E002 : Démystifier la sécurité de l'information pour les leaders

Alan Bellec: Est-ce que la cybersécurité te fait peur?

La cybersécurité et la sécurité de l'information.

C'est l'affaire de tous et c'est surtout un enjeu de leadership.

On démystifie ensemble les quelques éléments pour te donner les clés

de la gouvernance sans jargon afin que tu puisses enfin piloter ta

sécurité de l'information au lieu de la subir et reste jusqu'au bout.

J'ai un petit cadeau pour toi.

Aujourd'hui.

Je veux te donner.

Les clés pour que tu disposes des éléments pour une meilleure prise de

décision en sécurité de l'information.

Je vais expliquer quelques fondamentaux de base qui sont nécessaires pour

mieux comprendre le tout les prémices pour une gouvernance simple et

durable que tu pourras faire évoluer après par la suite dans le temps

même sans être un expert technique.

Et puis pourquoi la formation de tes équipes?

Ça va être ton meilleur atout.

Je sais que c'est un domaine qui peut être compliqué lorsque l'on n'a pas cette

affinité avec les termes techniques.

Cependant, c'est loin d'être quelque chose qui est réservé vécu aux experts parce que

tu vas vouloir protéger ton organisation.

Et s'il y a un élément qu'il faut retenir, c'est surtout la

notion d'appétence au risque.

Donc ton rôle là dedans, il n'est pas du tout technique.

Il va être stratégique.

Combien de risques tu es prêt à prendre pour atteindre tes objectifs?

C'est vraiment ça.

La question qu'il faut se poser aujourd'hui.

Il y a beaucoup de dirigeants qui voient la cybersécurité.

Et la sécurité de l'information, ou d'ailleurs pour eux, c'est souvent

le même mot comme un centre de coûts.

Un coût technologique.

Or là dedans, il y a deux erreurs déjà cybersécurité

et sécurité de l'information.

C'est deux éléments distincts.

Alors oui, comme système d'information et technologie

d'information, il y a un amalgame qui est fait et des abus de langage.

Qui a parfois quand on n'est pas spécialiste, nous mêle pourtant,

comme je le disais dans l'épisode un c'est deux choses distinctes et

l'une est imbriquée dans l'autre.

Donc la cybersécurité et la sécurité de l'information.

C'est un investissement.

C'est un investissement dans la continuité des affaires, dans la

pérennité de ton organisation et dans la confiance avec des clients.

Il y a quelques années de ça, j'étais dans un dans une direction des systèmes

d'information et on nous a demandé de mettre en place une nouvelle application.

La direction de cette organisation là a complètement délégué la notion du risque

au niveau de notre équipe, l'équipe TI et nous, on a fait notre travail.

On a mis l'application, on a sécurisé.

On a tellement bien sécurisé que le jour de la mise en production, l'application

ne fonctionnait pas tout simplement.

Donc, cette expérience m'a gravé quelque part sur la peau que

sécurité de l'information, c'est l'affaire de tous et c'est surtout

une affaire au niveau des leaders.

Ils doivent s'impliquer pour indiquer les risques qu'ils sont prêts à prendre.

C'est quelque chose de très important.

Et quand on parle de risque aujourd'hui, le risque, c'est pas un incident

de sécurité en lui même ou une attaque, une attaque informatique.

Car ça, ça arrivera des incidents et des attaques, c'est sûr.

Il va y en avoir.

On sait juste pas quand.

Mais le point important c'est est ce que tu es préparé à subir une attaque

est ce que tu es préparé à te relever.

Est ce que tu es préparé à gérer cette situation et aller de l'avant

et à minimiser l'impact, surtout de l'impact sur ton image et que tu

puisses continuer à livrer tes clients En temps et lieu parce que c'est

important d'avoir cette continuité.

Aujourd'hui là, sur une échelle de un à 10 où est ce que tu te situe par rapport à

ton niveau de confort ta connaissance avec le sujet de la sécurité de l'information.

Peut être entre un et cinq.

Si tu n'as jamais travaillé là dedans autour de cinq, si on a eu

un petit peu, tu as eu quelques sensibilisation et que tu gères

quelques risques dans ton organisation.

et peut être qu'aujourd'hui toi t as à 10, parce que tu as l'habitude

de gérer ce genre de cas que tu es noyé par des demandes de personnes

justement qui sont très spécialisée en sécurité de l'information parce que ton

organisation est là dedans au quotidien.

