SANS FRAIS 1 877-777-6412

Comment un voyage de montagne est soudainement devenu un atelier de gestion du risque!

Photo du Denali

Lors de mon dernier voyage, je l’avoue, j’aurais pu y laisser ma peau! Est-ce que j’exagère? Peut-être un peu… mais il demeure que c’était dans le domaine du possible…

Lors de mon expédition en janvier dernier pour aller grimper l’Aconcagua en Argentine, j’étais exposé à divers risques. Il demeure qu’à près 7,000 mètres, soit à 80% de la hauteur de l’Everest, tout peut arriver!

Une roche qui me tombe dessus, un début de mal aigu des montagnes, un pied dans une crevasse, ce sont toutes des choses qui me sont déjà arrivées dans le passé.

Tout ça pour me rendre à mon objectif d’atteindre les plus hauts sommets et d’ultimement réaliser mon rêve de faire les 7 sommets!

C’est un peu comme les risques en cybersécurité!

L’entreprise a une mission et définit des objectifs, elle accumule des données, et définitivement elle prend des risques. Mais, pour se rendre à destination, il faut mettre en place un ensemble d’éléments pour éviter que le pire survienne.

Chaque personne a sa propre tolérance au risque et chaque organisation également. De plus, un risque pour certains peut représenter une opportunité pour d’autres.

De votre côté, avez-vous une aversion au risque ou bien un appétit pour le risque? Certains posent plutôt la question: Quelle est votre appétence au risque?

De mon côté, en tant qu’entrepreneur et aventurier à la fois, j’ai tendance à prendre des risques; des risques oui, mais ils sont calculés.

Mais qu’est-ce que le risque exactement?

À quoi bon parler de risque si nous ne sommes pas certains de sa définition? Pour les besoins de la cause, nous utiliserons la définition suivante de l’Office québécois de la langue française;

« Un évènement futur qui, premièrement, peut ou non se réaliser ou dont la date de réalisation est incertaine et qui, deuxièmement, peut occasionner une perte ou un préjudice »

Ainsi, basé sur cette définition, nous pourrions établir différents scénarios de risque en montagne tel que :

  • Se fouler une cheville;
  • Attraper une gastro;
  • Une roche nous tombe dessus et nous blesse;
  • Une tempête de plusieurs jours se produit;
  • Subir le mal aigu des montagnes;
  • Tomber dans une crevasse;
  • Etc.

Si je refais le lien avec le domaine de la cybersécurité, on parlera plutôt :

Mais comment évaluer son risque?

La manière la plus reconnue de mesurer un risque est en fonction de la probabilité et de l’impact (ex. la norme ISO/IEC 27005 suggère cette façon de faire). Par conséquent, lors de mes différentes expéditions, je me pose toujours une série de questions afin d’évaluer quels sont les scénarios les plus risqués.

Évaluons ici la probabilité de différents scénarios de risque liés à un groupe d’expédition de montagne.

Voici les 4 niveaux de probabilité que je vous propose:

niveau probabilité

Ensuite, il nous faudra évaluer le niveau d’impact (conséquences), que cela peut avoir sur les personnes du groupe si le scénario venait qu’à se produire. Ici, on le présentera aussi en 4 niveaux:

niveau impact

Prenons maintenant une expédition que j’ai réalisée en 2018 pour atteindre le sommet du Denali.

Expédition du Denali en 2018

Avant de m’aventurer là-bas, j’ai réalisé pendant de nombreuses années différentes expéditions allant du Kilimandjaro en Afrique jusqu’au mont Carstensz en Papouasie Nouvelle-Guinée. J’ai pris de l’expérience pendant toutes ces années, mais j’étais alors toujours guidé par une agence de voyages spécialisée dans le domaine (Terra Ultima pour être plus précis). Ce n’est pas pour rien que je faisais affaire avec eux; n’ayant pas beaucoup d’expérience au début, c’est le moyen que j’ai pris pour gérer mon risque.

Cette fois-ci pour mon expédition au Denali, j’ai décidé que j’étais fin prêt pour réaliser une aventure sans guide et j’ai trouvé d’autres passionnés de montagne, ayant une bonne expérience, prêts à y aller avec moi. Il fallait alors planifier le tout de A à Z.

Je dois cependant l’avouer, une partie de la décision était pécuniaire : il n’y a que 6 agences de voyages américaines autorisées à guider sur le Denali et il en coûte facilement 10,000$ US par personne pour faire l’expédition de cette manière. En le faisant par nous même, cela allait nous coûter FACILEMENT le tiers du prix… une vraie aubaine (ou presque) à comparer à l’utilisation des services de ces spécialistes!

Situé en Alaska, le Denali fait tout de même 6200m et est la plus haute montagne en Amérique du Nord. Cette montagne étant très au nord, le froid vient augmenter le niveau de difficulté, d’autant plus que la pression barométrique est plus faible lorsque l’on se rapproche des pôles et vient raréfié davantage la quantité d’oxygène. La montagne est très isolée (ravitaillement et évacuation par avion sur skis), on doit transporter environ 125 lbs de matériel chacun et en plus, il y a un nombre important de crevasses!

Voici donc une partie de la réflexion que j’ai faite sur différents scénarios de risque:

niveau de risque

Pour évaluer les différents risques, j’ai dû contacter des gens qui avaient déjà fait la montagne, j’ai lu des livres, j’ai regardé des vidéos sur YouTube, j’ai consulté d’autres collègues qui avaient de l’expérience sur de hautes montagnes, etc. Le nombre d’heures que j’ai dû y passer est faramineux. Sur la base de ce tableau, on voit clairement qu’il y a des scénarios de risque à prendre plus au sérieux! Comment pallier à tout ça? En fait, j’ai mis en place différentes mesures telles que:

  • Amener de la crème solaire FPS 60 qui contient un écran physique;
  • Sélectionner des vêtements plus chauds (duvet 800, etc.);
  • Suivre des cours de sauvetage en crevasse;
  • Réaliser un plan d’ascension réaliste avec des jours de repos d’expédition de plus (en cas de tempête);
  • Calculer le plus précisément possible la quantité de nourriture et de gaz nécessaire pour faire à manger pendant l’expédition, tout en prévoyant des réserves supplémentaires à mettre à des endroits stratégiques sur la montagne;
  • Etc.

Le but ultime ici est de rendre ces risques à un niveau acceptable. Puisque nous avons tous une tolérance au risque un peu différente, il faut savoir qu’un risque qui n’est pas acceptable pour une personne pourrait l’être pour une autre! C’est d’ailleurs un processus similaire qui se passe dans une organisation lorsque l’on parle de cybersécurité! Quelle est la tolérance au risque de la vôtre? Évaluer cela n’est pas toujours évident et c’est pour cela que des spécialistes sont là pour faire cet accompagnement.

Malgré la mise en place d’un ensemble de mesures de sécurité; est-ce que le risque zéro existe?

Malheureusement non, le risque zéro n’existe pas. De mon côté, une succession d’évènements, incluant des conditions météo qui n’étaient pas favorables, nous ont finalement obligés à rebrousser chemin après près de 2 semaines d’expédition. Notre méconnaissance de la montagne, malgré toute notre préparation, a fini par avoir raison de nous. Notamment, nous avions mal planifié notre gestion de la nourriture et l’utilisation du gaz qui nous était nécessaire pour la faire cuire. Je vous rassure, même si j’ai mis le pied dans une crevasse à un certain moment, je n’ai pas eu peur d’y laisser ma peau 😉. C’est d’ailleurs afin de ne pas nous mettre en danger que nous avons rebroussé chemin.

En conclusion, que pouvons-nous tirer de cette expérience?

Si nous avions fait notre expédition avec une agence autorisée à guider sur cette montagne, nous aurions augmenté notre probabilité de réussir notre expédition. À tout de moins, les erreurs que nous avons commises de notre côté ne se seraient pas produites. C’est pour cela que depuis ce temps, j’ai pris la décision de recommencer à faire des expéditions guidées. Bien que cela puisse coûter plus cher, on augmente nos chances de réussite et on diminue la probabilité et l’impact des différents scénarios de risque.

C’est la même chose en entreprise lorsque vient le temps de protéger son information. Certes, cela demande un investissement de temps et d’argent, mais il faut se demander quelles seront les conséquences, par exemple, d’une fuite de données ou d’un arrêt de production? Pouvons-nous nous le permettre?

Pour les PME qui désireraient faire évaluer leur niveau de risque, sachez que nous réalisons depuis maintenant plusieurs années un diagnostic qui permet de rapidement savoir quels sont les scénarios de risque les plus probables et d’avoir un plan pour y remédier.

Ascension de l’Aconcagua – janvier 2020

Pour les passionnés de montagne, sachez que je donne parfois des conférences sur mes expéditions. Vous n’avez qu’à nous suivre sur les réseaux sociaux ou via notre liste de distribution par courriel et vous serez informé lors de la prochaine conférence 😉

Finalement je me permets de vous faire une suggestion de film dans lequel j’y figure (un peu). Il s’agit d’un film ayant un regard intérieur sur les motivations, les défis et les difficultés de l’ascension de l’Aconcagua en Argentine. Cette expédition s’est déroulée en janvier 2016 avec l’agence Terra Ultima. Les 2 premières semaines de l’année 2016 ont été marquées par le dérèglement climatique El Niño qui a frappé les Andes centrales…
Ce film a été réalisé par David Lamontagne, cinéaste et grimpeur lors de cette expédition.

