Quatre cyber-risques toutes les entreprises devraient prendre en compte

Les cybercriminels développent constamment de nouvelles techniques pour compromettre la sécurité des entreprises qui ne se doutent de rien. Le spectre des menaces évolue constamment en raison des technologies émergentes et de l'expansion des services en nuage, de l'automatisation, de l'intelligence artificielle (IA) et de l'apprentissage automatique. Dans le contexte de cette évolution du paysage des menaces, le paradigme du risque pour nos clients des secteurs public et privé a évolué. Ce qui suit est un aperçu des quatre menaces et préoccupations les plus courantes en matière de cybersécurité au sujet desquelles nous mettons actuellement nos clients en garde.

Préparation à l'utilisation sécurisée de l'IA et de l'automatisation

Pour citer Bob Dylan, « les temps changent ». Les cadres supérieurs entendent parler des avantages de l'IA, de l'automatisation et de Microsoft Copilot – en termes de productivité et de coûts – mais certains s'inquiètent des risques et ne sont pas sûrs d'être prêts à adopter ces nouveaux outils puissants. Avec l'adoption de toute nouvelle technologie, la gestion des risques liés à la conformité, aux obligations légales, à la confidentialité des données, à l'exfiltration des données et à la sécurité sont des priorités essentielles. L'IA et l'automatisation peuvent élargir cette enveloppe de risques, car elles nécessitent souvent des privilèges étendus pour être efficaces. Elles conservent aussi souvent l'invite de l'utilisateur et peuvent accéder aux données de l'utilisateur à un niveau et à une portée inattendus. Si vous n'avez pas étudié en profondeur les risques de l'IA, effectué une évaluation de l'état de préparation et examiné en détail votre gouvernance des données, votre sécurité des données, votre confidentialité des données et votre cybersécurité, vous n'êtes probablement pas prêt à enclencher l'IA ou l'automatisation.

Sécuriser l'être humain

Les utilisateurs finaux, le personnel, les fournisseurs et les autres personnes qui utilisent les ressources de l'entreprise sont les plus vulnérables aux attaques, ce qui explique pourquoi les cybercriminels ciblent régulièrement ces groupes. La prolifération du travail à distance, de l’utilisation d’appareils personnels, des appareils mobiles et des applications tierces ne fait qu'exacerber les défis liés à la sécurisation de l'utilisateur final. D'après notre expérience, de nombreuses organisations mettent en place des formations de sensibilisation à la sécurité, mais elles ont tendance à être limitées, se résumant à une poignée de vidéos génériques ou à un court quiz. Ces programmes ne sont pas toujours significatifs ou pertinents pour l'utilisateur, et ils prennent rarement des mesures strictes pour éduquer ou corriger les comportements en cas d'échec des campagnes d’hameçonnage. Dans notre travail avec les clients, nous répétons la même phrase : « La sécurité est quelque chose que l'on pratique, pas quelque chose que l'on achète ». 

Repenser le périmètre

Les clients demandent souvent si leurs pares-feux, leurs logiciels antivirus et leurs filtres web actuels atténuent efficacement leur exposition aux risques. À quelques exceptions près, la réponse est non. Dans un environnement hybride composé d'utilisateurs distants, de serveurs en nuage, de services en nuage et de diverses applications, s'appuyer uniquement sur un modèle de sécurité traditionnel axé sur le périmètre est généralement une stratégie incomplète. En guise d'approche alternative, nous suggérons aux clients d'adopter un modèle d'atténuation des risques axé sur les actifs essentiels en utilisant l'approche des « joyaux de la couronne ». Dans la plupart des organisations, le risque est principalement détenu par trois groupes d'actifs : les données, la gestion des identités/accès et les services/applications qui connectent, traitent, accèdent et stockent vos données. En adoptant une approche axée sur les joyaux de la couronne, vous identifiez vos actifs de valeur, vous comprenez mieux les risques et vous pouvez appliquer des stratégies d'atténuation de manière plus efficace.

Gestion des risques pour les tiers

Comme nous l'avons mentionné précédemment, les services et les applications de tiers constituent un aspect croissant du paysage informatique. Cependant, nous rencontrons régulièrement des situations dans lesquelles des fournisseurs et des applications tiers se voient accorder un accès privilégié à des données et à des systèmes sensibles sans un niveau d'assurance approprié. Le fait de ne pas gérer correctement les relations et les services de tiers peut entraîner un certain nombre de conséquences négatives évitables : perte de données, perte de disponibilité des systèmes, problèmes d'intégrité des données, incapacité à répondre aux exigences réglementaires ou contractuelles et perte de réputation. La direction générale doit s'assurer qu'il existe un programme proactif de gestion des risques liés aux tiers qui identifie et atténue les risques avant leur adoption, limite l'exposition, surveille la conformité et permet aux clients (et à leurs conseillers) de garder le contrôle. Si vous n'avez pas mis en place un programme pour gérer les risques liés aux fournisseurs et répondre aux préoccupations de base en matière de sécurité, il est probable que vous soyez exposé à une menace prévisible. Vous pouvez toujours externaliser vos services, mais vous ne devez jamais externaliser vos responsabilités en matière de gestion des risques. 

La série Ignite de Baker Tilly Canada présente des points de vue d'experts en audit, en fiscalité et en conseil qui couvrent un éventail de sujets affectant la planification financière des particuliers et des entreprises, aujourd'hui et à l'avenir. Du conseil aux PME et de la gestion de patrimoine à la politique fiscale et à la transformation numérique, les articles Ignite visent à inspirer l'action.