Skip to main content

Foire aux questions : Mark Infusino, de Herjavec Group, parle de sécurité des TI

Published Date
Author Rogers Affaires

Pour mieux comprendre les cybermenaces auxquelles font face les entreprises canadiennes et les solutions qui leur sont offertes, nous avons discuté avec l’un des plus grands experts au pays.

Mark Infusino

Se tenir au courant des menaces et des vulnérabilités en matière de cybersécurité est un travail qui ne connaît jamais de fin, et plus l’organisation est grande, plus il y a de terrain à couvrir.

En plus de posséder des actifs qui sont des cibles de choix pour les cybercriminels et les pirates informatiques, les entreprises doivent composer avec un grand nombre de points d’accès, un large éventail d’appareils connectés et des centaines, voire des milliers, d’employés à former sur les dangers des cybermenaces. De plus, avec une pénurie croissante de professionnels qualifiés en cybersécurité et des budgets souvent insuffisants – parce que la cybersécurité ne contribue pas au résultat net de manière directe et tangible – il devient de plus en plus difficile de mettre en œuvre les mesures nécessaires pour que les entreprises puissent se protéger adéquatement.

Mais ce n’est pas une excuse pour ne pas être proactif! Que vous fassiez appel à un tiers pour gérer de manière experte une solution de cybersécurité personnalisée ou que vous choisissiez une plateforme de sécurité qui vous protège contre les risques les plus courants, il y a encore beaucoup à faire pour renforcer les défenses de votre entreprise.

Nous nous sommes entretenus avec Mark Infusino, vice-président des ventes chez Herjavec Group, qui possède près de dix ans d’expérience en solutions d’analyse et de sécurité pour les entreprises. Il avait beaucoup de conseils précieux à nous donner, qu’il s’agisse de se placer stratégiquement au milieu du peloton pour attirer le moins d’attention possible de la part d’assaillants potentiels ou de trouver le juste équilibre entre l’évaluation des risques et les dépenses en matière de sécurité.

Pouvez-vous nous donner un aperçu du contexte actuel de la menace qui pèse sur les entreprises canadiennes?

Elle change constamment en fonction de l’activité de l’État-nation, de l’activité des pirates informatiques et de la cybercriminalité. Les méchants trouvent de nouvelles façons de nous rendre la vie plus difficile chaque jour.

L’évolution rapide des vecteurs de menace stimule l’innovation au quotidien. Le fait que des millions d’emplois en cybersécurité ne sont pas pourvus en Amérique du Nord représente un grand défi pour les professionnels de la sécurité et les organisations.

Il y a donc un problème en constante évolution, de nouvelles technologies qui arrivent sur le marché pour aider à l’atténuer, et pas assez de personnel qualifié pour aider à mettre en œuvre et à exploiter ces solutions. Sans la combinaison des personnes, des processus et de la technologie, nous ne pouvons pas obtenir de connaissances exploitables et prendre des décisions fondées sur le risque. Il y a une lacune. Et cette lacune est exploitée par des acteurs menaçants qui posent des actions nuisibles.

Comment les professionnels de la sécurité et les entreprises ciblées traitent-ils les menaces émergentes?

Il s’agit d’adopter le principe de la gazelle : Si vous êtes poursuivi par le lion, vous ne voulez pas être la gazelle la plus lente. Vous ne voulez pas non plus être la gazelle la plus rapide, parce que c’est la cible qui sera visée du point de vue de la reconnaissance de la marque.

Ce que vous voulez faire, c’est faire appel à une équipe de cybersécurité pour cerner les lacunes dans votre posture de risque actuelle et mettre au point un plan qui comblera les lacunes. Généralement, cela se fait au détriment des budgets liés à l’infrastructure ou à la génération de revenus, mais les entreprises doivent comprendre qu’il suffit d’un seul article de presse ou d’une seule brèche pour mettre leur marque et leur entreprise en péril.

C’est une question d’équilibre. Vous devez vous assurer que vous investissez suffisamment pour que, lorsque des personnes malveillantes frappent à votre porte, elles rencontrent un obstacle suffisant pour préférer essayer la porte d’à côté, qui est plus facilement franchissable, mais pas assez difficile à surmonter pour leur donner envie de tenter de le faire par fierté.