Voici le lien viméo : https://vimeo.com/231759623

Merci beaucoup et au plaisir de se voir bientôt!

Jean-Philippe

Aconcagua 2016, au temps d’El Niño !

Télétravail: comment le rendre plus efficace et sécuritaire

Avec ce qui se passe en ce moment, la probabilité de travailler à distance va en augmentant si ce n’est pas déjà le cas.

Chez Cyberswat, on a décidé d’apporter notre pierre à l’édifice et de vous aider à la hauteur de nos compétences dans ce défi. Le télétravail fait peut-être déjà partie de votre quotidien mais, pour beaucoup, c’est une nouveauté.

Accéder au webinaire sur la cybersécurité en télétravail

Que vous soyez gestionnaire ou employé, la cybersécurité est un enjeu majeur quand on passe en mode « télétravail ».

Pour vous aider, on a décidé de proposer un webinaire gratuit sur la cybersécurité en télétravail.

« Télétravail et cybersécurité font-ils bon ménage? Quelles sont les choses à mettre en place rapidement dans cette situation hors norme! »

Jeudi 19 mars dernier, nous avons donné un webinaire en direct GRATUIT d’une heure qui parlait de la cybersécurité en contexte de télétravail.

Avec plus de 600 inscrits, nous avons décidé de le rendre disponible en rediffusion pour ceux qui n’ont pas pu y assister.

On va vous donner des actions concrètes à poser pour sécuriser votre entreprise.

Hormis la cybersécurité, travailler à distance présente des défis de motivation, concentration, productivité, confort physique et équilibre mental.

Voici quelques trucs et astuces pour des séances de télétravail plus efficace :]

1 – Établir une routine et faire comme si vous alliez au travail

  • Se vêtir comme si vous alliez au travail (le pyjama c’est confo, mais on se sent moins d’attaque!)
  • Déterminer ses tâches, faire une liste pour rester focus (le goût d’aller faire un tour dans le frigo ou de faire une brassée de vêtement est si vite arrivé)
  • Prévoir des pauses au moins aux 60 à 90 minutes (utile pour enfin aller faire un tour dans le frigo et partir la fameuse brassée). L’important est de quitter l’écran des yeux quelques instants
  • Manger à des heures normales, mais ne mangez pas dans votre zone de travail

2 – Organiser son environnement de travail

  • Prenez le temps de bien vous installer, ça évitera les courbatures et les «- ites » (ex. tendinite)
  • La table de la cuisine n’est probablement pas l’endroit le plus stratégique et ergonomique
  • Pour plus de confort, connecter un clavier, une souris et un écran à votre portable
  • Si possible, travaillez dans une pièce fermée dédiée : vous pourrez fermer la porte et rester concentré
  • Établir les règles, déterminer votre horaire de travail et sensibiliser vos proches : ce n’est pas parce que vous travaillez de la maison que vous êtes disponible en tout temps pour surveiller les enfants, répondre aux questions de votre conjoint ou passer au dépanneur pour une pinte de lait
  • Réduire les distractions environnantes en mettant de la musique de concentration, du white noise ou une trame de fonds (p. ex. le bruit de la pluie)

3 – Utiliser les outils

  • Teams est fameux pour échanger avec des collègues si vous avez Office 365, sinon il existe également Google Hangout et Zoom qui est bien populaire!
  • Un courriel c’est long à écrire : un appel téléphonique ou une visioconférence, ça permet d’avoir un certain contact humain!

4- Conserver son équilibre mental, car travailler de la maison sans/peu d’interactions humaines peut être difficile à la longue

  • Prévoir un appel avec votre collaborateur plutôt que d’écrire un long courriel
  • Parler à votre chat 🐱
  • Écouter une émission parlée (radio/podcast) lors de pauses
  • Sortir de la maison lors de votre pause (aller pelleter, chercher le courrier, sortir le chien, etc.)
  • Manger sainement
  • Réaliser des activités physiques 
  • Dormir à des heures régulières

La supervision

  • Faire confiance
  • Bien communiquer
  • Fixer les attentes en termes de livrables et de délais
  • Ne pas micromanager les autres

Nous espérons que ces quelques conseils vous aideront à passer au mieux cette période de télétravail forcé.

Nous vous rappelons que vous pouvez (re)voir notre webinaire gratuit :

 « Télétravail et cybersécurité font-ils bon ménage? Quelles sont les choses à mettre en place rapidement dans cette situation hors norme! »

Nous parlons de la cybersécurité en mode télétravail et vous donnons des actions concrètes à poser (tant pour les gestionnaires que pour les employés).

Pour l’écouter: Accéder au webinaire sur la cybersécurité en télétravail. Si cet article vous concerne, c’est que vous avez la chance de pouvoir vous isoler et donc vous protéger pendant cette pandémie. Nous adressons une pensée particulière aux personnes qui n’ont pas ce luxe et surtout à nos équipes de santé qui vont vivre des semaines très difficiles. Rester au maximum chez nous est le meilleur moyen que nous avons pour les aider et diminuer leur charge de travail.

Qui aurait cru que le meilleur moyen de sauver des vies serait de simplement rester chez soi?

10 conseils pour voyager en toute sécurité

Conseils pour voyager en toute sécurité_CyberSwat

Les températures remontent, l’été s’en vient ainsi que les vacances! Loin de nous l’idée de transformer vos voyages en moment d’angoisse et de stress, mais un petit rappel sur comment voyager en toute sécurité nous semble de mise. Car, de belles vacances peuvent devenir bien moins agréables si des mésaventures venaient à vous arriver!

Aujourd’hui, on vous offre 10 conseils pour voyager en toute sécurité! Comme ça, vous pourrez partir serein et profiter de vos vacances.

Nous connaissons tous les mesures de base en matière de sécurité pendant les voyages: mettre un cadenas sur nos valises ou ne jamais laisser d’effets personnels sans surveillance par exemple. Mais, à moins de partir en retraite complète pour déconnecter, j’imagine que vous aurez sur vous au moins un téléphone intelligent si ce n’est également votre tablette ou votre ordinateur!

Voici comment vous protéger:

1.     Effectuez une sauvegarde des appareils que vous apportez

Avant de partir, pensez à sauvegarder les données de votre appareil. On ne sait jamais, votre cellulaire pourrait prendre l’eau, être volé ou encore perdu. Voici la procédure pour votre iPhone ainsi que pour votre Android. La perte matérielle sera là, mais au moins, vous aurez toujours toutes vos données! Nous vous conseillons aussi de garder en note, ailleurs que sur votre cellulaire, toutes les informations les plus importantes: vos billets, le numéro de téléphone pour bloquer votre carte de crédit et celui pour bloquer la carte SIM de votre cellulaire, les contacts d’urgences, etc.

2.     Utilisez les réseaux wifi avec prudence et priorisez les VPNs

Que ce soit à l’aéroport, à l’hôtel ou dans un restaurant, attention aux réseaux wifi publics. Ce sont des cibles faciles pour les cybercriminels qui peuvent vous voler des informations personnelles comme celles de vos cartes de crédit par exemple. Si votre plan de données vous le permet, évitez de les utiliser ou alors installez un VPN (RVP) sur votre appareil. Attention cependant; comme l’indique un article de TechRepublic, plusieurs outils VPN ne respectent pas votre vie privée. Voici d’ailleurs un lien vers une évaluation de plusieurs solutions VPN du site web TheBestVpn.com qui classe les produits VPN en fonction de leur niveau de sécurité, leur vitesse et du respect de la vie privée réalisé.

3.     Prenez avec vous une batterie externe

Vous êtes-vous déjà laissé tenter par les stations gratuites de chargement qui envahissent les aéroports depuis quelques années? Nous sommes d’accord que le concept est vraiment bien pensé, mais le problème c’est que c’est aussi une mine d’or pour les cybercriminels. Il leur est très facile de télécharger de l’information ou même d’installer des logiciels malveillants sur les appareils en chargement. C’est d’ailleurs ce que rapportait PC Mag dans un article au début de l’année 2019. Le plus simple et sécuritaire est de prendre votre propre batterie externe avec vous. Il en existe maintenant des très petites et légères pour ne pas trop vous encombrer!

4.     Coupez les connexions sur vos appareils

 Si vous n’avez pas besoin du Bluetooth, du wifi ou encore du réseau cellulaire, éteignez-les, tout simplement. Ce sont des portes d’entrée sur vos appareils. Et ça économisera votre batterie par la même occasion, c’est un conseil 2 en 1!

5.     Évitez de stocker une copie de vos pièces d’identité sur vos appareils

Par sécurité justement, on a tendance à enregistrer une copie de nos pièces d’identité (passeport, permis de conduire, etc.) sur notre cellulaire au cas où on perdrait l’original. Le problème c’est que si vous vous faites voler votre cellulaire ou vous vous faites pirater, le voleur aura un accès direct à ces documents. Et avec ça, il peut facilement voler votre identité ou les revendre sur le Darkweb. Si vous désirez les conserver tout de même sur votre cellulaire, mieux vaut chiffrer les documents, soit avec un outil commercial, PDF chiffré ou ZIP chiffré (écrivez-nous si vous désirez en savoir plus!). Néanmoins, sachez que la bonne vieille photocopieuse fonctionne toujours; il vous sera alors possible de mettre une copie papier de vos documents de voyage en lieu sûr!