Je ne vais pas te faire une liste de toutes les attaques qui

a pu avoir ces derniers temps de toutes les méthodologies.

On n'est pas là pour ça.

Cependant, sache que c'est quand même des milliards de

données qui sont dans la nature.

C'est des milliards qui fuient par an, surtout ces dernières années.

Et si tu veux en savoir plus, je mettre un lien dans la description sur Le site

Information is Beautiful tu vas pouvoir voir le graphique ou tu as le nombre de

de données qui ont fuitées été dans les plus grosses fuites de ces derniers temps.

on va continuer sur les différents éléments.

Et il y a quelques éléments de base que je voudrais que tu comprennes.

Pour faciliter la suite dans ta prise de décision, dans ta mise en action par

rapport à la sécurité de l'information.

Déjà termes les définitions que je vais te donner, ce sont des définitions qu'on le

retrouve de manière quasi identiques, dans plusieurs normes référentielle, ou acteur

majeur de la sécurité de l'information qui publie des guides dans ces acteurs.

On va retrouver l'organisme iso avec la famille 27 000 qui te donne une

vraiment une vision internationale au niveau de la sécurité de l'information.

Tu vas avoir ISACA qui est plus nord Amérique.

Tu as le NIST qui est très américain, mais que situé en Europe ou au

Canada et que tu vends à certains départements public au niveau des

états-unis est tu à l'obligation de suivre certains éléments du NIST.

Tu vas retrouver l'ANSSI en France.

Tu vas retrouver le ministère de la cybersécurité, et du

numérique au niveau du Québec sur un équivalent aussi côté canadien.

Ils ont tous une image la sécurité de l'information similaire et après, c'est

un peu de teinté à leur couleur et ainsi tu tournes côté Québec et Europe.

Tu vas aussi retrouver toutes les tout ce qui tourne autour de la

loi 25 et du RGPD par rapport à la sécurité des renseignements personnels.

Et toi ton besoin est peut être aussi côté marketing, par exemple

aller chercher un ISO 27001.

Pour certains, c'est quelque chose de purement marketing.

Là dedans.

Les trois piliers que tu vas retrouver.

C'est: Disponibilité, confidentialité et intégrité.

Tu vas avoir besoin de t'assurer que ta donnée est disponible au bon moment.

Il faut aussi que tu t'as assure que cette donnée est confidentielle.

Ce n'est pas n'importe qui, qui a un accès à cette donnée.

Et tu vas aussi t'assurer quand tu consultes cette donnée et bien

qu'elle est véridique, que c'est la bonne qu'elle n'a pas été modifiée.

Donc, une fois que trois éléments de base.

Toute ta réflexion pour ta gouvernance, pour la classification de tes

données, l'analyse de ton risque, ça va toujours tourner autour

de ces trois principes de base.

Il y a des fois, tu vas vouloir que certaines données,

elles soient disponibles.

24 h sur 24, il n'y a pas de négociation possible.

C'est disponible tout le temps.

Il y a certaines données.

Tu veux qu'elles soient ultra confidentielle seulement que quelques

personnes puissent y avoir accès.

Puis côté intégrité, en général, on veut que ce soit intègre en tout temps.

Donc tu vas mettre des outils qui permettent de restaurer si

tu aperçois qu'il y a un problème d'intégrité sur certaines données.

Tout à l'heure, je te disais qu'il y avait une problématique

avec le terme, cybersécurité et sécurité de l'information.

Il y a un amalgame qui est souvent en fait ça, c'est le deuxième

point que je veux venir éclaircir.

Quand on parle.

Cybersécurité.

C'est un peu l'équivalent de ce que je disais dans l'épisode un avec

la technologie de l'information, la cybersécurité, ça s'applique à

la technologie de l'information.

On est vraiment sur comment sécuriser un environnement technologique

avec des outils technologiques.

C'est la même chose que technologie de l'information.

L'informatique fait partie du système d'information.

Eh bien, là, la cybersécurité fait partie de la sécurité de l'information, ce

quand on veut sécuriser son information.

On va venir sécuriser aussi bien une information d'un point de vue

numérique que d'un point de vue papier, ou encore avec les humains,

ce que pour rappelle l'élément de base de ton système d'information.

Eh bien, ce sont les humains.

j'avais rencontré un client qui pensait qui était vraiment correctement sécurisé.

Cette anecdote là va t'aider à comprendre un peu la différence et l'enjeu qui

pensait qu'il était bien sécurisé parce qu'il avait mis Tout ce qu'il fallait

en termes d'outils technologiques.

