plus en plus de brèches de sécurité sont répertoriées chaque année.
 
Le sondage nous apprend par ailleurs que 60 % des répondants ont eu recours en 2008 à l’impartition de la sécurité de l’information. De ce nombre, la quasi-totalité (94 %) a confié de 1 à 40 % de son programme de sécurité à un tiers. « Les entreprises publiques et les organismes gouvernementaux sont plus favorables à l’impartition, a expliqué Brigitte Legault. D’ailleurs, on remarque que les organismes gouvernementaux font face à un nombre très élevé de brèches de sécurité sur le Web. »
 
L’étude Rotman-TELUS 2009 est déjà en cours et des résultats préliminaires ont été communiqués lors du colloque. Cette fois-ci, ce sont quelque 500 gestionnaires de haut niveau et des spécialistes en TI qui ont été interrogés. Il ressort que le canadiens ont rejoint les américains au chapitre des brèches de sécurité déclarées, ce qui n’était pas le cas en 2009. Mme Legault y voit là un signe encourageant car dans le passé, le Canada était réputé pour ne pas déclarer à l’international l’ensemble des brèches informatiques recensées sur son territoire.
 
« On remarque aussi une augmentation des pertes annuelles reliées aux brèches informatiques, dit-elle, mais on note aussi une diminution des coûts reliés à ces brèches. » Enfin, elle se réjouit du fait qu’en 2009, le sondage démontre qu’une plus grande importance est accordée à la formation du personnel chargé d’assurer la sécurité de l’information au sein des entreprises et des organisations.
 

Le défi de la sensibilisation

 
En matière de sécurité de l’information, les logiciels ou les technologies ne constituent pas le maillon faible de la chaîne, soutient Clara Pagé, spécialiste des communications chez Nurun, et conférencière au CQSI. « Dans ce domaine, 80 % des facteurs de risques proviennent des êtres humains qui les utilisent », estime-t-elle.
 
Selon Clara Pagé, la sensibilisation demeure la clé pour réduire les risques de brèches de sécurité. « Les risques peuvent en effet être réduits grâce à une solide campagne de sensibilisation. Toutefois, la prise en charge de la sécurité doit être globale, précise-t-elle. C’est-à-dire que toutes les personnes travaillant au sein d’une entreprise ou d’une organisation doivent participer au processus. Il est impératif d’intéresser et de conscientiser tout le monde au principe même de la sécurité. »
 
 
Et dans le langage de Clara Pagé, tout le monde signifie l’ensemble des employés de l’organisation : des personnes affectées à l’entretien jusqu’aux hauts dirigeants, sans oublier les consultants externes et les employés temporaires. « Lors d’une telle campagne de sensibilisation, l’objectif est d’amener les gens à modifier leur comportement de base. Une personne qui fait le ménage a aussi un rôle important à jouer dans la sécurité de l’information : si elle oublie de refermer la porte d’un bureau où se trouvent des ordinateurs sensibles, elle peut provoquer une brèche à son insu. »
 
Pour développer une stratégie de communication efficace, la spécialiste mise en tout premier lieu sur une analyse de la situation. « Cette étape est souvent négligée parce qu’elle est difficile, explique Mme Pagé. Le constat décourage parfois les gestionnaires. Mais il est essentiel de franchir cette étape, car elle permet d’évaluer le niveau actuel de sensibilisation dans l’organisation. Cela nous sert par la suite d’évaluer le degré de changement à effectuer, de même qu’à déterminer des cibles et des objectifs à atteindre. »
 
Afin d’induire des changements de comportements, Clara Pagé propose un plan en trois étapes. Il faut d’abord miser sur la fréquence des messages envoyés aux employés, suggère-t-elle, sans toutefois les inonder d’information. La campagne doit aussi miser sur une diffusion adéquate du message. « On ne parle pas de la même manière selon que l’on s’adresse à un gestionnaire ou à un consultant externe. Il faut être en mesure d’adapter son discours selon le public visé », précise Mme Pagé.
 
« Finalement, il faut appliquer la technique du juste à temps, soit d’être capable d’insérer le message au moment où les gens sont disposés à l’entendre et prêts à l’écoute. Ainsi, on augmente le taux de réussite de la campagne de sensibilisation tout en réduisant les risques de brèches de sécurité. »
 

La négligence humaine grande responsable des brèches de sécurité

 
Aux États-Unis, quelque 10 000 ordinateurs portables sont quotidiennement oubliés par leur propriétaire dans les grands aéroports du pays. Et c’est sans compter tous les autres qui sont volés tous les jours aux mêmes endroits. Des données qui font dire à Benoit Dupont, professeur à l’École de criminologie de l’Université de Montréal, que la négligence humaine est trop souvent la principale cause de brèches de sécurité dans les entreprises et les organisations.
 
Conférencier dans le cadre du CQSI 2009, Benoit Dupont a d’abord rappelé quelques données en dévoilant les résultats d’une analyse statistique qu’il a récemment réalisée. L’étude analyse les causes et conséquences de près de 1 000 incidents de sécurité (perte et vol de données) répertoriés entre 2005 et 2007 au Canada et aux États-Unis.
 
Rappelons que depuis 2005, les Américains sont obligés de rapporter aux autorités gouvernementales toutes les brèches de sécurité informatique survenues sur leur territoire, ce qui n’est pas le cas de ce côté-ci de la frontière. « Cela peut donc nous porter à croire de prime abord que ce qui se passe aux États-Unis est pire que ce qui se passe ici, mais c’est faux, estime le chercheur. Ce sentiment est trop souvent nourri par les reportages sensationnalistes de certains médias et a bien peu à voir avec la réalité. »
 
Néanmoins, la situation au Canada a forcé Benoit Dupont à s’appuyer sur les données provenant justement de grands médias comme la Société Radio-Canada pour obtenir un certain portrait des incidents de sécurité au pays. « Une aberration, dit-il, mais je n’avais pas le choix. Il n’y a pas d’obligation législative au Canada de déclarer ce genre d’incident. On ne retrouve donc pas de bases de données à cet effet. » Du côté américain, le chercheur s’est basé sur les données retrouvées dans trois grandes bases accessibles au public : Privacy Right Clearinghouse, Wayne Maden Report et Dataloss db.
 
Il en ressort que durant cette période (2005 à 2007), 976 incidents impliquant le vol et la perte de données ont été recensés. Résultat : 313 millions de dossiers personnels auraient été compromis. « En moyenne, quelque 6 000 dossiers sont compris lors d’un seul incident, explique-t-il. Ce n’est pas tant que ça. »
 
Les causes de ces incidents sont nombreuses. Et si elles varient d’une organisation à une autre, il demeure qu’en général, dit Benoit Dupont, elles sont attribuables en grande partie à la négligence/erreur humaine et au vol d’équipement (dans 65 % des cas). Le piratage informatique vient en troisième place (23 %). Il n’y a pas donc toujours lieu d’introduire des mesures de sécurité extrêmes dans les organisations pour réduire le nombre de brèches : une simple campagne de prévention et de sensibilisation peut très bien faire le travail, estime le chercheur.