6.     Ne partagez pas sur les réseaux sociaux vos tickets et détruisez-les après usage

Ne partagez pas sur les réseaux sociaux vos tickets et détruisez tout document papier qui ne vous sera plus utile une fois qu’ils auront été utilisés comme: carte d’embarquement, étiquette de bagage, reçu d’hôtel, etc. Déchirez les avant de vous en débarrasser, ces bouts de papier contiennent beaucoup d’informations et ont de la valeur pour les cybercriminels. À titre d’exemple, une vulnérabilité concernant les numéros de passager (PNR) a été découverte en début d’année 2019. Ce numéro se retrouvant dans diverses communications courriel et sur le billet d’avion. Il était alors possible pour les cybercriminels d’accéder au dossier de la personne par divers moyens, notamment en retrouvant le PNR sur les réseaux sociaux des personnes partageant une photo de leur billet! Dans certains cas, une personne malveillante aurait même pu annuler le billet d’avion!

7.     Soyez prudent quand vous payez

Si possible, privilégiez l’argent comptant ou les cartes de crédit. Il est facile de pirater une carte bancaire, mais les cartes de débit sont rarement assurées contre la fraude. Avec une carte de crédit, vous aurez plus de chance de vous faire rembourser les montants volés par votre émetteur de carte de crédit. À titre de rappel, lors de vos retraits d’argent à l’étranger; privilégiez les guichets se retrouvant directement dans les banques; ils sont davantage sécurisés et il est moins probable que des criminelles y aient ajouté un « Skimmer ». Soyez toutefois vigilant, tout comme en témoigne ce vidéo : https://www.youtube.com/watch?v=F_D7NS3H3Rc

8.     Attention aux programmes de fidélité

Que ce soit pour votre hôtel ou votre vol, vous vous êtes peut-être inscrits au programme de fidélité de la marque pour cumuler des points et baisser la facture de votre prochain voyage. Pensez juste à sécuriser votre compte, car on y retrouve beaucoup d’informations personnelles comme vos anciennes et futures réservations. Pour sécuriser votre compte, utilisez un mot de passe robuste et, si possible, une authentification à 2 facteurs. Néanmoins, sachez que malgré tout cela, des évènements malheureux peuvent survenir; nous n’avons qu’à penser à la brèche de sécurité majeure qui a affecté plus de 500 millions de clients chez Marriott dans la dernière année.

9.     Soyez vigilants si vous utilisez un ordinateur public

Vous avez besoin d’utiliser un ordinateur public pendant votre voyage? Sachez qu’une personne aurait pu y installer un enregistreur de frappes. C’est un type de logiciel malveillant qui sert à voler des renseignements personnels en enregistrant toutes les données saisies au clavier. Pour rechercher des informations touristiques, aucun problème. Mais si vous voulez consulter vos courriels, votre compte bancaire ou même vos réseaux sociaux, ça devient tout de suite plus risqué et déconseillé.

10.Sachez que les douaniers peuvent vous demander l’accès à vos appareils

Les douaniers américains ont le droit de vous forcer à leur divulguer votre mot de passe de téléphone. Bien que des règles auraient été émises pour encadrer ce que les douaniers peuvent faire, cette situation ouvre la porte à toute sorte d’abus : copie de toutes vos données, telles que courriels personnels et professionnels, conversations Facebook, vos photos et les dossiers confidentiels d’entreprise auxquels vous avez accès depuis votre téléphone. Si comme nous, vous n’êtes pas à l’aise avec ça, pensez bien à ce que vous avez sur votre cellulaire au moment de partir. Pour protéger vos renseignements personnels dans cette situation, on vous invite à revenir sur l’un de nos anciens articles pour (re) découvrir nos conseils: https://www.cyberswat.ca/6-conseils-douaniers-acces-donnees/

En bonus, un 11e conseil: et si vous profitiez de votre prochain voyage pour complètement déconnecter en laissant vos appareils chez vous? Une ou deux semaines sans courriels et sans réseaux sociaux pour vous aider à vraiment décompresser? À vous de voir!

Bon voyage!

Conférence : Quelles sont vos options pour éviter une brèche de sécurité ou en réduire les conséquences?

Conférence : Quelles sont vos options pour éviter une brèche de sécurité ou en réduire les conséquences?

Saviez-vous que, lors d’une brèche de sécurité informatique, le coût pour une entreprise canadienne varie généralement de 300$ à 550$ par dossier client? Imaginez le coût du vol des renseignements de 1500 de vos clients. On atteint près de 825 000$ de perte!  Seriez-vous en mesure de rebondir après une telle perte?

En plus de l’impact sur vos données, vous pourriez être assujettis à de nouvelles obligations légales destinées aux entreprises du Québec et du Canada. Des obligations supplémentaires sont à observer si vous avez des clients européens.

Heureusement, lors de cette conférence, plusieurs solutions s’offrent à vous. Nous vous invitons à rencontrer des spécialistes en sécurité de l’information, en protection des données, en assurance cyberrisques ainsi qu’un avocat spécialisé en cybersécurité.

Notre conférence a pour but de vous éclairer sur les enjeux de sécurité informatique et ainsi favoriser la protection et la pérennité de votre organisation. Pendant cette conférence, vous aurez accès à des informations essentielles sur les nouvelles menaces en cybersécurité, les enjeux légaux d’aujourd’hui ainsi que sur l’assurance en cyberrisques.

Où et quand est cette conférence?

À qui s’adresse cette conférence?

Cette conférence s’adresse tout particulièrement aux chefs d’entreprise, aux directeurs des technologies de l’information, mais également à toute personne en position de gestion préoccupée par la protection des données de son entreprise.

Votre entreprise :

  • Détient-elle des renseignements personnels sur ses employés et clients?
  • Possède-t-elle de la propriété intellectuelle qu’elle doit protéger?
  • Fait-elle affaire ou désire-t-elle faire affaire en Europe?
  • A-t-elle réalisé ou a-t-elle planifié un virage numérique important?
  • Se questionne-t-elle à propos de l’assurance en cyberrisques?

Si vous avez répondu « oui » à une ou plusieurs de ces questions, cette conférence est faite pour vous !

Quels sont les lieux exacts des conférences?

  • Lundi 27 mai : Langlois avocats, 1250 Boul. René-Lévesque Ouest #20, Montréal, QC H3B 4W8
  • Mercredi 29 mai : Langlois avocats, 2820 Boulevard Laurier, Québec, QC G1V 0C1

Quel est l’horaire de la conférence?

L’horaire est la même, que vous vous inscriviez à Québec ou Montréal!

8:00 Arrivée des participants
8:30 Quelles sont les obligations canadiennes en matière de protection des renseignements personnels lors d’une atteinte à la vie privée? (Jean-François De Rico – Avocat, Associé chez Langlois)
9:20 Pourquoi le Règlement Général sur la Protection des Données (RGPD) me concerne en tant qu’entreprise canadienne ? (Mélanie Gagnon – CEO & fondatrice chez MGSI)
10:10 Pause
10:25 Quoi faire pour prévenir un incident de sécurité informatique? Que faire lorsque le pire se produit? (Jean-Philippe Racine – Président chez Groupe Cyberswat)
11:15 À quoi sert l’assurance en cyberrisques et comment cela fonctionne? Québec : Marc-André Laflamme – Courtier en assurances de dommage des entreprises chez EgR Inc. Montréal : Christine Jutras – Chargée de Programme de Cyber Assurance chez Niche Assurance inc.
12:00 à 13:00 Lunch réseautage

Vos conférenciers

Jean-François De Rico – Avocat, Associé chez Langlois

Me Jean-François De Rico exerce sa pratique en droit des technologies de l’information et de la propriété intellectuelle, en protection des renseignements personnels, en litige commercial ainsi qu’en faillite et insolvabilité. Me De Rico agit régulièrement à titre de conférencier sur différents sujets liés au cadre juridique des technologies de l’information, à la protection des renseignements personnels et à la cybersécurité.

Mélanie Gagnon – CEO & fondatrice chez MGSI

Mélanie Gagnon cumule plus de 15 années d’expérience dans la sécurité de l’information et de la protection des données. Grâce à son expérience et expertise multidisciplinaire, elle met en œuvre une approche globale et transversale de la protection des données qui tient compte à la fois des objectifs stratégiques et du profil de risque de l’entreprise.

Jean-Philippe Racine

Jean-Philippe Racine – Président chez Groupe Cyberswat et spécialiste en cybersécurité

Grâce à ses 17 années d’expérience dans le secteur des TI et à ses nombreuses certifications et formations, M. Racine possède plus d’une décennie d’expérience dédiée à la cybersécurité. Ayant commencé sa carrière du côté technique de la sécurité informatique, il a rapidement évolué dans les volets tactiques et stratégiques de la sécurité de l’information.

Marc-André Laflamme – Courtier en assurances de dommage des entreprises chez EgR Inc.

Marc-André Laflamme oeuvre particulièrement auprès de clients ayant des besoins spécialisés en matière de gestion des risques et d’assurance. Il a débuté sa carrière en tant qu’avocat en droit commercial avant de faire le saut en 2010 à titre de courtier en assurance de dommages des entreprises. Il accompagne plusieurs clients provenant d’industries différentes dans la mise en place de leur programme d’assurances spécialisées, dont fait partie l’assurance cyberrisques.