Donc, il avait mis un Firewall, un pare feu qui vient bloquer les potentielles

attaques qui viennent de l'extérieur.

Donc c'est une barrière sécurité qui t'empêche de rentrer.

À l'intérieur de ton de ton réseau.

Il avait mis des outils pour détecter de potentielles actions malveillantes

qui peuvent être si jamais un attaquant était rentré dans le système et qui

commençait à extraire de la donnée.

Il y avait des outils pour analyser certains comportements.

Ça peut être aussi un logiciel directement qui l'aurait fait.

Donc là, c'est plus en mode peut être antivirus.

Donc il avait des outils technologiques et on a commencé à analyser avec

des collègues son son environnement.

Là dedans, on s'est aperçu que le vrai risque au final était

sur le fait que ces informations circulaient en clair dans son système.

Il y avait.

Aucune limite, aucune règle, tout pouvait être modifié n'importe comment.

Et en discutant avec lui, on a, on a creusé un petit peu et on s'est

aperçu qu'il y avait des prises de décision qui avaient été faites sur

des des données erronées parce que modifiées au mauvais moment dans

un processus qui n'était pas clair.

Donc oui, là dedans, il y a beaucoup d'éléments Qui

pouvait être pointés du doigt.

Mais l'essentiel est que il y avait des gens qui avaient des accès qui

n'auraient pas dû avoir et ça a mené à des décisions qui n'ont pas

été aussi qu'elle aurait pu l'être.

Donc c'est pour ça.

Si je reviens.

La sécurité de l'information.

Ça te permet de prendre des décisions sur des données qui vont être fiables.

Et ça, ça vient jouer pour ta business pour ton organisation.

Si tu es efficient dans ta prise de décision, si tu veux t'assurer

que tu fais les bons choix, il faut que tu t'assure que t'as donnée.

Elle est correcte quand tu vas la consulter.

Et si jamais as des enjeux de ce côté là, t'invite à auditer quelque part, un

petit peu ton système, tes processus.

Comment comment ça se passe dans ton organisation au niveau de ta prise de

décision et n'hésite pas à me contacter parce qu'on pourra échanger sur ce sujet.

Et puis je pourrais peut être t'aider.

À aller plus loin et à sécuriser et à renforcer partie au

niveau de ton organisation.

Le deuxième point que je voulais aborder avec toi, donc,

c'est l'aspect de gouvernance.

Je vais essayer de te donner quelques clés qui vont te permettre de commencer

à mettre en place quelque chose qui va être intéressant pour toi.

Il y a quelques notions qui sont importantes avoir avec la

disponibilité, la confidentialité de l'intégrité des données.

Il faut se poser des questions de qui a besoin de savoir quoi ça c'est ce

qu'on va appeler la gestion des accès.

Dans chaque outil que tu as que ce soit quelque chose de numérique

ou de physique, tu vas te poser des questions qui a besoin d'avoir

accès à tel endroit à tel document.

exemple, si on prend le cas d'un laboratoire de recherche, salle

blanche dans ce laboratoire.

Ce n'est pas tous les chercheurs qui vont avoir accès à cette salle blanche.

Ce sont les chercheurs qui travaillent sur le projet qui est dans cette salle

blanche qui vont pouvoir venir travailler et faire leurs expérimentations au

niveau de la salle blanche en question.

Là, c'est pareil avec les données, il faut avoir et les logiciels.

Il faut avoir cette réflexion, cette notion de gestion de la gouvernance.

Et on peut même étendre plus loin ce questionnement en se posant la question

parce qu'il y a des notions aussi de réglementation qui viennent jouer là

dedans ou est ce que je stop ma donnée chez qui chez quel fournisseur m'a donnée

se retrouve, est ce qu'elle est en Europe.

Est ce qu'elle est au Canada.

Est ce qu'elle va rester au Québec est ce que c'est.

Amazon qui est derrière est ce que c'est.

Google est ce que c'est un acteur local.

Qui est plus respectueux de la protection des renseignements personnels.

Donc ça, c'est des éléments qu'il faut regarder.

on n'a pas besoin d'être très technique.

Il faut juste prendre le temps d'aller lire les politiques politique générales

de sécurité de l'information ou les conditions d'utilisation clients ou

les politiques de confidentialité.

Certains ont des livres blancs par rapport à la sécurité de l'information ou on

va pouvoir retrouver ce type détail.

