Sécurité informatique: pas évident de trouver la perle rare

Avant de chercher un expert en sécurité informatique,... (Photo David Boily, Archives La Presse)

Agrandir

Avant de chercher un expert en sécurité informatique, il vaut mieux évaluer vos besoins. La question à poser: qu'avez-vous à voler et quelle sera votre responsabilité ?

Photo David Boily, Archives La Presse

Partage

Partager par courriel
Taille de police
Imprimer la page

Dossiers  »

Sécurité des entreprises

Sécurité des entreprises

Les PME se retrouvent avec différents enjeux complexes liés à la sécurité et à la fraude, souvent sans trop savoir comment s'attaquer au problème. De plus en plus, elles font appel à des firmes spécialisées dans le domaine. À quoi peut-on s'attendre comme services et obligations de la part de ces entreprises ? »

Julie Roy

Collaboration spéciale

La Presse

Les pertes résultant de la cybercriminalité ont de quoi donner le vertige. PwC a évalué le coût global de ces activités criminelles dans le monde à 23 milliards de dollars en 2014. Pas étonnant que la demande pour les experts en sécurité informatique explose. Le hic, c'est que les «spécialistes» sont de plus en plus nombreux, ne sont régis par aucune règle ni aucun ordre professionnel.

Éric Parent est président d'EVA-Technologies et enseignant à... (Photo Marco Campanozzi, Archives La Presse) - image 1.0

Agrandir

Éric Parent est président d'EVA-Technologies et enseignant à Polytechnique Montréal.

Photo Marco Campanozzi, Archives La Presse

Comment s'y retrouver dans ce Far West ? Trois spécialistes en sécurité informatique offrent quelques conseils.

COMMENT SAVOIR SI J'AI BESOIN D'UN SPÉCIALISTE EN SÉCURITÉ INFORMATIQUE ?

« Simple, qu'avez-vous à voler et quelle sera votre responsabilité ? C'est une question qui permet d'établir vos besoins. Un garage et un bureau de comptables n'ont pas les mêmes informations sensibles dans leur ordinateur. J'ai déjà eu une organisation qui m'avait approché, elle voulait tout sécuriser. Pourtant, personne ne la connaissait et les risques qu'elle courait étaient très minces. Un bon conseiller n'a pas peur de ramener les gens sur terre », indique Louis Plourde, conseiller en gouvernance et sécurité informatique.

OÙ DÉNICHER LA PERLE RARE ?

En un simple claquement de doigts, la conseillère en sécurité informatique Christine Roussel fait l'exercice. Elle se rend sur le site LinkedIn et entre les mots : virus, PME, Québec, consultant, sécurité. En quelques secondes, des dizaines de noms apparaissent. La tâche ne s'arrête pas là. « Ensuite, il faut vérifier leurs expériences. Les mandats qu'ils ont eus, s'ils ont été longtemps sans travailler. Ce sont des références directes et il ne faut pas se gêner pour appeler les entreprises mentionnées pour vérifier si ce qui est écrit est exact », dit Mme Roussel. Elle ajoute aussi que le bon vieux bouche à oreille demeure une bonne source. Le Centre de recherche informatique de Montréal (CRIM) et l'Association de la sécurité de l'information du Québec (ASIQ) sont également des organisations qui donnent des références. « L'ASIQ a commencé à rédiger un code d'éthique pour ses membres afin d'assurer de meilleures pratiques », souligne Louis Plourde, ancien président de cette organisation.

COMMENT S'ASSURER DE SES COMPÉTENCES ?

« On choisit deux ou trois personnes et on passe des entrevues. Évidemment, il est nécessaire de faire ses devoirs avant. Si on n'y connaît rien dans ce domaine, on peut s'allier à quelqu'un comme un consultant externe. Tous les gens en sécurité informatique connaissent la norme ISO 27 001 qui expose les exigences relatives du secteur. La personne qui est devant vous doit connaître ces règles. Faites une liste de sujets et posez-lui des questions. Si votre candidat vous propose tout de suite d'acheter un logiciel, rayez la personne de la liste. Si on ne tente pas de connaître la culture de votre entreprise, qu'on ne collecte pas d'information, qu'on ne fait pas d'analyse, on raye aussi », stipule Éric Parent, président d'EVA-Technologies et enseignant à Polytechnique Montréal.

QUE DOIS-JE EXIGER POUR ÊTRE CERTAIN D'OBTENIR UN SERVICE PROFESSIONNEL ?

« Ce n'est pas juste un professionnel, c'est aussi un partenaire d'affaires. Vous ne pouvez pas prendre de décisions si vous ne comprenez pas ce qui se passe. La capacité de vulgariser est très importante. Il faut aussi demander qui va faire le travail. Exiger que la personne avec qui vous parlez soit celle qui viendra travailler chez vous et que ce ne soit pas un junior », suggère Éric Parent.

ET LE PRIX, DANS TOUT ÇA ?

Oubliez un prix donné sur le coin d'une table à la suite d'une ou deux questions. « Le contrat doit être bien défini. Vous payez pour quoi ? Pour vous mettre en confiance, offrez un court mandat de 10 à 15 jours. Ce test vous en dira beaucoup. Ne soyez pas surpris, les professionnels en sécurité coûtent cher. Les prix peuvent varier, mais tournent autour de 100 à 150 $ l'heure, mais attention, ce n'est pas un gage de compétence », estime Christine Roussel.

ET SI LA SOLUTION ÉTAIT PLUS PROCHE ?

Les trois spécialistes sont unanimes : bien souvent, les problèmes de sécurité ne sont pas les systèmes informatiques, mais l'oubli de règles de sécurité élémentaires. « On voit régulièrement des portes débarrées, des mots de passe en dessous des claviers ou bien en évidence, des employés qui cliquent sur n'importe quoi, etc. Les solutions sont souvent moins coûteuses qu'il n'y paraît », souligne Christine Roussel.

Partager

publicité

publicité

publicité

publicité

image title
Fermer