Christine Jutras – Chargée de Programme de Cyber Assurance chez Niche Assurance inc.

Christine Jutras se spécialise en assurance cyberrisques et est à l’emploi de Niche Assurance inc. depuis maintenant 6 ans (ultérieurement connue sous le nom de Dubé, Cooke, Pedicelli Créneau Inc.). Ayant obtenu son permis de courtier d’assurance en suivant l’AEC en Assurance de dommages à Saint-Jérôme elle a travaillé pendant 5 ans en tant que courtier commercial avant de se consacrer pleinement à l’assurance cyberrisques.

En collaboration avec

Fier de notre participation au SeQcure 2019!

On vous avait annoncé le 21 mars notre participation à l’événement SeQCure grâce à une entrevue avec Nicolas‑Loïc Fortin, le Chef d’Orchestre de l’événement. On se réjouissait, à tort, de l’arrivée du printemps (on essaie encore de se remette de la tempête du 8 avril) mais plus qu’à raison de l’événement !

C’est donc le 8 avril dernier que nous avons eu le privilège d’être partenaire de l’événement SeQCure organisé dans le cadre de la semaine du numérique à Québec. C’est au terminal du port de Québec que nous avons eu la chance de vous rencontrer en grand nombre et de partager avec vous notre passion de la cybersécurité !

Le SeQCure c’est quoi ? C’est un événement qui rassemble les professionnels en sécurité informatique en offrant des conférences sur le domaine et en leur donnant l’opportunité de se rencontrer. Mais c’est aussi l’opportunité de faire découvrir les enjeux de la sécurité informatique à un plus grand public, pas la peine d’être un expert pour profiter de cet événement ! Nous avons d’ailleurs été enchantés de pouvoir discuter avec des personnes de tout horizon et d’avoir pu vous sensibiliser à ces nouveaux enjeux.

Cybersécurité et complémentarité

Cette année, l’événement a eu lieu en parallèle de 3 autres événements : Réalité Augmentée Québec (RAQ), Intelligence Artificielle (IA) et Insurtech. Ils ont tous eu lieu au même endroit et les participants de chaque événement pouvaient assister à toutes les conférences et se rencontrer. Les 3 sujets sont finalement complémentaires et ça a engendré de beaux débats et un 5 à 7 des plus animés !

Vous avez manqué l’événement ? Pas de panique, l’édition 2020 est confirmée ! On sera présent et nous espérons vous y rencontrer.

En attendant, on vous laisse revivre l’événement : quelques conférenciers nous ont gâtés en nous donnant accès à leurs présentations : cliquez simplement ici pour les (re) découvrir !

On termine avec une autre image de l’événement:

Les PME québécoises encore trop vulnérables face aux rançongiciels

Les rançongiciels affectent de plus en plus les entreprises. Encore récemment, une nouvelle PME québécoise a fait les manchettes suite à une attaque par ce type de virus. Dans le cas de l’entreprise Laurin Inc., située à Laval, les conséquences sont sans équivoque : à la suite de l’infection, instantanément, tout est devenu inaccessible; les courriels, la comptabilité, la facturation, la liste de clients ainsi que le carnet de commandes. Dans notre article d’aujourd’hui, nous allons non seulement démystifier comment les entreprises se font infecter, mais surtout, nous allons aborder les moyens de s’en prémunir !

Martin Soro, conseiller en sécurité opérationnelle chez CyberSwat
Martin Soro, SSCP
Conseiller en sécurité

Pour en discuter avec nous aujourd’hui, nous nous entretenons avec Martin Soro, conseiller en sécurité opérationnelle chez CyberSwat et professionnel des TI avec plus de 9 années d’expérience en réseautique et en sécurité. Martin est également titulaire d’une maîtrise en ingénierie de l’Université du Québec à Rimouski et possède plusieurs certifications telles que le SSCP de (ISC)2, CCNP routing and switching et le CCNA cybersecurity Operations.

Tout d’abord Martin, qu’est-ce qu’un ransomware?

Le ransomware ou encore rançongiciel est un logiciel malveillant qui après avoir infecté un ordinateur, un serveur, un téléphone, etc., crypte certains fichiers ou même le disque dur complet du dispositif. Il présente ensuite un message exigeant un paiement afin de recouvrir ces données. La demande de rançon est écrite par l’auteur du logiciel malveillant qui parfois menace de détruire définitivement ces informations (ou encore de les divulguer au public), si le paiement n’est pas effectué dans des délais impartis.

Qui peut être ciblé par un ransomware?

La ransomware n’a aucune frontière. Toutes les entreprises, de petites comme de grandes tailles peuvent être la cible d’une attaque de type ransomware. Les motivations du malfaiteur sont principalement d’ordre financier. Les cibles les plus fréquentes de nos jours sont :

  • Les PME
  • Les Multinationales
  • Les institutions publiques
  • Les hôpitaux
  • Le secteur bancaire
  • Les établissements scolaires
  • Les particuliers

Aucune industrie n’est immunisée contre cette attaque. Au cours des dernières années, plusieurs entreprises canadiennes ont été victimes de cyberattaque ransomware. Nous pouvons citer en exemple :

  • L’hôpital d’Ottawa : Elle a été victime d’un ransomware qui a bloqué toutes ses données les rendant ainsi inaccessibles. L’hôpital a été forcé de payer une rançon de 17 000 $ US en bitcoins afin de récupérer ces informations.
  • La Commission scolaire des Appalaches : Toute l’infrastructure a été paralysée par un ransomware. Les autorités scolaires ont refusé de payer la rançon. Cependant, cette attaque a finalement coûté 270 000 $ à la commission pour la reconstruction de son réseau. Ceci inclut l’achat de nouveaux équipements et la paye des heures supplémentaires des informaticiens.
  • Le fabricant de meubles Artopex : La production de quatre des cinq usines a été affectée durant une période d’environ 48 heures, par une cyberattaque de type ransomware qui a pris ses données en otage. Cependant, l’entreprise a réussi à répartir ses activités grâce à son plan de contingence.

Comment est-ce que cela arrive?

De nos jours, il existe plusieurs vecteurs d’attaque de type ransomware utilisés par les cybercriminels pour atteindre leurs objectifs. En voici quelques-unes.

  • Par courriel – lorsqu’un usager clique sur un lien contenant une pièce jointe malicieuse. La plupart du temps, un faux prétexte est élaboré afin d’inciter le destinataire du courriel à cliquer sur la pièce jointe (ex. une supposée facture).
  • Par site web – lorsque l’usager visite un site web compromis ou clique sur un lien dans une page web. Prendre note qu’un usager peut être infecté simplement en visitant un site web malicieux même s’il ne clique sur aucun lien. Cette technique s’appelle un drive-by download. Comment cela fonctionne ? En visitant le site web compromis, un code malicieux est automatiquement et discrètement téléchargé sur la machine de l’utilisateur à son insu. Le code malicieux va alors rechercher une vulnérabilité sur l’ordinateur de la victime. Une fois la vulnérabilité identifiée, il va établir une connexion vers le centre de commande du cybercriminel pour télécharger le code malicieux permettant de l’exploiter. Dans le cas d’une attaque ransomware, s’il réussit à exploiter la vulnérabilité, alors il va télécharger la clé de chiffrement pour crypter les données et afficher par la suite le message exigeant une rançon.
  • Par l’ingénierie sociale – le cybercriminel peut usurper le soutien informatique de l’entreprise et demander à un usager de se connecter à distance pour faire une mise à jour. En réalité, le malfaiteur pourrait, au moment de l’intervention à distance soit désactiver l’antivirus ou même dissimuler et exécuté un code malveillant.
  • Par attaque RDP (Remote Desktop Protocol) C’est une forme d’attaque ransomware qui gagne en popularité. RDP est une fonctionnalité Windows utilisée couramment en entreprise pour se connecter à distance sur les postes de travail. Le problème réside dans le fait que les administrateurs informatiques ouvrent parfois les ports RDP des serveurs ou postes de travail directement sur Internet. Ainsi, si les cybercriminels découvrent le système et le port RDP lors d’un balayage, alors ils vont utiliser les techniques de brute force pour trouver le mot de passe de l’équipement informatique. En général, ils réussissent avec les machines ayant des mots de passe faibles. Ils utilisent ensuite ces machines comme point d’appui pour détecter les identifiants de l’administrateur du domaine avec les outils comme mimikatz puis ils lancent le chiffrement des données. Quelques exemples de ransomware utilisant cette méthode sont : BitPaymer, SamSam, Ryuk, Dharma et GandCrab. L’une des particularités de BitPaymer et Ryuk est qu’ils prennent le temps de s’assurer que toutes les sauvegardes sont détruites avant de lancer l’attaque.

Quels sont les impacts potentiels des attaques ?

Une attaque de type ransomware peut causer une perte totale de données sensibles et confidentielles d’une organisation. Cela résulte à un dysfonctionnement des opérations, perte de disponibilité des systèmes informatiques, perte de temps de la part des employés. Il y aura également des pertes financières importantes, une dégradation de l’image de marque et de confiance vis-à-vis des clients et des partenaires. Il peut également y avoir du vol d’identité et des poursuites potentielles dans l’éventualité où de l’information serait divulguée publiquement par les pirates. L’histoire des ransomwares démontre à quel point les compagnies sont vulnérables face à ces cyberattaques.