Alors tout ça.

Oui, c'est un peu long.

C'est pour ça que parfois on va faire appel à des des spécialistes en

protection niveau de la sécurité de l'information, Dans tous les cas, toi,

de ton côté, tu dois nommer minimale un protecteur des renseignements personnels.

Et si ce n'est pas fait, je t'invite à le faire rapidement.

Parce que cette personne là, c'est celle qui va être contactée si jamais taas.

Un utilisateur.

Ça peut être une personne à l'interne.

Ça peut être une personne à l'externe qui va venir demander qu'est ce que t'as

comme renseignement personnel sur moi?

Il va falloir que tu y réponde.

Lorsque tu commences à avoir atteint une certaine taille ou que tu as des besoins

plus spécifiques ou tout simplement que tu veux faire un bilan de là ou tu en

es et que tu veux avoir une roadmap.

Donc indiquer sur une ligne du temps les étapes à suivre pour atteindre

un niveau de sécurité voulu.

Tu peux faire appel à personnes qu'on appelle des directeurs de la

sécurité des systèmes d'information.

On va souvent trouver le terme C I S O CISO, qui des personnes spécialisées en

gouvernance des systèmes d'information.

Puis ça, tu peux les prendre de manière fractionnée.

Donc fractionnée, ça veut dire qu'ils vont venir, par exemple, une ou deux

journées par semaine sur six mois sur un an dans ton d'organisation, pour

regarder tous ces aspects et aider à rédiger toute la bonne documentation.

Vérifier que les processus sont corrects autour de la sécurité de l'information et

t'aider à dans la conduite du changement au niveau de ton personnel pour.

Inculquer justement notions de sécurité de l'information.

Et je t'invite à aller sur mon site web https://holistiquesi.ca/expertise-executive-fractionnee

avec deux e à la fin.

Tu peux pouvoir consulter l'information par rapport à qu'est ce que c'est

une expertise exécutive fractionnée et tu vas avoir plus de détails par

rapport au rôle de fractionné.

Donc ce quelques éléments là par rapport à la gouvernance, surtout côté gestion

des accès et ou est ce que tu vas mettre.

Il y a un autre élément qui est important à avoir en tête.

C'était sauvegarde de données.

Alors oui, là c'est peut être un petit peu plus technique, mais ça, si tu

reviens à ta notion d'intégrité de disponibilité, c'est ta sauvegarde

qui va te permettre de garder à ces deux éléments là au top du top.

Et ça, ça va se régler avec.

une analyse de ton environnement ou tu vas pouvoir indiquer quelles sont

tes données et applications métier.

Application business qui sont les plus critiques pour toi.

Le troisième point, c'est le facteur humain.

Je te disais en introduction que c'est quelque chose qui est important et que

c'est un peu ta ta clé de voûte, parce qu'aujourd'hui je vais te poser quelques

questions et tu vas comprendre rapidement.

Donc qui ouvre le plus de courriels, ma c'est, tout simplement tes employés

qui peut changer les informations bancaires pour effectuer un paiement.

Encore tes employés à chaque fois, ça va toujours être la même chose.

Ce sont des personnes que tu as.

À l'interne qui n'ont pas forcément conscience de l'impact complète

de certains gestes et cliquer sur un lien dans un courriel qui

est considéré comme un courriel d'hameçonnage qui est là pour

récupérer des identifiants de connexion.

Ou courriel qui est créé spécifiquement pour faire une fraude.

Donc fraude au patron ou à fraude au président.

Ça c'est des choses qui arrivent très régulièrement, puis ça

vise clairement des employés.

Donc les employés, le facteur humain, il faut transformer ce maillon faible

en maillon fort et ça va passer par.

De l'apprentissage parce que si tu donnes les clés du château à l'ensemble de

toutes les personnes, mais que tu ne leur indique pas comment tu fais pour fermer

les portes à clés, comment tu installes tout ce qui pourrait piège et le pont?

Levis.

Bah t'as beau avoir créé la meilleure des forteresses, ça reste quelque

chose de complètement ouvert.

Donc c'est important d'arriver avec.

Des utilisateurs qui vont avoir un minimum de sensibilité pour qu'ils

puissent avoir les bons réflexes au niveau de l'utilisation globale du système

d'information et qui l'utilise de la bonne manière pour que toi tu aille des bonnes

données pour une bonne prise de décision.

Je vais te donner déjà en bonus.

Là, je vais t'en donner un petit peu plus.

