La cybersécurité se joue au sommet

Malgré toutes les manchettes sur le vol de données et les rançongiciels, le pillage des actifs numériques n’est pas inéluctable.

Encore faut-il traiter le sujet là où cela doit avoir lieu.

C’est ce que souligne la firme Lavery dans son livre blanc consacré à la cybersécurité.

Loin d’être un enjeu à laisser entre les mains d’une équipe de spécialistes des nouvelles technologies, la cybersécurité doit avant tout être initiée par la haute direction de l’organisation.

Ainsi, la première étape vers la protection des actifs numériques est d’impliquer les administrateurs et les directeurs de l’entreprise, pointe le livre blanc de Lavery.

C’est pour cela que les compétences en technologie doivent figurer parmi les compétences détenues par les administrateurs. Ceux-ci peuvent alors élaborer une stratégie qui assure le respect des obligations en matière de cybersécurité. Cette stratégie doit engager le conseil d’administration lui-même, ainsi que les directeurs de l’organisation.

Il s’agit non seulement de cohérence en matière stratégique, mais aussi de respect des obligations qui incombent aux dirigeants. Les administrateurs sont tenus de veiller à la protection des actifs de l’entreprise. Sinon, l’organisation peut faire l’objet de poursuites. Les administrateurs pourraient même être tenus responsables personnellement.

Au Québec, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels précise que « toute personne qui exploite une entreprise est responsable de la protection des renseignements personnels qu’elle détient. Au sein de l’entreprise, la personne ayant la plus haute autorité veille à assurer le respect et la mise en oeuvre de la présente loi. »

La stratégie au CA

Il est donc fondamental que le conseil d’administration et les directeurs s’emparent de l’élaboration de la stratégie. C’est à partir de cette stratégie que l’organisation pourra être alignée sur son objectif: être en mesure de pouvoir se reposer sur un système d’information efficace. Une fois ce travail mené, une équipe d’intervention - aux compétences transversales à toute l’entreprise - pourra être créée; et des mesures de sécurité pourront être déployées.

En effet, une imposante solution technologique - sur le papier - pourrait donner l’impression d’être protégé. Cependant, le facteur est humain le plus souvent présent dans les cyber menaces: il suffit de penser à l’escroquerie consistant à exiger un virement en imitant un courriel émis par la haute direction. Et les partenaires extérieurs de l’organisation doivent également s’aligner sur la stratégie de protection: une faille chez un fournisseur pourrait donner accès aux données de l’organisation.

Cette implication nécessaire de la haute direction de l’organisation, pour élaborer la stratégie de protection des actifs numériques de l’entreprise et pour initier le déploiement des mesures adéquates, symbolise la transversalité de l’enjeu de la cybersécurité.

Cette transversalité, Lavery l’a elle-même mise en oeuvre pour rédiger son livre blanc. À l’interne, le cabinet a développé la culture de la cybersécurité, pour faire le pont entre les différents secteurs de droit, comme le droit du travail, la protection des renseignements personnels et la propriété intellectuelle.

L’établissement d’un tel lien a permis de travailler de front sur la gouvernance et sur l’aspect technologique de l’enjeu de la cybersécurité, les deux composantes indispensables d’un plan efficace de protection des actifs numériques.