Peut-on se protéger contre cette attaque ?

S’il est vrai qu’on ne peut aucunement être immunisé à 100 % contre le ransomware, force est de constater qu’il existe plusieurs méthodes de contrôle de sécurité permettant de mitiger les risques et minimiser les impacts.

Nous pouvons, entre autres, citer les antivirus modernes, les pare-feu nouvelle génération, les technologies de sauvegarde de données, les mises à jour régulières des systèmes d’exploitation et applications tierces. Par ailleurs, les bonnes pratiques en matière de sécurité de l’information constituent le vecteur principal pour se protéger contre une cyberattaque en général et contre le ransomware en particulier.

Nous pouvons prendre en exemple le principe de moindre privilège. Il est très important de limiter les droits d’accès des usagers aux systèmes informatiques et aux données. Il est impératif d’éviter d’accorder des droits administrateurs à un usager pour ses opérations courantes. En effet, lorsqu’un ordinateur est infecté par un code malicieux, celui-ci utilise les données d’identification de l’utilisateur piraté. Si le compte de l’usager ne possède pas de hauts privilèges alors l’exécution du code est limitée et les conséquences moins graves. C’est pourquoi même les administrateurs de systèmes informatiques devraient utiliser un compte utilisateur standard pour leurs opérations courantes et utiliser les comptes administrateurs uniquement pour les tâches qui requièrent de hauts privilèges. De plus, les comptes administrateurs devraient être supervisés et audités régulièrement afin de détecter toute activité suspicieuse.

Par ailleurs, la sauvegarde de données est d’une importance capitale pour la protection contre les attaques ransomware. En effet, si vous êtes victime d’une attaque et que les données de production ont été chiffrées par le cybercriminel, alors l’une des alternatives est de restaurer les données sauvegardées et nettoyer l’ensemble du système. Cependant, il faut s’assurer d’adopter une bonne stratégie de sauvegarde sinon celle-ci ne donnera pas les résultats escomptés. L’une des stratégies de sauvegarde très recommandée est la règle du 3-2-1. Selon cette règle, 3 copies des données doivent être enregistrées sur 2 supports différents et 1 copie doit se trouver hors site. Il faut également prendre soin de mettre en place des mécanismes qui feront en sorte que le rançongiciel ne sera pas en mesure de chiffrer les sauvegardes au même moment que toutes les autres données.

Outre les outils technologiques, il faut également considérer la mise en place de programmes récurrents de gestion de vulnérabilités, de test d’intrusions, de campagne d’hameçonnages comme recommandé dans les cadres de références en Cybersécurité tels que le NIST. Il est aussi fortement recommandé d’évaluer la maturité des contrôles de sécurité afin de s’assurer de leur efficacité de protection. En d’autres termes, il faut aussi surveiller les contrôles de sécurité. Tous ces processus ont pour but de réduire la surface d’attaque des systèmes et améliorer le niveau de risque de vos environnements.

Au-delà des techniques susmentionnées, il est primordial de prendre en considération le capital humain, car c’est souvent le maillon faible de la sécurité des organisations. En effet, aucun contrôle technique ne peut empêcher un usager de cliquer sur un lien reçu par courriel qui pourrait le connecter à un centre de contrôle de commandement d’un cybercriminel. L’une des solutions, c’est la sensibilisation et la formation. Il faut sensibiliser les usagers sur les risques de sécurité au moyen d’ateliers, d’affiches, de babillards ou même des articles de blogues. Ils devraient également être sensibilisés contre l’ingénierie sociale qui est l’un des principaux vecteurs d’attaque aujourd’hui pour mener une cyberattaque. La compétition de l’ingénierie sociale organisée au Hackfest 2018 a permis de mettre en évidence la vulnérabilité de plusieurs compagnies canadiennes (même les plus grosses) face à ce vecteur d’attaque.

Par ailleurs, une bonne politique de sécurité devrait être élaborée, approuvée par les cadres de la compagnie et strictement appliquée par tout usager du système d’information de l’organisation. L’adhésion à la politique de sécurité corporative devrait être la condition sine qua non avant tout accès au système d’information par l’usager.

Que faire quand on est victime d’un ransomware malgré tout ?

Quatre options sont envisageables lorsqu’on est victime d’une attaque de type ransomware.

  1. Si vous aviez effectué des sauvegardes régulières, alors il faut restaurer les données. Attention, prendre note que cette méthode n’est pas nécessairement efficace à 100 %. En effet, les virus peuvent s’infiltrer dans la sauvegarde. Alors, si vous restaurez la sauvegarde, vous vous réinfectez alors et vous vous mettez dans une boucle infinie. Des spécialistes dans le domaine peuvent vous aider afin de faire les vérifications qui s’imposent au moment de la restauration.
  2. Si les sauvegardes n’ont pas été faites, alors vous pouvez regarder la possibilité de payer la rançon. Cependant, il faut prendre en considération que payer la rançon ne garantit aucunement la restauration de vos fichiers. De plus, il est fort probable que le cybercriminel récidive parce que vous devenez lucratif.
  3. Choisir de tout perdre et restaurer son système à son état initial afin de reprendre ses activités. Bien sûr, ce n’est pas du tout la solution à préconiser d’emblée. En revanche, cette situation s’est déjà produite chez certains clients qui nous ont contactés que trop tard.
  4. Recourir à son assurance cyberrisques. Les assurances en cyberrisques peuvent amener une aide financière pour remettre les systèmes dans leur état initial ou encore de payer la rançon. Il faut alors informer l’assureur le plus tôt possible dans le processus afin de prendre la bonne décision. L’assurance peut également couvrir d’autres éléments tels que les frais juridiques, les frais de gestion d’incident par une firme de spécialistes comme Cyberswat. Néanmoins, ce n’est pas parce que l’on a pris une assurance en cyberrisque que l’on n’a pas besoin de prévenir le pire ! C’est comme pour l’assurance feu et vol ; nous devrons tout de même mettre en place un système d’alarme et des gicleurs dans notre entreprise.

Toutes ces options démontrent à quel point il est important de miser sur la prévention plutôt que sur la correction.

Martin, que pourrais-tu nous dire en guise de conclusion ?

Sun Tzu dans L’Art de la Guerre disait : « Si vous connaissez vos ennemis et que vous vous connaissez vous-même, mille batailles ne pourront venir à bout de vous. Si vous ne connaissez pas vos ennemis, mais que vous vous connaissez vous-même, vous en perdrez une sur deux. Si vous ne connaissez ni votre ennemi ni vous-même, chacune sera un grand danger. »

Bien que cette citation fasse référence à des stratégies militaires, elle est aussi vraie et adaptée au monde de la cybersécurité contemporaine. Cela signifie qu’il est plus qu’indispensable de bien connaître ses adversaires (les cybercriminels) afin de gagner la bataille contre le cybercrime. Cela passe nécessairement par l’étude et la connaissance de leurs TTP (Techniques, Tactiques et Procédures).

Vous voulez bien connaître votre ennemi ? Chez Cyberswat, nous pouvons vous accompagner dans cette modélisation des menaces et la mise en place de stratégie de cyberdéfense.

SéQCure 2019 : entrevue avec le chef d’orchestre de l’événement, Nicolas-Loïc Fortin

Le printemps est officiellement là (ou presque si vous aussi avez encore une belle vue sur la neige) et avec lui arrive la Semaine du numériQC 2019 qui se tiendra du 4 au 14 avril prochain!

Pour ceux qui ne connaissent pas, la Semaine numériQC, c’est LE rendez-vous annuel des professionnels du numérique à Québec! En effet,cette semaine a notamment pour vocation d’éduquer ses participants, les aider à élargir leur réseau, à leur faire tisser des liens, à se faire connaître et à recruter.

Se déroulant maintenant sur plus de 10 jours et abritant plusieurs événements, nous nous intéresserons aujourd’hui tout particulièrement au SéQCure, dont Cyberswat est un l’un des fiers partenaires! Le SéQCure, vous l’aurez deviné, est axé sur la cybersécurité et se tiendra le 8 avril prochain. Vous pourrez venir nous visiter à notre kiosque pendant toute la durée de l’événement!

Pour vous donner une bonne idée de ce à quoi vous attendre avec cet événement, nous avons reçu en entrevue Nicolas-Loïc Fortin, véritable chef d’orchestre de l’événement.

Voici nos questions et ainsi que ses réponses.

1.     Nicolas-Loïc, peux-tu tout d’abord te présenter un peu? Quel est ton parcours?

Bien sûr! Ayant maintenant près de 20 ans dans le domaine des TI et de la sécurité de l’information, j’ai tout d’abord fait mes premières armes en sécurité chez Deloitte au début des années 2000. De fil en aiguille, j’ai fini par fonder ma propre entreprise et je travaille donc à mon compte désormais. Dans les dernières années, j’ai principalement œuvré à titre de consultant en cybersécurité chez des clients dans un contexte gouvernemental.

2.      Peux-tu nous en dire plus concernant ta collaboration avec la Semaine numériQC et le SéQCure?

J’ai d’abord décidé de faire équipe avec Québec Numérique afin de rallier les spécialistes dans le domaine de la sécurité et les aider à maintenir leurs connaissances à jour. Mon rôle est donc non seulement d’informer les spécialistes, mais aussi d’autres participants et de les amener à bien comprendre l’importance de protéger leurs informations. Le tout nous a menés à la création du SéQCure avec qui je collabore à titre de chef d’orchestre avec les autres membres du comité organisateur de l’événement.

