Si les grandes organisations ont l’argent et le personnel nécessaires pour procéder activement à la gestion de la sécurité, les petites et moyennes entreprises n’ont pas les mêmes ressources en main. L’organisme québécois ISIQ prodigue à leur attention des documents et quelques pistes pour assurer la sécurité de l’information.
L’utilisation des technologies de l’information fait partie du quotidien des entreprises québécoises, qu’elles soient multinationales ou qu’elles ne comptent que quelques employés. Toutefois, les menaces qui sont liées à l’informatique – virus, intrusions, usurpation d’identité par hameçonnage, etc. – bien qu’elles soient proportionnelles au niveau d’utilisation des TIC, n’épargnent personne.
Or, les petites et les moyennes entreprises n’ont pas de service informatique où plusieurs personnes peuvent exécuter des tâches reliées à la sécurité des actifs informatiques. Dans certains cas, il n’y a qu’une personne responsable dans l’entreprise, et dans d’autres, il n’y en a pas…
L’Institut de la sécurité de l’information du Québec (ISIQ), qui est en activité depuis janvier 2005, est une plateforme publique/privée d’échange d’information et de connaissances et une base d’intervention en matière de sécurité de l’information. Ses partenaires fondateurs sont le CRIM, le Fonds de solidarité FTQ, la division IREQ d’Hydro-Québec, la Sûreté du Québec, la Ville de Québec, l’Université Laval, Odesia Solutions et plusieurs ministères gouvernementaux provinciaux.
L’organisme, par l’entremise de son site Web, offre des services de soutien pour l’identification de fournisseurs de produits et de services, une liste de certifications et de cours spécialisés et un service de veille qui sont consacrés à la sécurité de l’information. L’ISIQ y offre également des outils de sensibilisation, un modèle de plan de communication ainsi que plus d’une douzaine de guides en format PDF à l’intention des citoyens et des PME. Les guides destinés aux entreprises traitent de thèmes divers, comme la gestion de l’actif informationnel, l’assurance de la sécurité physique, la prévision de la continuité des activités et l’assurance de la sécurité des ressources humaines.
« La plupart des grandes entreprises ont des ressources et des budgets pour la sécurité de l’information, et elles appliquent généralement une démarche de réflexion, basée sur la norme ISO 17999-2005, pour sécuriser leur environnement technologique. Pour les PME, on ne peut arriver aux mêmes diagnostics, constate Jean-Guy Pelletier, le directeur du développement de l’ISIQ. Elles n’ont pas les mêmes budgets à attribuer à la sécurité de l’information et même aux technologies, et cela se limite souvent aux éléments de base. Elles n’appliquent pas toutes une politique de sécurité de l’information, pour informer leurs ressources humaines en rapport à la sécurité et à la protection des renseignements personnels. Il y a une démarche à appliquer et une réflexion à faire afin qu’elles soient plus sensibilisées à cet effet. »
Responsabilité et action
Invité à formuler des recommandations à l’intention des PME, M. Pelletier suggère en premier lieu de procéder à l’élaboration d’une politique de la sécurité de l’information, avec l’implication du patron. « Il faut déterminer qui sera responsable de ce dossier. Il faut élaborer une politique de sécurité de l’information et définir comment on l’applique. Il faut ensuite déterminer les actifs de l’entreprise, puis poursuivre au niveau des façons de faire », explique-t-il.
M. Pelletier souligne que l’ISIS publiera sous peu un guide qui fournira aux entreprises une façon de faire et un gabarit pour l’établissement d’une politique de sécurité de l’information. Ce guide sera accompagné de modèles d’entreprises dont le département d’informatique compte une trentaine de personnes ou bien une seule personne.
Il poursuit en recommandant que le responsable assure de façon régulière la mise à jour des outils de pare-feu, d’antivirus et de protection contre les pourriels, mais aussi le suivi des menaces et des risques émergents. « Il doit fréquenter des sites et avoir des outils de veille qui lui permettront de s’informer d’une façon quotidienne », suggère-t-il.
Il mentionne, notamment, l’importance de la confirmation de la sécurité des réseaux informatiques sans fil, qui constitue un enjeu important alors qu’un grand nombre de PME y ont recours.
Également, la réalisation, au moins une fois par année, d’un audit complet des systèmes d’information et des infrastructures technologiques, permet d’assurer la conformité des mécanismes déployés.
« En fonction de la grandeur de l’entreprise, cet audit peut être fait à l’interne ou bien par une firme externe. La politique de sécurité doit inclure des engagements, de la part des personnes qui ont à faire ces travaux, à propos du respect des informations et l’assurance de la confidentialité des renseignements personnels et sensibles de l’entreprise », recommande M. Pelletier.
Les firmes spécialisées, par ailleurs, devront prouver qu’elles ont obtenu des certifications reconnues en matière de sécurité de l’information.
Quiz révélateur
Enfin, la sensibilisation du personnel joue un rôle important dans la réussite de l’application d’une politique de l’information. L’entreprise, toutefois, doit procéder à une évaluation de la compréhension afin que les efforts ne soient pas vains.
« En analysant la compréhension du personnel, on peut voir l’évolution de leur perception envers la sécurité de l’information. Si l’on ne fait pas de sondage, il est difficile de savoir si les aspects de la sécurité sont bien compris », indique M. Pelletier.