Il y a quelques actions très rapides que tu peux prendre pour commencer à

renforcer La sécurité de l'information.

Tu peux commencer en utilisant.

Un mécanisme d'authentification qui s'appelle l'authentification

multi facteur.

C'est sûrement quelque chose que tu as déjà entendu.

Souvent, on entend l'acronyme MFA.

Donc c'est à dire que tu vas donner un identifiant, peut être ton courriel.

Tu vas mettre un mot de passe.

Donc là, on a déjà deux éléments.

Quand turé ton mot de passe, tu vas recevoir une

notification sur ton téléphone.

On va te demander de rentrer un code ou tu vas aller chercher un code dans une

application spécifique, un code temporaire ou tu as plusieurs facteurs pour prouver

que tu es bien la bonne personne.

Puis ça.

Tu peux même aller plus loin avec une authentification sans mot de passe

ou là tu peux avoir un code QR qui va être présent avec ton téléphone.

Tu vas venir le scanner dans ton téléphone là à l'application

d'authentification comme Google authent tort qui va être présent?

Ou au travers d'un gestionnaire de mot de passe avec ça, que ça va te permettre

d'identifier que tu es bien la bonne personne et que tu as droit te connecter

dans l'environnement et d'ailleurs l'authentification sans mot de passe.

C'est quelque chose qui va être de plus en plus présent.

Donc je parlais d'un gestionnaire de mot de passe.

Ça c'est quelque chose d'important à voir aujourd'hui.

Et si tu n'en as pas, je t'invite à commencer à regarder pour en prendre un.

Et tu peux aller consulter ma page sur https://holistiquesi.ca/motde

passe tout attaché.

Donc holistique si point c slash mot de passe.

Tu peux aller regarder.

J'ai listé quelques outils qui permettent justement d'avoir une

meilleure gestion des mots de passe.

Et ça, ça va te faciliter la vie.

Et le dernier élément, tu peux prendre action tout de suite.

C'est ce que je disais précédemment dans la partie facteur humain, c'est

d'aller former tes utilisateurs et il ne faut pas hésiter à faire des

petites sessions de formation, faire des rappels à tes politiques et on

peut regarder ensemble même pour mettre en place un webinar 101 qui va donner

les clés, les essentiels pour que tes utilisateurs adoptent les bons réflexes.

Donc, j'espère que maintenant, sur une échelle de l'indice, j'espère que

tu es arrivé un petit peu plus loin.

Tu arrivé au niveau des cinq et que tu vas pouvoir commencer à avoir une

meilleure vision par rapport à la sécurité de l'information et la cybersécurité.

C'est donc quelques notions de base et quelques éléments.

Par rapport à la gouvernance et aussi que tes employés, c'est vraiment

important que tu prennes le temps de les former, de les informer correctement par

rapport à la sécurité de l'information.

Je t'ai promis un bonus.

Donc ce bonus, c'est tout simplement un kit que tu vas pouvoir.

Télécharger.

Dans ce kit il y a notamment une politique de sécurité de l'information.

Il y a aussi un one pager que tu vas pouvoir remettre à tes employés qui sont

quelques éléments de base par rapport à la sécurité de ton environnement.

au moment ou je fais cet enregistrement.

Je n'ai pas fini de réaliser ce kit, donc il y aura sûrement d'autres

surprises à l'intérieur et tu vas pouvoir le récupérer sur le site web

https://sio.holistiquesi.ca/guidessi101 tout attaché.

Donc, si au point holistique.

Si point c a barre oblique guide s i sans un Donc le lien va être dans la

description et si tu le souhaites, je pourrais aussi t'accompagner pour aller

plus loin par rapport à la sécurité de l'information dans ton environnement, en

gardant toujours en tête que l'objectif, c'est que tu puisses mieux performer au

niveau de ton système d'information, que ce soit un vrai levier de croissance.

La sécurité d'information doit être à ton service, tout comme

le système d'information.

Si tu as aimé de cet épisode, je t'invite à mettre un commentaire et à le noter

sur les plateformes que tu utilises.

Tu vas retrouver la semaine prochaine l'épisode trois, qui va être au niveau

d'un, commencer à faire un audit.

Regardez les signaux faibles par rapport à ton environnement pour commencer à

détecter des possibilités d'amélioration.

Et donc tu peux aussi me faire des retours.

tu peux m'envoyer un courriel et je te remercie pour ton écoute, je

te souhaite un bon vent numérique.