3.     Qu’est-ce que l’événement SéQCure et en quoi se démarque-t-il des autres événements en cybersécurité?

Ce qui est particulier avec le SéQCure, c’est qu’il est bâti sur le concept de « sécurité défensive » contrairement à d’autres événements comme le Hackfest, qui lui est orienté « sécurité offensive ». En fait, ces deux événements sont très complémentaires. Ce qu’il faut savoir également est que le SéQCure est le fruit d’une collaboration de plusieurs organisations du domaine, dont ISACA-Québec et l’ASIQ, ce qui en fait un événement incontournable pour toute personne voulant en apprendre davantage dans le domaine de la cybersécurité.

Et cette année, nous avons en plus la collaboration de « In Sec M »,  qui est un regroupement de manufacturiers dans le domaine de la cybersécurité et qui apportera un volet particulier à l’événement.

4.     Peux-tu rapidement nous rappeler la différence entre « sécurité défensive » et « sécurité offensive »?

Oui, c’est assez simple. La sécurité défensive englobe tout ce qui a trait aux moyens qui existent pour se prémunir contre les attaquants dans le but de corriger les faiblesses des systèmes informatiques.

La sécurité offensive, elle, amène à démontrer les faiblesses et failles d’un système, d’un logiciel, etc.  Ces deux concepts sont évidemment étroitement liés.

5.     À qui est adressé l’événement? Quelles sont les principales raisons pour lesquelles les entreprises et leurs employés y viennent?

Le SéQCure est tout d’abord destiné aux professionnels de la cybersécurité afin de les aider à se mettre à jour et à réseauter entre eux. Rien que pour ceci, les gens se déplacent, car ce sont des éléments auxquels ils attribuent beaucoup de valeur afin de favoriser la collaboration dans le marché. De plus, notre partenaire associatif avec In Sec M va attirer aussi beaucoup de monde, car il s’agit d’une organisation novatrice dont l’expertise est reconnue dans tout le Canada.

6.     À combien de personnes vous attendez-vous?

Si on se base sur les dernières années, on peut s’attendre à environ 300 personnes. D’autres événements connexes auront lieu dans le cadre de la Semaine numériQC, ce qui pourrait potentiellement augmenter le nombre de participants.

Par exemple, le 8 avril, en même temps que SéQCure, auront lieu les événements Insurtech QC, Réalité Augmentée Québec ainsi que le Rendez-vous IA Québec spécialisé en intelligence artificielle.

7.     Et enfin, quelles sont les conférences à ne pas manquer cette année?

Je recommande vivement aux gens de participer à la conférence d’Éric Caire, Ministre délégué à la Transformation numérique gouvernementale, qui présentera en à peu près 30 minutes l’espace que la sécurité de l’information prendra dans le projet de transformation numérique du gouvernement. Il y a bien sur de nombreuses autres conférences et conférenciers à aller voir. Vous pouvez suivre les plus récents ajouts le site de l’événement.

 

 

Vous souhaitez assister à l’événement?

Si vous comptez participer à SéQCure, les organisateurs de l’événement vous offrent un rabais de 100$ pour y accéder, valide jusqu’au 28 mars 2019 à 23h45! Vous n’aurez qu’à ajouter le code promotionnel « SeQCure-Cyberswat-article-6574 » au moment de l’inscription.

Pour avoir tous les détails de cette journée, nous vous invitons à aller visiter le site de l’événement ou encore sa page Facebook.

Nous espérons que vous avez aimé cette entrevue et n’hésitez pas à nous contacter  si vous avez des questions, ou encore mieux, venez nous visiter à notre kiosque pendant l’événement !

On espère vous voir le 8 avril prochain!

Nouvelles règles relatives aux atteintes à la vie privée au Canada : entrevue avec une avocate spécialisée

Saviez-vous que depuis le 1er novembre 2018, de nouvelles règles relatives à la divulgation des incidents de sécurité impliquant des renseignement personnels sont entrées en vigueur au Canada? Si votre entreprise est assujettie à la législation canadienne sur la protection des renseignements personnels[1], cela vous concerne directement.

Ces règles ont un impact certain sur la gestion des entreprises. Les dirigeants doivent y être sensibilisés et s’assurer de prendre toutes les mesures nécessaires pour s’y conformer.

Pour faire le point sur ces nouvelles règles, Kateri-Anne Grenier, avocate associée spécialisée en litiges commerciaux et protection de la vie privée au cabinet Fasken, a répondu à nos questions. Voici tout ce que nous avons appris lors de cette entrevue.

 

Kateri-Anne, avant d’aller plus loin sur les récents changements législatifs, pouvez-nous nous en dire plus sur votre parcours?

Je suis diplômée de la faculté de droit à l’Université de Laval, et membre du Barreau depuis 2002. Lorsque la Loi sur la Protection des Renseignements Personnels et les Documents Électroniques (LPRPDE) est entrée en vigueur au début des années 2000, on a observé un essor dans le domaine de la protection de la vie privée au Canada et une prise de conscience, chez les citoyens et les entreprises, de l’importance d’assurer la protection des renseignements personnels.

Cet essor, accompagné d’importants développements technologiques, a aussi vu naître la loi anti-pourriels (début des années 2010). Dès le début des années 2010, le parlement fédéral a reconnu l’importance de mettre à jour la LPRPDE, de l’adapter aux réalités du monde des affaires et du commerce électronique. Le Canada a toujours, également, souhaité se positionner comme leader et conserver une équivalence juridique avec l’Europe vu l’importance du transfert de données à l’international.

Après plusieurs années de travaux, des amendements à la LPRPDE ont été adoptés, complétés par des règlements. Cette dernière phase réglementaire introduit la déclaration obligatoire des atteintes aux mesures de sécurité. Les incidents de cyber sécurité (intrusions, vol de données, demandes de rançon, fraudes) sont en constante croissance et touchent de plus en plus d’entreprises. Dans le cadre de ma pratique, j’interviens fréquemment dans le feu de l’action pour conseiller des entreprises qui subissent des cyber-attaques.

Je travaille également en amont pour amener les entreprises à se structurer et élaborer leur plan de réponse en cas d’attaque ou d’incidents. Elles doivent avoir les bons réflexes lorsqu’elles sont confrontées à des incidents de sécurité. Comme spécialiste des litiges, je les aide aussi à se prémunir et se défendre contre des recours en responsabilité découlant de leur gestion des renseignements personnels, incluant des recours collectifs.

 

Entrons maintenant dans le vif du sujet : pouvez-vous nous parler des nouvelles règles applicables aux entreprises canadiennes dans le cadre d’atteintes aux mesures de sécurité?

Ces nouvelles règles ont été introduites par des amendements à la LPRPDE en 2015 (Projet de loi S4), et complétées par un long processus d’adoption de règlements, ce qui a repoussé leur entrée en vigueur au 1er novembre 2018.

En vertu de ces dispositions, les organisations sont tenues d’informer (1) les personnes visées et (2) le Commissariat à la protection de la vie privée du Canada des atteintes à la vie privée, dans certaines circonstances précises.

À moins d’une interdiction prévue dans la loi, l’organisation doit aviser les personnes visées et déclarer les atteintes à la protection des données personnelles au Commissariat dès que possible, en respectant les modalités prescrites, s’il est raisonnable de croire que l’atteinte présente « un risque réel de préjudice grave à l’endroit d’un individu ».

La définition de « préjudice grave » aux termes de la LPRPDE comprend, parmi d’autres préjudices, l’humiliation, le dommage à la réputation ou aux relations, le vol d’identité, des pertes financières, atteinte au dossier de crédit, possibilité de perte d’emploi etc.

Afin de déterminer s’il existe un « risque réel », il faut considérer le degré de sensibilité des renseignements personnels en cause, la probabilité que les renseignements soient utilisés de manière abusive et tout autre élément prescrit. Le Règlement n’identifie aucun autre facteur, toutefois le Commissariat a publié des lignes directrices à cet égard.

Lorsqu’un incident se produit, il faut prendre en compte le degré de sensibilité des données en jeu, ainsi que la probabilité que ces dernières puissent être utilisées à mauvais escient.

Il s’agit aussi de comprendre l’origine de l’incident : est-ce un acte volontaire, quel individu aurait pu se saisir des renseignements et à quelles fins? Si la victime peut agir afin de réduire les risques, cela penche en faveur d’une divulgation rapide, le but ultime étant toujours de minimiser au maximum les répercussions possibles pour la personne et aussi, de garder le lien de confiance entre l’entreprise, sa clientèle, ses employés et le public. Une atteinte aux mesures de sécurité peut toucher tout le monde, même des entreprises qui ont mis en place des systèmes de défense sophistiqués et qui ne sont pas négligentes dans leur gestion des renseignements personnels. Les pirates informatiques ont recours, dans certains cas, à des technologies capables de déjouer les systèmes de défense, et il ne faut pas oublier le facteur humain : un seul employé qui clique sur une pièce jointe d’un courriel contaminé peut offrir une porte d’entrée à un virus. Dans la majorité des cas, les entreprises ont tout intérêt à faire face à la situation de manière proactive et transparente.

