4 minutes de lecture 1 oct. 2018
cyber team looking at data

Sandra Liepkalns : priorité à la cybersécurité

Par

EY Canada

Organisation de services professionnels multidisciplinaires

4 minutes de lecture 1 oct. 2018

Sandra Liepkalns présente son point de vue sur la mise en œuvre d’une stratégie de gestion des risques et d’une cyberstratégie robustes.

La cybersécurité est une source grandissante, avec raison, de préoccupation pour les entreprises.

Selon le Forum économique mondial, une intrusion à grande échelle liée à la cybersécurité compte parmi les cinq plus importants risques auxquels font face les entreprises à l’heure actuelle. L’augmentation de la dépendance des entreprises à l’égard de la technologie, des mégadonnées et de l’automatisation ne rend que plus réel le risque de cyberattaque.

Toutefois, selon le récent sondage mondial d’EY sur la sécurité de l’information, près des deux tiers des entreprises canadiennes ont prévu un budget pour la cybersécurité qui représente moins de 10 % de leurs dépenses totales de technologie de l’information.

Sandra Liepkalns, ancienne d’EY, présente son point de vue au sujet de cette menace. À titre de chef de la sécurité de l’information de LoyaltyOne, Mme Liepkalns dirige l’équipe de la sécurité des TI responsable de définir une stratégie relative à l’architecture de sécurité de l’information de l’entreprise qui respecte les meilleures pratiques du secteur et réduit les risques au minimum. Elle nous fait part de son expérience et de sa connaissance de l’approche que devraient adopter les entreprises en matière de risques liés à la sécurité à l’ère du numérique.

Pourquoi la cybersécurité doit-elle être la priorité des entreprises?

À l’ère du numérique, la sécurité des données est maintenant intégrée au tout début du processus d’innovation, tout au long du cycle de vie de son élaboration et de sa mise en œuvre. La sécurité n’est plus une simple fonction de soutien; elle passe obligatoirement par la collaboration à l’échelle de l’entreprise, l’identification des risques et leur atténuation.

Selon vous, quelles sont les principales composantes d’une bonne stratégie de gestion des risques et d’une bonne cyberstratégie?

La première composante est une approche holistique. Les entreprises doivent comprendre comment circulent leurs données et les protéger à chaque étape.

Les entreprises doivent également examiner la gestion des risques au début du cycle. Pour commencer, les équipes de direction et les équipes responsables des services juridiques, de la protection des renseignements personnels, de la gouvernance des données, des informations d’ordre commercial et de la sécurité de l’information doivent travailler en collaboration avec l’équipe de sécurité des données.

Au bout du compte, l’entreprise doit être plus consciente de l’importance de la sécurité. La sécurité n’est pas l’affaire d‘une seule fonction ou équipe; c’est un travail collectif. Elle exige aussi de l’équipe de direction qu’elle fasse preuve de leadership et démontre l’importance de la sécurité. Chacun a un rôle à jouer pour atténuer les risques et détecter les menaces potentielles. C’est pourquoi tous les employés devraient suivre de la formation continue sur la cybersécurité.

Quelle est l’approche de LoyaltyOne en matière de cybersécurité?

Notre programme est composé de plusieurs cadres qui touchent cinq éléments qui sont impératifs pour toute cyberstratégie : la détermination, la protection, la détection, la réponse et la reprise. De plus, nous ne travaillons pas en vase clos. Les membres de chaque équipe ont un rôle à jouer dans la détermination des risques et la protection des renseignements confidentiels.

Bon nombre d’entreprises se préoccupent de la prévention des cyberattaques, mais peu d’entre elles ont élaboré des tactiques de défense. Pourquoi est-il si important de mettre en place un plan d’intervention?

Un plan d’intervention en cas de cyberattaque devrait constituer une part essentielle du plan de gestion des risques d'une entreprise. Il est primordial de mettre en place une équipe et un plan pour détecter et comprendre ce qui s’est produit au moment d’un incident et prendre rapidement des décisions quant aux personnes à aviser, à l’information à transmettre et aux mesures à prendre pour corriger ou atténuer la situation.

Le stockage de données exclusives en nuage constitue-t-il une mesure de sécurité viable pour les entreprises? Veuillez justifier votre réponse.

Les entreprises qui ont recours à de nouvelles technologies et à des méthodes agiles peuvent faire de leur transformation numérique une réalité plus rapidement encore si elles adoptent l’infonuagique. Le stockage de données en nuage peut constituer une solution viable, dans la mesure où un cadre de gouvernance et des normes de sécurité appropriées sont en place. Il est également primordial de comprendre les risques juridiques et réglementaires sous-jacents afin de prendre une décision d’affaires éclairée.

Compte tenu de la prolifération des cybermenaces, pourquoi, selon vous, un si petit nombre d’entreprises allouent-elles un budget à la cybersécurité? De plus, que peuvent-elles faire pour y remédier, comment peuvent-elles obtenir l’appui des hauts dirigeants?

En matière d’appui en matière de cybersécurité, les dirigeants d’entreprises possédant une expérience en technologie qui se préoccupent de la cybersécurité sont plus nombreux qu’il y a dix ans, et ils sont en mesure de faire en sorte que des discussions aient lieu à l’échelon le plus élevé de l’entreprise. Il faut également changer les perceptions. En déterminant le niveau de maturité de l’entreprise, en évaluant les informations et les risques qui y sont rattachés, les hauts dirigeants seront mieux outillés pour décider des ressources et du budget requis pour la mise en œuvre d’un programme de cybersécurité solide.

Comment les entreprises peuvent-elles se démarquer de la concurrence au chapitre de l’avenir de la cybersécurité?

Elles peuvent renforcer la confiance en protégeant les données et en formant leurs employés à tous les échelons pour qu’ils comprennent leur rôle et leurs responsabilités en matière de sécurité des données et de risques d’entreprise.

Résumé

Sandra Liepkalns, ancienne d’EY, présente son point de vue au sujet de cette menace. À titre de chef de la sécurité de l’information de LoyaltyOne, Mme Liepkalns dirige l’équipe de la sécurité des TI responsable de définir une stratégie relative à l’architecture de sécurité de l’information de l’entreprise qui respecte les meilleures pratiques du secteur et réduit les risques au minimum. Elle nous fait part de son expérience et de sa connaissance de l’approche que devraient adopter les entreprises en matière de risques liés à la sécurité à l’ère du numérique.

À propos de cet article

Par

EY Canada

Organisation de services professionnels multidisciplinaires