Mettre à jour votre cybersécurité : quelles seront vos obligations technologiques en 2025?

Un texte de James Barnard | Directeur général | Ubitrak division de Kerson Wallaw

Connaissez-vous vos obligations envers la cybersécurité ?

La cybersécurité est un terme bien connu et pourtant, les gens ne savent pas trop ce que ce terme implique, spécifiquement. Quand on parle de la sécurité autour de votre maison, on pense aux barures sur les portes, à des fenêtres bien robustes, à un système d’éclairage et peut-être même à un système de caméras. Pour la sécurité de votre profil numérique et de votre entreprise en ligne, cette sécurité virtuelle est très semblable et elle a un nom : la cybersécurité.

« Protection de données numériques et préservation de l’intégrité de l’infrastructure servant à stocker et à transmettre des données numériques. Plus particulièrement, la cybersécurité englobe l’ensemble des technologies, des processus, des pratiques, des mesures d’intervention et d’atténuation dont la raison d’être est d’empêcher que les réseaux, ordinateurs, programmes et données soient attaqués ou endommagés, ou qu’on y accède sans autorisation, afin d’en assurer la confidentialité, l’intégrité et la disponibilité. »

 *Définition au glossaire du Centre canadien pour la cybersécurité,
https://www.cyber.gc.ca/fr/glossaire#c

Pour une entreprise, les obligations envers la cybersécurité peuvent se catégoriser en trois groupes :

  • Contractuelles
  • Conformités
  • Légales

Selon Alain McKenna du Devoir, seulement 3% des entreprises ont fait ce qu’il fallait pour répondre à certaines obligations de la cybersécurité, notamment d’un point de vue légale. On parle ici de la Loi 25.

Référence :https://www.ledevoir.com/economie/807577/renseignements-personnels-seule-poignee-entreprises-sont-conformes-nouvelle-loi-renseignements-personnels?

Le domaine de la cybersécurité est complexe et afin de se conformer aux différentes obligations, les apports d’experts sont essentiels

Certes, la cybersécurité est un domaine complexe et on ne s’improvise pas comme expert. A chacun son domaine d’expertise. Il est donc important de bien s’entourer, comme on le fait pour l’expertise comptable, par exemple. En cybersécurité, il y a toutes sortes de manières d’aller chercher cette expertise. On peut engager des spécialistes pour des mandats ponctuels via les firmes conseils, petites et grandes. On peut également engager une ou plusieurs personnes, avoir cette expertise à l’interne, comme on le fait pour la comptabilité. Tout cela dépend évidemment de la nature de notre entreprise et des besoins qui en découlent envers ses obligations en cybersécurité. 

Minimalement, que l’on soit une petite ou grande entreprise, un portail de gestion en cybersécurité est une excellente initiative

Connaissez-vous le terme « Portail GRC » ? L’acronyme GRC représente la gouvernance, la gestion de risque et la conformité. Ce genre de portail est habituellement une application web qui, ni plus ni moins, est un outil qui centralise les connaissances et travaux requis pour bien répondre aux obligations en cybersécurité.

Le portail GRC devient un système sur lequel dépend une entreprise pour ses besoins en cybersécurité, tout comme une entreprise peut dépendre d’un système comptable pour gérer sa comptabilité. On pense ici à QuickBook ou à Sage, comme exemples de logiciels comptables. Le portail GRC devient donc un outil de travail indispensable. Il permet à une entreprise de comprendre ce qui est à faire et de démontrer les efforts requis envers la cybersécurité. Des exemples de Portail GRC sont les suivants :

  • DRATA, coût annuel de $7,500 USD (tous les modules thématiques en option ; projets, interfaces et audits internes en option ; audits externes en option proposés par des firmes externes), société américaine basé à San Diego
  • Vanta, coût annuel de $7,500 USD (tous les modules thématiques en option ; projets, interfaces et audits internes en option ; audits externes en option proposés par des firmes externes), société américaine basé à San Francisco
  • Secureframe, coût annuel de $7,500 USD (tous les modules thématiques en option ; projets, interfaces et audits internes en option ; audits externes en option proposés par des firmes externes), société américaine basé à San Francisco
  • Sprinto, coût annuel de $5,000 USD (tous les modules thématiques en option ; projets, interfaces et audits internes en option ; audits externes en option proposés par des firmes externes), société américaine basé à San Francisco
  • Ubitrak, coût annuel de $2,000 CAD (tous les modules inclus ; projets, interfaces et audits internes en option ; audits externes en option proposés par Ubitrak), société québécoise basé à Montréal

Comme dans tous les systèmes qui comportent une expertise, nous en retrouvons à toutes les sauces et à tous les prix. Il est donc important de connaître les possibilités et de savoir ce qui convient à nos besoins pour ainsi établir son bon budget.

Vos devoirs pour 2025

Un des objectifs dans l’industrie technologique est d’augmenter la sensibilisation des PME envers leurs obligations en cybersécurité, comme par exemple, ce qu’ils doivent faire pour la Loi 25. Une excellente façon pour une PME et pour ses dirigeant, c’est de choisir un bon partenaire « expert en matière ». Pour les PME, il est plutôt rare qu’un budget soit disponible pour créer une équipe experte en cybersécurité, quoique la tendance est en train de changer vue l’importance des obligations associées. Une excellente approche, hautement recommandée et tout à fait accessible, c’est de souscrire à un Portail GRC. Les frais annuels sont minimes considérant tous les avantages qui en découlent. Pour 2025, une telle souscription est, selon nous, un excellent investissement.

Approfondissez ce sujet lors de notre conférence

Mercredi 20 novembre 2024, 10h00 : Mettre à jour votre cybersécurité : quelles seront vos obligations technologiques en 2025?

Médias sociaux de l'expert
partager
partager-mobile