Poser les bonnes questions au sein de votre organisation est essentiel pour gérer efficacement les cyberrisques. Voici 10 questions que vous devriez poser à votre équipe :

1. Quels sont les renseignements et les systèmes qui nous intéressent et pourquoi?

• Renseignements personnels (employés; clients); exclusifs; confidentiels de tiers
• Quels sont les systèmes essentiels à notre exploitation continue?

2. Quels sont les scénarios de risque qui créent une exposition pour nous selon les réponses à la question #1?

• Risque interne (malveillant ou erreur); Attaque externe (hameçonnage; force brute); Problème du fournisseur ou du tiers (victime d’une attaque ou d’une erreur)

3. Quelles mesures avons-nous mises en place pour gérer les risques liés aux tiers?

• Dispositions contractuelles (restrictions à l’utilisation et à la conservation des renseignements; obligation de protéger et de mettre en œuvre des mesures de sécurité particulières; notification en cas d’incident suspect ou confirmé; obligations en cas d’incident (enquêter/partager des renseignements); droit de vérification; dispositions facultatives : certification de sécurité par un tiers; assurance)
• Mise à jour des logiciels et des tests dans un environnement contrôlé

4. Quelles sont les obligations réglementaires en matière de cybersécurité?

• Documentation défendable pour établir la conformité

5. Quelle est l’exposition financière estimée à partir des scénarios de risque qui se matérialisent?

• Exposition par : accès non autorisé, manque d’intégrité, incapacité d’accès
• Valeur monétaire de chaque jour d’interruption d’activité; perte d’achalandage
• Réclamations potentielles des personnes concernées (combien de personnes concernées; catégories d’information/sensibilité; devrions-nous même avoir cette information?)
• Conséquences de la rupture de contrat

6. Quels outils techniques avons-nous en place et comment protégent-ils contre les scénarios de risque?

• Qu’utilisons-nous comme point de référence et pourquoi est-ce pertinent?
• Sommes-nous à jour avec les dernières tactiques des auteurs de menaces?  
• Comment saurons-nous s’il y a un accès non autorisé à notre réseau? Quelqu’un reçoit-il une alerte s’il y a une activité inhabituelle?  
• Comment définissons-nous la portée de ce qui est « inhabituel »? (p. ex., connexion à partir d’un endroit inhabituel; connexion à partir de deux endroits différents)
• Si l’intrus y accède, avec quelle facilité peut-il se déplacer sans être détecté? Comment avons-nous protégé la plupart des renseignements sensibles?
• Avons-nous configuré tous les outils pour maximiser la sécurité et créer des exceptions lorsque cela est nécessaire pour les objectifs opérationnels (p. ex., le pare-feu n’autorise que certaines connexions entrantes et sortantes)
• Pouvons-nous imposer des restrictions pour limiter les risques? (p. ex., authentification multifacteur toujours requise; restrictions de mot de passe; restriction de la capacité des utilisateurs d’installer des logiciels; chiffrement; limitation de la capacité de téléchargement)

7. Comment un scénario de risque pourrait-il se concrétiser malgré tous les outils techniques en place?

• Erreur humaine; Problème lié à un tiers ou à un fournisseur

8. Quelles politiques et quels protocoles devons-nous mettre en place pour gérer les scénarios de risque?

• Par exemple, vérification des candidats, formation des employés, impartition, règles relatives à l’utilisation des appareils personnels, correctifs, conservation des données, stratégie de mise à jour, escalade

9. De quelles façons sommes-nous préparés à une attaque?

• Avons-nous des sauvegardes fiables et testées?   Quelle est l’actualité?
• Recueillons-nous et préservons-nous les journaux?
• Notre documentation défendable est-elle en place?
• Testez la préparation au moyen d’exercices sur table et intégrez les apprentissages dans la stratégie.
• Avons-nous les bons experts en numérotation abrégée?

10. Avons-nous accès à toutes les ressources externes disponibles?

• Avons-nous considéré le Centre canadien pour la cybersécurité comme une ressource? Groupes de l’industrie pour l’échange d’information et la coordination?
• Avons-nous consulté des experts au sujet de notre stratégie de préparation?