2021-11-19, 13:30–14:20, Hackfest - Track 1
Les cadres normatifs peuvent faire peur aux gestionnaires de PME qui y voient surtout d'importantes dépenses pour la mise en place. De plus, en PME, les techniciens sont souvent des généralistes sans formation spécifique en cybersécurité. L'utilisation d'un cadre de normatif permet de se remettre en question, d'évaluer ses pratiques et d'établir un plan d'action pour assurer une meilleure sécurité pour sa PME.
Bien souvent, les approches en sécurité des TI ne semble réaliste que pour les grandes entreprises, alors que la très grande majorité des entreprises sont de petites tailles. Ces entreprises de petites tailles sont souvent oubliées par l’industrie alors qu’elles sont souvent très vulnérables à de multiples attaques. De plus, la grande majorité d’entre elle ne se sentent pas concernée car leur équipe de gestion estime qu’elles ne sont d’aucun intérêt pour un « pirate ». Aussi, pour plusieurs de ces dirigeants, la sécurité des TI équivaut trop souvent à ne pas être la cible d’un « ransomware », alors que les nouvelles législations comme le PL64 s’attarde plus à la protection des données et assurer la sécurité de leur infrastructure est la prémisse de base pour protéger les données qu’ils hébergent.
Donc avec la recrudescence des cyberattaques et les nouvelles législations comme le PL64, de nombreuse entreprise sont considérablement désemparé devant la mise en place des mesures appropriés.
La grande majorité des entreprise québécoise n’ont pas d'équipe TI et encore moins d' équipe de sécurité en TI, alors leur dirigeant sont dans le néant pour avoir une vue d' ensemble de leur TI (autant opérationnellement que sécuritairement). Ils sont bien souvent à la merci de l’ensembles des consultants qui se sont succéder dans leur entreprise avec une expérience et une préoccupation pour la sécurité très variable. Je suggère une approche par l’usage d'un cadre de conformité, comme prémisse à une politique de sécurité de l' information et comme moyen pour avoir une vision holistique de leur infrastructure.
Je présente ensuite brièvement différent cadres (ISO27001, CIS, NIST CSF, etc) et établie des comparatifs entre eux. De plus, je démystifie un peu le domaine de la "compliance" dans une approche pratico-pratique. Finalement, je présente le cadre Cyber Secure PME du gouvernement fédéral comme une alternative réaliste et appropriée pour une PME.
Ce talk a déjà été fait au SeQCure au printemps 2021. Il n'y a pas de "pitch" de vente pour mon entreprise, l'accent est vraiment mis sur comment utiliser un outils qui souvent est considéré comme "plate" en outils simple pour promouvoir une cyber-hygiene décente et réaliste dans un contexte de petites et moyenne entreprise.