Alors que les brèches dominent les manchettes, il est plus important que jamais pour les organisations de se doter d’une stratégie de sécurité axée sur les données.

Votre organisation a-t-elle connu une violation majeure de ses données?

Si ce n’est pas le cas – félicitations! En effet, les violations de données sont en hausse depuis des années. Dans le rapport annuel 2019-2020 fait au Parlement, le Commissariat à la protection de la vie privée du Canada (CPVP) a reçu 678 rapports d’atteintes à la vie privée, en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), ayant affecté environ 30 millions de comptes canadiens. En cette ère du télétravail, les dirigeants canadiens des TI identifient la sécurité des TI en tant que priorité principale. De plus, 72 % des organisations sont en cours d’accélération de leurs plans de transformation numérique, afin de s’acclimater au travail à long terme de la maison.

Évaluer le risque, non la sécurité

Bien que les évaluations de sécurité soient importantes, elles fournissent une quantité d’information insuffisante pour élaborer une stratégie en matière de sécurité. Plutôt que de baser votre stratégie uniquement sur les conclusions tirées de ce genre d’évaluations, vous devez également mener une évaluation du risque impliquant une vue d’ensemble de l’infrastructure de l’organisation et des TI avant de décider d’une position à adopter à l’égard de la sécurité.
Les évaluations peuvent aider à expliquer la raison pour laquelle une brèche est survenue et à repérer les endroits où la sécurité de votre organisation pourrait laisser à désirer – il s’agit là d’information précieuse, en effet. Cependant, elles n’évaluent pas de façon adéquate les risques impliqués dans une violation de données. Par exemple, une violation de données permettant d’obtenir des renseignements personnels et financiers concernant votre clientèle en entier serait nettement plus dommageable qu’une violation des données résultant de l’espionnage industriel, visant possiblement à voler les plans d’un nouveau produit.
Une évaluation des risques permet aux organisations de classifier leurs informations, qu’elles soient essentielles ou non. Elle devrait comporter une analyse quantitative de ces données, qui attribue une valeur à chaque type d’information et à ce qui adviendrait en cas de violation de ces données. Dans cette optique, une telle évaluation devrait être complémentaire à une évaluation de sécurité.

Protéger ce qui compte

Une approche axée avant tout sur l’évaluation des risques présente plusieurs avantages. En premier lieu, elle laisse aux organisations le loisir d’adapter leur solution de sécurité à leurs besoins uniques, et ce, sans avoir à payer plus que nécessaire. La plupart des fournisseurs offrent un seul et même ensemble (ou des ensembles à plusieurs niveaux, selon lesquels la disponibilité des fonctionnalités est proportionnelle au prix que l’on est prêt à débourser) qui offre une même protection dans l’ensemble de votre réseau. Toutefois, mener une évaluation du risque permet non seulement à une organisation de prendre conscience de ses vulnérabilités, mais aussi d’identifier l’information la plus précieuse, ce qui lui permet de choisir la solution de sécurité la mieux adaptée à ses besoins.
En deuxième lieu, une évaluation des risques est la meilleure façon de protéger vos informations commerciales essentielles. Sans savoir distinguer l’information précieuse de celle qui ne l’est pas, les administrateurs TI doivent constamment défendre l’entièreté du réseau en parts égales, ce qui n’est pas une mince affaire. En déterminant la valeur de l’information, les organisations peuvent réaffecter les ressources de sorte à protéger les données importantes. De cette façon, même si une violation des données survient, l’information essentielle demeure en sûreté.
En dernier lieu, la portée de cette approche est nettement plus générale que celle d’une évaluation de sécurité. Plus grande est l’organisation, plus grand est le risque. Je recommande donc à toutes les organisations de faire appel à un partenaire externe pour mener l’évaluation des risques, plutôt que de s’en occuper par elles‑mêmes. En général, les services individuels ne possèdent pas d’infrastructure capable de quantifier le risque, et les efforts organisationnels peuvent bien souvent se retrouver enlisés dans les politiques internes. Pour cette raison, un point de vue objectif et extérieur est nécessaire afin d’avoir une vue d’ensemble et de comprendre comment protéger au mieux votre organisation des menaces extérieures par l’entremise d’une stratégie de sécurité axée sur les données.
Voyez comment une évaluation des risques peut vous aider à vous créer une feuille de route et un plan TI, personnalisés selon vos exigences d’affaires.

ARTICLES CONNEXESPLUS DE L'AUTEUR