Existe-t-il un moyen de déterminer quelles organisations sont les plus à risque?

Qu’il soit question de pirates informatiques, de cybercriminels ou d’États-nations, les infrastructures essentielles constituent une cible de choix. Les services publics, les services financiers, le pétrole et le gaz, l’infrastructure de réseau et le gouvernement fédéral sont les premiers endroits ciblés.

L’évolution des cultures d’entreprise et des comportements des employés rend-elle votre travail plus difficile?

Du point de vue de la prévention de la perte de données et de l’identité, la culture est sans aucun doute au cœur des préoccupations. Les entreprises emploient aujourd’hui plus d’employés de la génération du millénaire que jamais auparavant, et elles s’attendent à ce qu’ils fassent leur travail différemment. Ils sont en ligne, connectés avec leurs appareils personnels, et ont besoin d’un accès aux médias sociaux. Cela mène à l’interconnectivité et à l’élargissement de l’accès dans l’ensemble de l’entreprise. Cela entraîne plus de risques.

L’accès du point de vue de l’Internet des objets est particulièrement préoccupant. Par exemple, dans un avenir pas si lointain, tous les appareils ménagers seront compatibles avec la technologie IP; ils auront donc tous une adresse IP. Cela signifie plus de points d’accès et une surface d’attaque plus vaste. Transposez ce concept dans un environnement de travail, et cela ne conduit pas seulement à l’automatisation et au progrès technologique, mais aussi à l’élargissement de la portée des contrôles d’identité des employés et des exigences d’accès. Nous essayons de coupler le cyberinvestissement avec des politiques et procédures d’entreprise équilibrées, mais nous devons vraiment éduquer nos équipes sur le fait que leurs profils d’utilisateur et leurs points d’accès sont des vecteurs de menaces importants.

C’est un défi, cependant, parce qu’il faut trouver un équilibre. Comment les entreprises peuvent-elles favoriser la croissance dans un marché concurrentiel tout en équilibrant les restrictions imposées à certaines activités génératrices de revenus qui représentent des cyber-risques? Nous devons établir le niveau d’accès que nous accordons de manière responsable.

Quelles mesures de sécurité recommandez-vous aux entreprises soucieuses de leur budget?

À la base, elles doivent avoir une bonne hygiène informatique. Elles doivent s’assurer que leurs niveaux de correctifs sont à jour et que leur investissement en sécurité est à la hauteur des normes de l’industrie, et élaborer des politiques d’entreprise solides et des procédures d’aversion au risque.

L’hygiène informatique de l’entreprise peut parfois s’avérer coûteuse; les entreprises doivent donc penser à modéliser l’impact d’une exposition plutôt que de laisser les systèmes fonctionner sans mise à jour. Les professionnels de la sécurité croient fermement qu’il faut s’assurer que l’infrastructure de base est solide et que le niveau approprié de politiques et de procédures est en place et respecté. Si on construit une maison sur de mauvaises fondations, la maison finira par s’effondrer. Ce n’est qu’une question de temps.

Vous n’avez pas à tout faire par vous-même! Envisagez de faire appel à des professionnels de la cybersécurité qui peuvent vous aider avec des services de sécurité gérés à l’aide d’un modèle d’utilité. Vous paierez un abonnement mensuel ou annuel et ils vous fourniront des services de cybersécurité ininterrompus. Ils peuvent mettre en place l’infrastructure, y compris l’infrastructure en nuage, et la gérer en votre nom. Ils utiliseront leurs ressources et leur personnel pour consolider les données et en faire des renseignements utiles et exploitables.

En réalité, qu’il s’agisse d’un logiciel rançon, d’une autre forme de logiciel malveillant ou d’une menace persistante avancée, la sécurité n’est souvent pas une priorité tant que vous n’avez pas été exposé ou que votre concurrent ne fait pas la une des journaux – elle devient alors une priorité. Quand on veut rénover sa cuisine ou installer une nouvelle salle de bain, si le toit fuit, on ne peut pas effectuer ces tâches tant qu’on n’a pas bouché les trous pour que la pluie ne pénètre pas.