Les entreprises ont renoncé depuis longtemps au rêve de réduire les cyber-risques à zéro. Elles doivent plutôt apprendre à les gérer en définissant leur appétit et leur tolérance à l’égard de ces menaces, en fonction de leurs objectifs d’affaires.

En octobre 2022, à peine plus de la moitié des dirigeants d’entreprise canadiens se disaient prêts à affronter une cyberattaque, selon un sondage de KPMG sur les perspectives des chefs de la direction. Ce résultat représentait une forte baisse de 1% par rapport à l’année précédente. Les dirigeants de PME canadiennes se montraient plus optimistes : 73% d’entre eux se sentaient bien préparés à combattre une telle menace.

Au Québec, la confiance atteint même des sommets. Dans un sondage réalisé par Devolutions dont les résultats ont été publiés au début de 2022, pas moins de neuf PME québécoises sur dix estimaient avoir un bon niveau de protection contre les cyberattaques.

Malheureusement, cette confiance ne reflète pas leur réel niveau de préparation. Le sondage montrait en effet qu’environ la moitié d’entre elles seulement avaient adopté des mesures de contrôle de base comme un gestionnaire de mots de passe (57%), l’authentification à deux facteurs (54%) ou une formation en cybersécurité (48%). Et moins du tiers d’entre elles (32%) réalisaient fréquemment un audit de sécurité (voir graphique).

«Avant de penser à gérer le cyber-risque, on doit d’abord comprendre qu’il existe. Il reste un énorme travail à accomplir de ce côté, souligne Julien Le Maux, professeur titulaire au Département de sciences comptables de HEC Montréal. Encore trop d’entreprises croient que cela ne les concerne pas, parce qu’elles estiment ne pas être assez grosses ou ne pas détenir de données personnelles intéressantes. Elles ne perçoivent pas le risque réel.»

En conséquence, trop peu de conseils d’administration et de directions investissent le temps nécessaire pour bien évaluer leurs risques et s’y préparer. «La gestion des cyber-risques apparaît souvent sur le radar après un premier incident, déplore le professeur. Là, dans l’urgence, on se demande comment réparer les pots cassés et comment se préparer à affronter d’autres cyber-risques.»

 

Recenser les risques

La gestion des risques n’est pas une question opérationnelle réservée aux équipes de TI. C’est un sujet stratégique qui relève de la gouvernance et de la haute direction. «C’est le conseil d’administration qui doit comprendre quels cyber-risques menacent l’entreprise, évaluer les conséquences en cas de matérialisation de ces risques et s’assurer d’avoir les politiques, les procédures et les bonnes personnes pour les gérer», affirme Me Charles S. Morgan, associé et coleader national du groupe Cyber/Données du cabinet d’avocats McCarthy Tétrault.

Pour bien mesurer les risques, les gestionnaires doivent d’abord les qualifier, c’est-à-dire les nommer, les décrire et les classer par catégorie et selon différents niveaux de probabilité. L’exercice consiste donc à réaliser une taxonomie de tous les risques technologiques et de tous les cyber-risques qui existent. Cette classification peut être scindée en plusieurs types : les dangers qui compromettent le fonctionnement des systèmes informatiques, ceux qui entraînent une perte de données, ceux qui menacent de détériorer les données, etc.

Très réglementée, l’industrie des services financiers est passée maître dans l’art de recenser et de qualifier les menaces. «C’est d’abord et avant tout une question de renseignement, explique Larry Zelvin, vice-président exécutif et directeur de l’Unité des crimes financiers de BMO Groupe financier. Chez BMO, nous multiplions les sources d’informations internes et externes pour bien identifier les cyber-risques, en particulier les menaces émergentes.»

La banque mise, par exemple, sur des consultants, des organismes publics comme le Centre canadien pour la cybersécurité et la GRC, ou encore l’assureur spécialisé en cyber-risque CFC. Larry Zelvin ajoute que les institutions financières partagent entre elles aussi beaucoup d’informations sur ce sujet.