Afin de ne pas créer de vague de panique ou laisser place aux spéculations, il est recommandé, avant de faire des déclarations publiques ou de notifier les autorités, d’être en possession des faits et d’avoir établi une voie de passage vers une solution. Les avocats spécialisés et les experts en sécurité jouent un rôle actif dans l’investigation, de manière à pouvoir ensuite identifier les risques, orienter les actions stratégiques à poser et effectuer les divulgations requises.

 

Que risque-t-on si l’on ne se conforme pas à la législation?

La loi prévoit des seuils de pénalités par la procédure sommaire (jusqu’à 10 000$) et par acte d’accusation (jusqu’à 100 000$).

Les textes réfèrent à une intention de commettre une infraction, ce qui sera sujet à interprétation.

Toutefois, au-delà de ces sanctions prévues dans la loi, nous avisons nos clients qu’ils doivent avant tout considérer le risque d’interruption d’affaires, de perte de clientèle et de recours civils, notamment la possibilité pour les victimes d’une atteinte à la vie privée d’utiliser la procédure de recours collectif. Les risques financiers et réputationnels sont alors très importants. La réaction d’une entreprise face à une cyber-attaque aura une importance capitale vis-à-vis ses clients et face au public.

 

Certaines provinces telles la Colombie-Britannique, l’Alberta et le Québec disposent déjà de lois équivalentes en matière de protection de la vie privée qui remplace l’application de la législation fédérale en matière de vie privée. Les entreprises œuvrant dans ces juridictions sont-elles concernées?

Les entreprises fédérales, notamment les banques, certaines entreprises de télécommunications ou agissant dans un secteur d’activité en lien avec le transport maritime, aérien ou encore les stations de radio diffusion, même si elles œuvrent uniquement au Québec, sont assujetties d’office à ces règles.

Quant aux autres entreprises, il subsiste encore un certain flou quant à l’application de ces règles vu la législation provinciale spécifique. Par contre, une entreprise qui a des activités à l’extérieur du Québec qui impliquent la collecte, la détention ou la communication des renseignements personnels à l’extérieur du Québec sera vraisemblablement soumise à ces règles, minimalement pour les situations visant ces renseignements personnels.

 

Doit-on avertir la police?

La loi oblige la divulgation au Commissariat fédéral à la protection de la vie privée du Canada. L’opportunité d’enclencher une enquête policière en parallèle de l’incident doit être évaluée au cas par cas.  On va alors tenir compte de plusieurs facteurs tels la nature de l’incident, le temps dont dispose l’entreprise pour solutionner la difficulté et l’impact de la démarche sur la réduction ou l’atténuation du préjudice qui pourrait être causé aux personnes concernées. Soulignons aussi que ces nouvelles mesures obligent de donner avis à toute autre organisation ou institution gouvernementale, si tel avis peut réduire le risque de préjudice pouvant résulter de l’atteinte ou atténuer ce préjudice.

Pour résumer, quelles mesures pratiques les entreprises peuvent-elles mettre en place pour se conformer aux nouvelles règles entrées en vigueur le 1er novembre?

Les entreprises assujetties doivent savoir qu’elles sont maintenant obligées de tenir un registre relatif aux atteintes aux mesures de sécurité pendant au moins 24 mois suivant la date à laquelle l’entreprise conclut que l’atteinte a eu lieu. Noter que cette exigence s’applique à toutes les attaques et non seulement à celles qui ont nécessité une divulgation, vu l’existence d’un risque réel de préjudice grave. Dans tous les cas, les informations contenues au registre doivent permettre au Commissariat de savoir quelles atteintes ont fait l’objet de divulgation et en l’absence de telle divulgation, les motifs au soutien. Le Commissariat peut demander la communication du registre, entamer une enquête, demander un audit et même rendre le registre public si l’intérêt public l’exige.

Nous invitons aussi les entreprises à se positionner sur l’application de ces règles par rapport aux renseignements personnels qu’elles collectent, détiennent ou communiquent. Elles devraient aussi évaluer leur capacité de détection des incidents. Des firmes spécialisées peuvent mener des tests d’intrusion et il nous est arrivé de mener une opération de simulation d’incident de A à Z pour des clients afin de les conseiller en sécurité informatique. Au-delà de l’aspect technologique, la formation des employés est très importante. Les entreprises devraient en profiter pour mettre à mettre à jour leurs plans d’intervention en cas d’incidents et revoir leurs ententes avec leurs fournisseurs lorsqu’elles confient la gestion de renseignements personnels à l’externe. Finalement, nous leur conseillons de réviser et comprendre leur couverture d’assurance actuelle en matière de cyber risques. Cela leur permettra de déterminer si celle-ci les couvre adéquatement pour les coûts qui découleront des obligations imposées par les nouvelles règles de divulgation.

Il est très important de s’entourer à l’avance des bons spécialistes : cabinet d’avocats, firme en cybersécurité de gestion d’incident, firme de communication et assureur.

 

Notre entrevue vous a interpellé et vous souhaitez en savoir plus? N’hésitez pas à nous contacter ou encore à contacter Kateri-Anne Grenier.

Pour une analyse détaillée des nouvelles règles et répercussions à l’intention des entreprises en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE »), vous pouvez consulter le bulletin intitulé Nouvelles règles importantes en matière de déclaration obligatoire d’atteinte à la vie privée et de tenue de registres au Canada.

 

Si vous souhaitez mettre en place ou renforcer vos actions de préventions de risques en cybersécurité, nous sommes là pour vous conseiller. Contactez-nous dès maintenant.

[1] Loi sur la protection des renseignements personnels et les documents électroniques

Catégorisation des actifs: la recette pour bien évaluer la valeur de votre entreprise

Aujourd’hui, nous aimerions vous parler d’un de nos sujet préférés car il fait vraiment partie des incontournables en matière de sécurité informatique : la catégorisation des actifs.

Pour vous offrir la meilleure compréhension possible, Martin M. Samson, consultant en conformité et sécurité chez Groupe Cyberswat, a accepté de faire un survol du sujet. Cette entrevue a donc pour but de vous informer sur la catégorisation des actifs, ce qu’elle signifie, les grands principes, et son importance en matière de sécurité de l’information.

Pour débuter, nous aimerions vous présenter davantage Martin.

Martin est un professionnel en sécurité et bien connu du marché québécois, CGEIT, CISM, CRISC et ISO 27001 lead auditor. Il possède une vaste expérience en gestion de projets informatiques.
Il est de plus très familier avec les contextes de l’organisation privée, gouvernementale et bancaire, et est titulaire d’un diplôme universitaire de 2e cycle à la faculté d’administration de l’Université de Sherbrooke en «Gouvernance, audit et sécurité des technologies de l’information».

En bref, on peut dire que la sécurité de l’information en entreprise, c’est vraiment sa tasse de thé. Voici donc ce qu’il a à nous dire sur la catégorisation des actifs.

Martin, peux-tu nous parler un peu des projets dans lesquels tu as été impliqué au cours des dernières années?

J’ai travaillé, dans les dernières années, auprès de plusieurs clients sur des mandats en lien direct avec la catégorisation des actifs. Mon rôle a été d’implémenter ou d’améliorer/optimiser les méthodes de catégorisation des actifs, afin que la gestion de la sécurité soit plus rentable pour les entreprises.

J’ai aussi participé à l’élaboration d’un système de catégorisation des actifs très novateur dans le domaine du transport.

En terme de taille d’entreprises, j’ai surtout travaillés avec des grandes entreprises. Il y a cependant un projet chez Cyberswat visant à simplifier la façon de catégoriser l’information afin que le tout soit réalisable également en PME.

Peux-tu maintenant nous aider à définir cette notion qu’est la catégorisation des actifs?

 La catégorisation des actifs représente la base de la sécurité de l’information. C’est grâce à elle que l’on va réussir à investir le budget de sécurité de façon adéquate. En réalisant cette catégorisation, on identifie les systèmes et données qu’ils contiennent et les classer par ordre d’importance. Les plus importants, surnommés les « Crown Jewells », doivent être très sécurisés.

Il faut savoir aussi que les systèmes et données les plus importants qui doivent être protégés en priorité varient d’une entreprise à une autre. On n’accorde pas la même importance aux mêmes données que l’on soit une PME ou une grande entreprise par exemple. Il y aura également des ajustements selon le type de produit ou service que l’on vend. Les aspects légaux de chaque PME peut faire varier les besoins de sécurisation. C’est pourquoi ils doivent être tenus en compte lors de l’exercice de catégorisation.

Quels sont les grands principes reliés à la catégorisation des actifs?

Le premier principe serait de regarder les données en terme de Disponibilité, Intégrité, Confidentialité (DIC), et évaluer les conséquences à prévoir si ces critères de données n’étaient pas remplis. On va se demander par exemple : que se passerait-il si ma donnée n’était plus intègre/confidentielle/disponible? L’entreprise risquerait-elle des poursuites? Un compétiteur serait-il en possession d’information lui donnant un avantage?

Voici un exemple de la manière dont on peut présenter la cote de catégorisation en fonction des trois composantes de la sécurité :

On attribue alors un code à chaque système de données qui va l’identifier selon son importance et les composantes DIC (1 pour le moins important, 4 pour un système ayant un impact très élevé). Chaque code donne une indication sur les mesures à prendre pour arriver au niveau de sécurité adéquat. Plus la cote de catégorisation sera élevée, plus on voudra mettre en place des mécanismes de sécurité qui permettront de protéger l’actif adéquatement.

