Les dirigeants de nombreuses organisations canadiennes pensent toujours qu’ils ne seront pas victimes d’une cyberattaque, déclare le responsable de la pratique de la cybersécurité d’une importante société de conseil.
« Ce que j’ai remarqué au Canada, c’est que beaucoup d’organisations disent ‘Ça ne va pas m’arriver’. ” Peter Morin, leader national de la cybersécurité chez Grant Thornton Canada, a déclaré dans une interview après que l’entreprise a publié son premier dans ce qu’on espère être un annuel Cybersécurité au Canada rapport. Grant Thornton International, basé au Royaume-Uni, est un cabinet mondial de conseil et de fiscalité.
“Beaucoup d’entreprises font l’autruche en matière de cybersécurité”, a déclaré Morin. « C’est un centre de coûts. Dans de nombreux cas, de nombreuses organisations ne savent pas comment en faire un avantage. C’est juste un centre de coût.
« Beaucoup d’organisations au Canada — et à l’étranger — diront : ‘Nous avons une équipe informatique. Nous avons quatre, cinq, six personnes en informatique. Et Sally et Bob vont être désignés comme cyber-gens. Et ils n’ont pas nécessairement les compétences informatiques pour faire ce travail, mais c’est leur mission, en plus de leurs tâches informatiques habituelles.
Mais, a-t-il ajouté, la prise de conscience de la direction évolue pour un certain nombre de raisons : le besoin soudain de protéger les employés travaillant à distance en raison du COVID-19, l’augmentation des ransomwares et l’examen minutieux des conseils d’administration.
Un autre est la pression des compagnies d’assurance.
« Nous avons travaillé avec beaucoup d’entreprises qui ont dit : « Je ne suis pas trop inquiet. je vais obtenir [cyber] Assurance. Et si jamais il y a un problème, je vais m’appuyer sur l’assurance. Ils vont voir leur assureur avec qui ils font affaire depuis 25 ans et ils font une évaluation rapide et ils ne peuvent plus obtenir de couverture parce qu’il y a trop de lacunes dans la cyberhygiène. Ce sont des choses simples comme le manque d’authentification à deux facteurs, la mauvaise surveillance des terminaux. À ce moment-là, il s’adresse à la direction et ils disent: «C’est mauvais. Si nous ne pouvons pas obtenir d’assurance, nous devons vraiment nous en occuper. Nous réalisons maintenant que nous avons une grande exposition.
« Et ces entreprises viennent nous voir et nous disent : ‘Nous avons vraiment peur, qu’est-ce qu’on fait ?’ Et ce ne sont pas des organisations de cinq hommes. Ce sont des usines de fabrication ou des services aux clients.
Les professionnels de l’infosec doivent se concentrer davantage sur la détection et pas seulement sur la prévention des attaques, a-t-il déclaré.
Le 17 pages Cybersécurité au Canada le rapport note que le Canada, comme d’autres pays, connaît une augmentation de tous les types de cyberattaques.
En 2022, le rapport prédit que les organisations qui tentent de protéger leurs actifs continueront de subir des tensions. «Les acteurs de la menace sont de plus en plus effrontés et agiles – et les entreprises canadiennes de toutes tailles ne seront pas à l’abri de nouvelles stratégies pour faire dérailler une grande partie de la protection de la cybersécurité qu’elles ont mise en place avec diligence», a-t-il déclaré.
Le rapport prévoit également que la demande et la pénurie de personnel expérimenté en cybersécurité ici et dans d’autres pays feront augmenter les demandes salariales. Cela n’aide pas, a ajouté Morin, que certains professionnels de l’infosec partent à cause du stress causé par le changement soudain de stratégie pour faire face au travail à distance pendant COVID-19. D’autres en ont assez de travailler eux-mêmes à domicile.
“Beaucoup de gens dans le domaine de la cybersécurité – même dans le monde du conseil – sont revenus à leurs racines”, a-t-il déclaré, comme le développement d’applications et l’ingénierie de réseau. D’autres abandonnent la cybersécurité pour d’autres domaines de l’informatique. “Cela a intensifié la cyber-pénurie que nous avions avant même le COVID.”
«Nous devons continuer à augmenter les rangs, y compris ce que nous faisions avant la pandémie: offrir une formation, amener plus de personnes dans l’industrie et essayer de trouver des moyens de maintenir les gens dans la cybersécurité. Qu’il s’agisse de former davantage de personnes dans les organisations pour alléger une partie du fardeau des cyber-employés, ou de la formation interne afin qu’ils puissent poursuivre leur croissance ou d’autres choses.