Évaluer les risques

Une fois les risques qualifiés, l’organisation devrait ensuite chercher à les quantifier, ce qui est loin d’être fait partout. «Il est beaucoup plus facile de qualifier les risques que d’en quantifier les retombées en dollars ou en perte de valeurs pour les entreprises, explique Yassir Bellout, associé au groupe Cybersécurité des Services conseils de KPMG. Autrement dit, l’impact sur les systèmes informatiques est simple à évaluer, mais celui sur les affaires est plus nuancé, plus complexe.»

Lorsque l’organisation a recensé et quantifié les risques qui existent, elle doit jauger son niveau de protection. Un rançongiciel peut-il se propager dans l’organisation? Les employés sont-ils bien formés quant à certains risques comme l’hameçonnage ou l’utilisation du courriel dans des lieux publics? La liste est longue.

La personne qui évalue les mesures de protection ne doit pas être celle qui gère cette protection et qui traite les risques, conseille Yassir Bellout. Sinon, c’est un peu comme si on demandait à quelqu’un de trouver des failles dans son propre travail. On doit nommer quelqu’un d’indépendant, qui regarde tout cela d’un œil objectif.»

Ce n’est qu’après avoir bien cerné ses faiblesses que l’on amorce réellement les discussions sur la manière de contrôler les risques. «Puisque le risque zéro n’existe pas, cela signifie que l’on doit déterminer quelles menaces on accepte de ne pas traiter», explique Yassir Bellout.

Une réflexion stratégique

C’est là qu’entrent en jeu les notions d’appétit pour le risque et celle – utilisée beaucoup plus couramment – de tolérance au risque. La notion d’appétit pour le risque est stratégique et toujours liée aux objectifs d’affaires de l’entreprise : on cherche alors à déterminer quel niveau d’impact potentiel l’entreprise acceptera pour atteindre ses objectifs d’affaires et générer de la valeur. Il s’agit donc d’une vision globale qui porte surtout sur des objectifs généraux. La tolérance au risque est davantage opérationnelle et porte sur les moyens et les barèmes.

Par exemple, une entreprise qui réalise des ventes en ligne s’expose à toutes sortes de risques, notamment parce qu’elle doit recueillir et conserver la plupart du temps des données critiques de ses clients. L’autre option consisterait à ne pas vendre en ligne, ce qui ramènerait ces risques à zéro, mais serait contraire aux objectifs d’affaires.

La décision de vendre en ligne relève donc de l’appétit d’une entreprise pour le risque. Si, stratégiquement, elle considère que la profitabilité générée par ce nouveau canal justifie de tolérer un certain risque, elle ira de l’avant. Le niveau de contrôle et de mesures de sécurité et les investissements effectués pour réduire ces menaces à un niveau jugé acceptable tiennent plus de la tolérance au risque.

Dans l’évaluation de la tolérance au risque, on classe les menaces selon deux facteurs : leur probabilité et leur impact sur l’organisation. «Lorsque la probabilité et l’impact sont tous les deux très élevés ou très faibles, la décision est facile ; toutefois, les choses se compliquent lorsque la probabilité est faible, mais que l’impact négatif potentiel est élevé, poursuit Yassir Bellout. C’est là que l’on doit prendre des décisions plus stratégiques.»

Les entreprises ont souvent répondu à ce dilemme en mettant l’accent sur l’achat tous azimuts de logiciels et d’équipements pour se défendre. Larry Zelvin admet que les banques ont longtemps dépensé des fortunes pour acheter à peu près toute la protection disponible sur le marché.

«Mais ce n’était pas une bonne stratégie, ajoute-t-il. Cela coûtait extrêmement cher et occupait une grande partie du temps de calcul des ordinateurs, qui aurait pu servir à autre chose. Nous devons plutôt acquérir l’équipement qui nous donnera le plus haut niveau de sécurité, au meilleur prix.» L’entreprise se retrouve alors dans une recherche d’équilibre assez classique entre niveau de dépenses et retour sur l’investissement.

«Déterminer le niveau de cyber-risque acceptable est une décision stratégique, comme celle d’entrer dans un nouveau marché ou de lancer un nouveau produit ; c’est pour cela que ça ne doit pas être laissé au service des TI ou à des consultants externes», insiste Julien Le Maux

Article publié dans l'édition Été 2023 de Gestion