Maîtrisez les principes de base de la protection des renseignements personnels : Entretien avec Claudette McGowan

 
La cybersécurité joue un rôle de plus en plus important pour les sociétés, les entreprises en démarrage et les clients. Ayant porté les trois chapeaux, où voyez-vous la plus importante possibilité d’amélioration dans cet espace?

Le principal enjeu en ce moment, c’est la visibilité : comprend-on vraiment ce qu’on possède? En termes simples, pensez à votre maison. Si quelqu’un vous demandait de répertorier tout ce qui se trouve chez vous, vous pourriez probablement nommer chaque article.

Cependant, lorsqu’il s’agit d’actifs numériques, bon nombre d’entreprises ne disposent pas d’un tel inventaire. C’est un problème, car si vous ne savez pas ce que vous avez, il y a très peu de chances que vous le protégiez entièrement. Il faut donc savoir maîtriser les principes de base et comprendre tous les éléments qui composent notre environnement numérique.

Donc, je dirais qu’une possibilité d’amélioration pour les entreprises, les particuliers et les organismes sans but lucratif est de savoir ce que vous avez et de le protéger.

Quels sont les principaux défis auxquels l’industrie est confrontée à l’heure actuelle?

L’un des enjeux est, de toute évidence, les auteurs malveillants qui ont les coffres bien garnis. Ils ne sont pas forcément limités par les budgets ou obligés de rendre compte de chaque sou, comme le sont les entreprises. Les rançongiciels représentent un grand défi à l’heure actuelle. De nombreuses organisations, petites et grandes, sont attaquées par des gangs spécialisés dans les rançongiciels.

La deuxième question concerne les tiers et l’interconnectivité. Vous avez peut-être tous les contrôles en place, mais qu’en est-il des entreprises avec lesquelles vous travaillez? Ont-elles les mêmes politiques, programmes, cadres, normes et contrôles que vous? Si la réponse est non, vous vous exposez à beaucoup de risques parce que vous n’êtes pas plus solide que votre maillon le plus faible.

La troisième question, ce sont les infrastructures essentielles. De quoi avons-nous besoin pour faire fonctionner la société et comment ces réseaux et systèmes sont-ils connectés? Les entreprises ne peuvent pas fonctionner sans les infrastructures essentielles, et lorsque celles-ci sont attaquées, cela nous affecte tous. Donc, du point de vue de la cybersécurité, si vous êtes une entreprise qui aide les entreprises ciblées par une attaque, comment établir les priorités lorsque tout le monde est ciblé? Qui aider en premier et comment s’assurer que l’aide se rend à la bonne place? S’occupe-t-on d’abord des hôpitaux ou des banques? Qu’en est-il des écoles?

Il est important d’avoir une vision globale et de comprendre le rôle des infrastructures essentielles dans toutes les entreprises à l’échelle mondiale.

Quels conseils donneriez-vous aux fondateurs d’entreprises qui intègrent et gèrent beaucoup de données de clients?

Il faut d’abord mettre en place un programme de gestion des données. Il ne faut pas négliger la sécurité et la littératie des données. Ces éléments doivent être intégrés aux processus de votre équipe et celle-ci doit comprendre ce que signifie avoir différentes catégories de données.

Vos employés doivent comprendre ce que signifie protéger les données de différentes façons. Cela ne signifie pas nécessairement de chiffrer tout au plus haut niveau, mais il faut certainement connaître vos principaux actifs numériques et vous assurer de prendre toutes les mesures pour les protéger.

Il faut maîtriser les principes de base de la sécurité des données. Augmentez la littératie des données à tous les échelons de votre organisation pour que tout le monde comprenne les données qui se cachent derrière chaque fichier, document Word ou feuille de calcul Excel. Ce sont tous des actifs réels pour l’organisation, et chacun doit comprendre ce qui peut arriver si ces actifs tombent entre de mauvaises mains.

Qu’est-ce qui est le plus difficile dans l’intégration de nouvelles technologies de cybersécurité?

La première chose que les entreprises doivent considérer, c’est le prix et l’ampleur de leur cyberbudget. Bon nombre d’entreprises y vont du principe que si elles n’ont pas d’incidents, elles n’ont pas à investir dans cette catégorie.Toutefois, les entreprises devraient mettre de côté le bon montant d’investissement en matière de protection des données. Et cette protection n’est pas toujours sous la forme d’un logiciel – on peut souvent y arriver au moyen de processus, de pratiques, d’une formation et de simulations.

Deuxièmement, il ne faut pas laisser la peur vous dicter vos décisions. J’ai parlé à un chef d’entreprise qui m’a dit : « J’achète tout pour être sûr que je suis couvert », mais acheter tout ne veut pas dire que vous êtes couvert. Cela signifie simplement que vous avez plus de complexité et que vous gaspillez de l’argent. Examinez plutôt votre budget et évaluez si le budget alloué à la cybersécurité est proportionnel à l’ensemble de votre portefeuille. Avoir un budget pour diriger l’entreprise, un budget pour la transformer et un budget pour la protéger. En général, le budget de protection devrait se situer entre 5 % et 15 %.

Certains se demandent si l’adoption d’une nouvelle législation sur la protection des renseignements personnels au Québec donne un avantage concurrentiel aux entreprises en démarrage québécoises. Qu’en pensez-vous?

