Article de blogue

10 questions clés pour guider la gestion des cyberrisques

4 avril 2025
Réseaux sociaux
Télécharger
Télécharger
Mode lecture
S'abonner
Résumer

Poser les bonnes questions au sein de votre organisation est essentiel pour gérer efficacement les cyberrisques. Voici 10 questions que vous devriez poser à votre équipe :

1. Quels sont les renseignements et les systèmes qui nous intéressent et pourquoi?

  • Renseignements personnels (employés; clients); exclusifs; confidentiels de tiers
  • Quels sont les systèmes essentiels à notre exploitation continue?

2. Quels sont les scénarios de risque qui créent une exposition pour nous selon les réponses à la question #1?

  • Risque interne (malveillant ou erreur); Attaque externe (hameçonnage; force brute); Problème du fournisseur ou du tiers (victime d'une attaque ou d'une erreur)

3. Quelles mesures avons-nous mises en place pour gérer les risques liés aux tiers?

  • Dispositions contractuelles (restrictions à l'utilisation et à la conservation des renseignements; obligation de protéger et de mettre en œuvre des mesures de sécurité particulières; notification en cas d'incident suspect ou confirmé; obligations en cas d'incident (enquêter/partager des renseignements); droit de vérification; dispositions facultatives : certification de sécurité par un tiers; assurance)
  • Mise à jour des logiciels et des tests dans un environnement contrôlé

4. Quelles sont les obligations réglementaires en matière de cybersécurité?

  • Documentation défendable pour établir la conformité

5. Quelle est l'exposition financière estimée à partir des scénarios de risque qui se matérialisent?

  • Exposition par : accès non autorisé, manque d'intégrité, incapacité d'accès
  • Valeur monétaire de chaque jour d'interruption d'activité; perte d'achalandage
  • Réclamations potentielles des personnes concernées (combien de personnes concernées; catégories d'information/sensibilité; devrions-nous même avoir cette information?)
  • Conséquences de la rupture de contrat

6. Quels outils techniques avons-nous en place et comment protégent-ils contre les scénarios de risque?

  • Qu'utilisons-nous comme point de référence et pourquoi est-ce pertinent?
  • Sommes-nous à jour avec les dernières tactiques des auteurs de menaces?  
  • Comment saurons-nous s'il y a un accès non autorisé à notre réseau? Quelqu'un reçoit-il une alerte s'il y a une activité inhabituelle?  
  • Comment définissons-nous la portée de ce qui est « inhabituel »? (p. ex., connexion à partir d'un endroit inhabituel; connexion à partir de deux endroits différents)
  • Si l'intrus y accède, avec quelle facilité peut-il se déplacer sans être détecté? Comment avons-nous protégé la plupart des renseignements sensibles?
  • Avons-nous configuré tous les outils pour maximiser la sécurité et créer des exceptions lorsque cela est nécessaire pour les objectifs opérationnels (p. ex., le pare-feu n'autorise que certaines connexions entrantes et sortantes)
  • Pouvons-nous imposer des restrictions pour limiter les risques? (p. ex., authentification multifacteur toujours requise; restrictions de mot de passe; restriction de la capacité des utilisateurs d'installer des logiciels; chiffrement; limitation de la capacité de téléchargement)

7. Comment un scénario de risque pourrait-il se concrétiser malgré tous les outils techniques en place?

  • Erreur humaine; Problème lié à un tiers ou à un fournisseur

8. Quelles politiques et quels protocoles devons-nous mettre en place pour gérer les scénarios de risque?

  • Par exemple, vérification des candidats, formation des employés, impartition, règles relatives à l'utilisation des appareils personnels, correctifs, conservation des données, stratégie de mise à jour, escalade

9. De quelles façons sommes-nous préparés à une attaque?

  • Avons-nous des sauvegardes fiables et testées?   Quelle est l'actualité?
  • Recueillons-nous et préservons-nous les journaux?
  • Notre documentation défendable est-elle en place?
  • Testez la préparation au moyen d'exercices sur table et intégrez les apprentissages dans la stratégie.
  • Avons-nous les bons experts en numérotation abrégée?

10. Avons-nous accès à toutes les ressources externes disponibles?

  • Avons-nous considéré le Centre canadien pour la cybersécurité comme une ressource? Groupes de l'industrie pour l'échange d'information et la coordination?
  • Avons-nous consulté des experts au sujet de notre stratégie de préparation?
Réseaux sociaux
Télécharger
Télécharger
S'abonner
Republishing Requests

For permission to republish this or any other publication, contact Amrita Kochhar at kochhara@bennettjones.com.

For informational purposes only

This publication provides an overview of legal trends and updates for informational purposes only. For personalized legal advice, please contact the authors.

Note: This translation was generated by artificial intelligence.