Comment être SÉCURE?
Cette semaine, je m'entretiens avec René-Sylvain Bédard, spécialiste en informatique, pour en savoir plus sur son récent guide « Conçu pour être SÉCURE » et sur la vulgarisation en cybersécurité.
Qu’est-ce qui t’a donné l’impulsion d’écrire ce livre?
René-Sylvain Bédard : Pour moi, les cybercriminels, c’est comme des intimidateurs. Tu sais, à l’école, le plus gros de la classe, celui qui te tape dessus pour avoir ton argent de lunch? C’est la même recette en cybercriminalité. La seule différence, c’est la plateforme. J’ai écrit ce livre après avoir fait le choix de faire face à la cybercriminalité, d’affronter cette noirceur-là.
Et surtout, après avoir ramassé des clients qui ont vécu des incidents [de cybersécurité]. C’est quelque chose de très douloureux à voir : un propriétaire de PME, qui a sa shop depuis vingt, trente ans… et qui, du jour au lendemain, se retrouve, tremblant, dans un bureau complètement vide. En faisant de la réponse aux incidents, j’avais l’impression de contribuer au problème.
Reprenons l’idée de l’intimidateur : la victime est par terre, elle vient de se faire taper dessus. La réponse aux incidents, pour moi, c’était comme d’aller la voir avec des documents et de lui dire « Signe en bas, il faut que tu me fasses un dépôt de $100 000 dollars pour que je puisse essayer de t’aider à t’en sortir ». En gros, c’est faire de l’argent sur quelqu’un qui vient de se faire taper!
Ça ne concordait pas avec mes valeurs. Ce qui est important pour moi, c’est de s’assurer que les gens sont en sécurité. J’ai donc opté pour un modèle de prévention, au lieu de faire partie de ceux qui profitent de la cybercriminalité.
Mais cette prévention, comme tu l’indiques dans ton livre, dépend de la responsabilisation de tous et chacun. Et le changement de comportement, c’est difficile pour tout le monde. Penses-tu qu’il s’agit du plus gros défi des dirigeants en termes de cybersécurité?
René-Sylvain Bédard : Ça demande assurément un changement de paradigme. Il faut que les dirigeants cessent de traiter la cybersécurité comme une assurance-vie! L'assurance-vie, personne ne veut acheter ça… jusqu’au moment où quelqu'un meurt dans la famille. Tout d'un coup, il y a un rush : tout le monde veut en acheter une!
L’idée, c'est de prendre ce qui est important mais non urgent, et de le déplacer dans l'important et l'urgent. Parce que faire l’autruche, ça ne fonctionne pas. Parfois, ça te prend quelqu'un qui va te pousser, qui va attirer ton attention sur ce qui est important. C'est ce que j'essaie de faire avec le livre.
C’est aussi pour ça que je m’adresse directement aux propriétaires d’entreprises. Ils sont les plus difficiles à changer, mais s’ils acceptent de le faire, ils influencent toute leur chaîne. Le propriétaire d’entreprise est le phare, le modèle dans l’entreprise. Qui définit les indicateurs de performance dans une entreprise? C'est le président! C'est lui qui dictera nos priorités pour cette année. Dès qu’il dit à son équipe de direction « Voici les quatre métriques de cyber sécurité que nous allons suivre », tout d'un coup, la cybersécurité est sur la carte. Elle peut découler au sein de l’équipe. De là vient la motivation pour l'équipe.
C'est donc toute cette structure-là qu'il faut mettre en place pour arriver à instiller une culture de gens qui pensent en mode « cybersécurité ».
Il existe plusieurs méthodes en cybersécurité. Qu'est-ce que ta méthode SÉCURE apporte de plus que les autres méthodes qui existent déjà?
René-Sylvain Bédard : Ma méthode, c’est plus road map qu'une méthode rigide. C'est une indication du chemin que vous pouvez suivre pour mieux comprendre où vous en êtes.
L’idée était de faire de la grande vulgarisation, pour qu'un propriétaire d'entreprise dont l’expertise se situe loin de la cybersécurité ne sera pas automatiquement menacé [par les cyberattaquants]. C’est comme quand tu bâtis une maison : tu dois faire ton relevé topographique. Tous ceux qui ont acheté une maison, ou qui ont bâti quoi que ce soit dans leur vie, vont être capable de comprendre ce parallèle. La méthode SÉCURE n’est pas une norme ou un standard : c’est plutôt une façon simple de réaliser quelque chose.
Le but n'est pas nécessairement que le propriétaire d'entreprise s’occupe lui-même de la cybersécurité, mais plutôt que si un fournisseur s'assoit devant lui et lui dise : « Je vais te garantir à 100 % que tu n'auras jamais d'atteintes » ou « Je vais surveiller et protéger 100% de tes données », qu’il sache le mettre dehors! Je veux que les chefs d’entreprise puissent affirmer « J’ai fait mes devoirs; et selon nos calculs, seules 10% de nos données ont réellement besoin d’être protégées ».