Je pense qu’on pourrait le voir de deux façons différentes. C’est bien de préciser ce qu’on veut dire par mise en place de contrôles adéquats, et l’un des éléments clés de ce programme est l’établissement d’un régime de gestion des incidents. Mais il faut voir l’autre côté de la médaille. Est-ce que ça se fait au détriment de la vitesse? De l’agilité? De la fonctionnalité? Il faut trouver le bon équilibre.

Il est important que les entreprises testent leur compréhension de la loi. Les entreprises doivent savoir ce que cela signifie pour elles et ce qu’elles sont tenues de faire, et avant quelle date.

Comme nous l’avons vu en Californie et avec le RGPD en Europe, ces contrôles sont utiles et peuvent protéger les clients. Ils font en sorte que les clients ont l’impression que les données leur appartiennent, qu’ils sont libres de prendre des décisions à leur égard et qu’ils ont le droit à l’oubli. Ces choses sont importantes et on ne peut pas les perdre de vue.

Je préfère cette approche où on teste et on adapte, plutôt que la mise en œuvre en un jour et l’entrée en vigueur immédiate.

Quels changements avez-vous observés dans le secteur de la cybersécurité au cours des dernières années?

Les choses ont changé depuis la pandémie. Il y a plus de gens qui travaillent à domicile, que cela nous plaise ou non. Cela veut dire que le périmètre a changé.

Auparavant, les organisations devaient simplement s’assurer de protéger tous ceux qui se trouvaient entre les quatre murs de leurs bureaux – en utilisant des ordinateurs connectés au réseau principal de l’entreprise, lui-même connecté à un centre de données sécurisé. Maintenant que les gens travaillent de la maison et que l’on se précipite vers le nuage, il n’y a plus de centre de données contrôlé par l’entreprise. Cela présente beaucoup de nouveaux défis et de nouvelles possibilités au sein de l’industrie.

L’IA fait l’objet de beaucoup d’attention. Quels sont ses avantages et ses risques pour la protection des renseignements personnels?

L’IA nous aide à prendre des décisions plus rapidement – grâce à la vitesse et à la reconnaissance des formes – mais il faut tenir compte du compromis que cela implique.

Le contrôle des algorithmes et les biais des modèles suscitent des préoccupations. L’IA peut nous aider à trouver plus rapidement une aiguille dans une botte de foin, mais tout comme nous l’utilisons pour la cybersécurité, il y a des acteurs malveillants qui l’utilisent pour commettre des cyberattaques et des atteintes à la vie privée.

Ces pirates utilisent l’IA pour commettre des attaques par maliciel, imiter votre voix ou faire de l’hameçonnage par courriel, par téléphone ou par texto. Il est donc très important de reconnaître que nous ne sommes pas les seuls à innover.

Que pensez-vous de la législation sur la protection des renseignements personnels au Canada?

Je pense que nous essayons de bien faire et, dans certains cas, il y a un effort ciblé, comme dans le cas de la LPRPDE ou de ces nouveaux projets de loi qui sont adoptés. Toutefois, à ce stade, la législation ne semble pas totalement intégrée et nous devons faire davantage pour communiquer avec les entreprises et nous assurer qu’elles sont évaluées pour leur compréhension et qu’elles reçoivent l’aide dont elles ont besoin. Nous devons déterminer qui peut leur expliquer les changements, pourquoi ils sont apportés et quelle valeur ils apportent. Pour une entreprise, chaque changement de législation représente des coûts additionnels. Elle doit donc comprendre les avantages et les législateurs peuvent offrir plus de clarté à cet égard.

Quelles sont vos prévisions sur dix ans pour le secteur?

Je pense que nous allons voir plus d’intelligence artificielle, évidemment. Nous nous préoccupons certainement de l’informatique quantique et de nous assurer d’avoir les bons contrôles en place en prévision du moment où le chiffrement, tel que nous le connaissons aujourd’hui, sera mis à l’épreuve.

Comme nous l’avons vu avec l’IA générative, lorsque la réalité augmentée et la réalité virtuelle deviendront plus fonctionnelles et simples à utiliser, leur adoption augmentera considérablement. J’aimerais voir comment elles pourraient être mises à profit par les gens de toutes les générations.

Du point de vue de l’industrie, nous pensons à des choses comme les voitures autonomes et l’automatisation des tâches quotidiennes. On va pouvoir se simplifier la vie en intégrant et en convergeant différentes technologies.

Je pense que l’industrie sera plus à même d’établir des politiques et de les appliquer et de veiller à ce que leur valeur soit partagée. Mais je n’envisage pas de nouvelle technologie magique. Je pense que nous apprendrons à bien utiliser les choses sur lesquelles nous travaillons aujourd’hui, notamment l’IA, l’infonuagique, l’informatique quantique, et j’en passe.

Claudette McGowan est une leader mondiale des technologies de l’information avec plus de 20 ans de succès dans la direction des transformations numériques, l’optimisation des infrastructures et la conception de nouvelles approches qui améliorent les expériences de service et de cybersécurité. Elle a travaillé dans l’industrie de la technologie pour plusieurs organisations telles que Deloitte, les Services de police métropolitains, l’Hôpital général de North York, la Banque de Montréal et la Banque TD. À la BMO, Claudette a été chef de l’information, Expérience employé et technologies de l’entreprise, et à la TD, elle a été directrice mondiale de la cybersécurité et de la gestion des menaces. Claudette est actuellement présidente-directrice générale de Protexxa, une entreprise canadienne de logiciels et de services de cybersécurité.