En cybersécurité, le premier déficit n'est pas d’ordre monétaire ; il est de l’ordre de l'attention. Si la direction n’est pas attentive, l’entreprise ne sera jamais sécurisée. Une fois déficit d’attention comblé, on peut vraiment dire : « Voici le montant qui représenterait une rançon potentielle ». Et on peut réellement se pencher sur les questions importantes : Dans quoi pouvons-nous investir, et comment pouvons-nous faire cela intelligemment, pour minimiser les coûts mais surtout, pour continuer à opérer en cas de cyberattaque?
Ton livre est une mine d’informations. Comment suggères-tu à tes lecteurs d’appréhender la lecture de ton livre pour être en mesure de bien appliquer la méthode SÉCURE?
René-Sylvain Bédard : Je leur dirai de faire la lecture en deux temps. Une première lecture rapide, pour comprendre le contexte au complet. Puis, une deuxième lecture pour noter les points importants pour l’entreprise, et pour faire les exercices.
Ça demande de lire le livre deux fois, oui. Mais quand vous repasserez dessus la deuxième fois, la lecture sera plus rapide et plus approfondie. Vous comprendrez mieux les points importants, et vous saurez exactement ce qui cadre avec votre réalité d'entreprise.
De plus, en réalisant les exercices, vous vous retrouverez avec un plan entre les mains. Je ne dis pas de l'implanter vous-même, mais si vous faites affaire avec un Managed Security Service Provider (MSSP) ou un expert en cybersécurité, vous aurez déjà décidé de la forme que prendront les choses. Votre projet de 3 ans se transformera en projet de six mois.
Il faut voir le livre comme un investissement pour votre éducation personnelle, mais aussi comme un levier pour mieux sécuriser votre entreprise.
René-Sylvain Bédard, auteur du guide « Conçu pour être SÉCURE »
Dans ton livre, tu utilises beaucoup de métaphores et d’images pour parler de cybersécurité. Je trouve ça super intéressant, parce que ce n'est pas facile de vulgariser de tels concepts! Quel conseil donnerais-tu aux gens qui font de la sensibilisation ou de la formation et qui aimeraient apprendre à mieux vulgariser?
René-Sylvain Bédard : C’est important de savoir redescendre sur terre. Si tu m'entendais parler avec d'autres gens dans la techno, tu penserais que je parle chinois!
Ça, je l'ai vécu la première fois quand j'ai présenté devant une classe au Cégep de Rivière-du-Loup, à Rimouski. C'était une classe d'étudiants en marketing, où ils devaient nous aider avec notre image de marque. À la fin de la présentation, un étudiant a levé la main et m’a ramené à ma diapositive 2, en me demandant… « C’est quoi un TI? »
Dans la vulgarisation, ce qui est vraiment important, c'est de ne rien tenir pour acquis. Tu ne peux pas supposer que la personne à qui tu t'adresses sait ce qu’est un antivirus. Ou bien, qu'il est capable de te donner la différence entre un antivirus et un Endpoint detection and response (EDR).
Atteindre la balance entre bien accompagner quelqu'un et être trop infantilisant, c’est difficile. J'imagine que c'est aussi une question de bien connaître son public.
René-Sylvain Bédard : Je te dirai que la chance que j'ai, c'est d'avoir donné beaucoup de conférences. Les questions à la fin des présentations ont nourri mes démarches et mes réflexions. J'ai été capable de tester ce qui marchait, et ce qui ne marchait pas.
Par exemple, si je dis à quelqu'un : « On va déployer un détecteur de fumée sur chacun de tes appareils, qui seront connectés à une centrale d'alarme ; Nous, on va s'occuper de cette centrale d'alarme », tout le monde comprend très bien ce que je fais. À l'opposé, si je dis « On va déployer Defender for Endpoint en mode EDR géré, étendu sur chacun de vos appareils, qu’on va relier à Sentinel »… là, c’est sûr que je perds tout le monde!
Je pense que la résistance à en apprendre plus sur la cybersécurité découle principalement de la peur de ne rien y comprendre. C’est comme les mathématiques et moi : dès que quelqu’un m’en parle, je décroche, parce que je n’y comprends rien, et dans un sens, ça m’intimide!
René-Sylvain Bédard : C'est un super point que tu amènes là. À la base, on a peur de quelque chose parce qu’on ne la connaît pas, on ne la comprend pas.
C'est exactement ça, le but de mon livre. Je veux que les propriétaires d'entreprises partent d'un modèle où ils ont peur de quelque chose parce qu'ils ne le connaissent pas, et qu’ils arrivent à un point où ils sont assez confortables avec le truc pour pouvoir en parler avec quelqu'un sans craindre de se ridiculiser. La seule manière de ne pas avoir l’air ridicule et d'arrêter d'avoir peur, c'est d'apprendre!
Le guide Conçu pour être SÉCURE: Guide pour leader souhaitant garder les cybercriminels en dehors de leurs affaires est disponible sur Amazon, en français et en anglais.