Exemple de cote de Catégorisation :

On va aussi établir des paramètres minimaux de sécurité nécessaires si un nouveau système est mis en place afin de s’assurer que les données de ce dernier soient bien sécurisées dès le départ.

Enfin, le dernier principe est de s’assurer que la méthode soit reproductible. On s’assure ainsi que la catégorisation des actifs soit faite de manière uniforme dans tous les systèmes.

Est-ce important de faire une catégorisation des actifs avant l’analyse de risques?

 En un mot : oui!

Une bonne catégorisation des actifs est vraiment à la base de la sécurité de l’information. Pour pouvoir investir là où c’est le plus rentable et nécessaire, il faut exécuter cette catégorisation au préalable. Sinon, le risque global augmente et les pertes monétaires pourraient être élevées en cas d’incident.

En catégorisant les actifs au départ, on permet d’investir à la bonne place. Ainsi, on minimise les risques et on réduit les coûts d’analyse de risques.

Qui dans l’organisation est responsable d’évaluer la valeur des systèmes et données qu’ils contiennent?

C’est au propriétaire des systèmes de réaliser une évaluation DIC. Une fois cette étape complétée, elle sera validée par le responsable de la sécurité de l’information. Ce dernier se doit de garder un registre centralisé (registre d’autorité).  Le registre d’autorité regroupe tous les systèmes de l’entreprise avec le code DIC qui y est rattaché.

La catégorisation des actifs est un outil de sécurité « vivant ». Il faudrait la mettre à jour à chaque phase de développement d’un système (ex : migration de données sur le Cloud). Elle doit évoluer en même temps que les systèmes.

Pour conclure, la catégorisation des actifs permet d’établir la valeur des systèmes et des données qui y sont contenues. Il apparait en effet impossible de protéger quelque chose adéquatement si au départ on n’a aucune idée de sa valeur!

Et si la protection comporte des failles, c’est là qu’on s’expose à des coûts à court, moyen et long terme.

Si vous souhaitez à votre tour mettre en place ou optimiser une méthode de catégorisation des actifs pour votre entreprise, contactez-nous!

Enfin, nous vous annonçons en avant-première que Martin sera présent en tant que conférencier le 7 juin prochain, lors de l’événement IT Connect du Champlain College Saint-Lambert. On vous en reparlera davantage au cours des prochains mois!

Hackfest 2018 – Entrevue avec le cofondateur Patrick Rousseau Mathieu

Cyberswat sera partenaire Or lors du Hackfest​, du 2 au 4 novembre 2018. Cela fait déjà plusieurs années que Cyberswat participe à cet événement qui est très important pour nous.

Pour l’occasion, nous avons rencontré le cofondateur Patrick Rousseau Mathieu afin qu’il explique dans ses mots pourquoi le Hackfest est un incontournable dans le milieu québécois de la sécurité de l’information et en quoi l’édition de cette année se démarquera des précédentes.

Spécialisé en sécurité applicative, Patrick s’implique dans le domaine de la sécurité informatique depuis plusieurs années, anime de multiples conférences sur la sécurité du Web et gère l’équipe réalisant les tests d’intrusion à Duo Security. Avec tout ça, il prend le temps de s’occuper de l’événement du Hackfest depuis maintenant 10 ans.

Qu’est-ce qu’est le Hackfest et en quoi est-ce que cet événement se démarque?

Le Hackfest est un organisme sans but lucratif et le plus grand événement en sécurité informatique au Canada. Cette année, on attend plus de 1000 personnes sur place! Il y a d’abord des conférences sur tous les sujets d’actualité du moment. Et puis, il y a les compétitions qui ont fait la renommée de l’événement. Chaque soir, les participants entrent en action et peuvent tester différentes failles des entreprises. En revanche, ce n’est pas juste ça. Le Hackfest, c’est aussi des rencontres mensuelles, un événement en juin et finalement, un podcast en français ouvert à tous, même aux moins initiés. L’émission traite de nouvelles de la sécurité et vulgarise certains sujets sensibles. L’ensemble de ces activités fait en sorte que le Hackfest se démarque des autres événements de sécurité.

Quelle est l’importante des partenaires comme Cyberswat pour vous aider à financer l’événement?

Comme l’événement est géré par un organisme sans but lucratif, un gros pourcentage de notre rentabilité passe par l’aide des partenaires, surtout si on veut que l’entrée reste accessible à la communauté. Par contre, ce n’est pas un spectacle de fournisseurs comme on peut le voir dans d’autres gros événements. Les partenaires ne sont pas là pour afficher leurs gros kiosques; ils sont là, car ils veulent montrer qu’ils font partie de la communauté et cela donne toute une autre ambiance. On ne trouve pas que de grosses entreprises, mais bien des organisations locales qui ont vraiment à cœur de s’impliquer pendant ces 3 jours. D’ailleurs, on en voit souvent plusieurs qui participent aux concours de piratage. Ils ne sont pas là juste pour la publicité.

Est-ce qu’il y a une thématique particulière cette année? Quelles sont les conférences à ne pas manquer?

Cette année, on célèbre nos 10 ans. Donc c’est sûr que tout au long de l’événement, on va mettre en avant la décennie qui vient de se passer avec des jeux rétro et un historique du Hackfest depuis le début. On va aussi animer une conférence au début de l’évènement qui reviendra sur l’origine du Hackfest. Le reste de l’événement restera libre par contre. On n’oblige pas les conférenciers à parler de certains sujets.

Pour ce qui est des conférences à ne pas manquer, je pourrais en nommer trois :

 

Selon vous, quelles sont les principales raisons pour que les entreprises et employés viennent au Hackfest?

Je pense que c’est avant tout pour apprendre. On peut y observer toutes sortes de techniques et on écoute des conférences sur des sujets vraiment variés.

Le Hackfest, c’est également important pour rencontrer les personnes de l’industrie. Du côté recrutement, c’est sûr que c’est gagnant d’être sur place. Et en général, c’est toujours plaisant de rencontrer des gens du même milieu que soi, échanger sur des sujets qui te concernent, etc.

Ce n’est pas juste réservé aux experts techniques. On voit de plus en plus de profils variés du gouvernement et de grandes entreprises. Ils veulent être préparés. On aimerait aller chercher plus de PME qui ne sont peut-être pas encore assez sensibilisées aux risques pour venir dans ce genre d’événements.

Cette année, on pousse encore plus loin le concept de « villages », c’est-à-dire des zones de démonstration sur des thématiques précises. Il y a aura six villages en tout :

  • Ingénierie sociale
  • Réalité virtuelle
  • Internet des objets
  • RFID
  • Soudure
  • Serrure

Ce sont des emplacements thématiques où les participants peuvent se mesurer à divers défis fournis gratuitement par l’organisation du village, dans un grand esprit de collaboration.

Pour terminer, pouvez-vous nous en dire plus sur les concours sur place?

Les concours organisés sont vraiment quelque chose à voir, même si vous ne participez pas. Il y a un DJ sur place, des tables de poker et de blackjack… L’ambiance est unique. Cette année, on rajoute un défi pour nos 10 ans : il faudra trouver les failles les plus connues des 10 dernières années!

Sinon, le concours le plus grand public, c’est probablement celui sur l’ingénierie sociale. Sur scène, devant tout le monde, les participants doivent appeler de vraies entreprises et trouver des informations critiques. Ce sont des informations qui apparaissent mineures, mais mises ensemble, elles sont la clef pour accéder à quelque chose de plus gros. L’ingénierie sociale représente encore un gros défi de conscientisation.

 

À Cyberswat, nous avons bien hâte d’assister au Hackfest. En plus sur place, nous vous réservons un super concours dédié aux spécialistes en sécurité qui vous permettra d’aller assister au prochain Defcon à Las Vegas. Vous trouverez les règlements du concours directement sur place lors de l’évènement. N’oubliez surtout pas de venir nous rencontrer à notre kiosque, pour en savoir plus. En attendant, saviez-vous que nous offrions une multitude d’opportunités à salaire compétitif dans le domaine?  Cliquez vite ici pour comprendre pourquoi vous devriez absolument venir travailler à CyberSwat!

SANS FRAIS 1 877-777-6412

Assurance en cyberrisque

Vous êtes courtier en assurance et la cybersécurité est l’une de vos préoccupations? Vous cherchez à mieux comprendre les enjeux de sécurité de vos clients afin de mieux les conseiller? Nous pouvons :

Si vous avez une entente avec nous :

Gestion d'incidents de sécurité

Vous voulez être prêt en cas d’incident de sécurité dans votre entreprise? Vous cherchez un accompagnement dans la mise en place d’un plan de gestion d’incident afin d’en minimiser au maximum les conséquences? Nous pouvons :

Pour nos clients avec contrat de service:

Assurance en cyberrisque

Vous êtes courtier en assurance et la cybersécurité est l’une de vos préoccupations? Nous vous aidons à comprendre tous les enjeux de sécurité chez vos clients pour que vous puissiez leur offrir le meilleur service possible.

Client :

Courtier :

Sécurité des services infonuagiques

Ne prenez pas à la légère les enjeux de sécurité du Cloud! Avec nous, vous bénéficierez de la souplesse du Cloud tout en diminuant les risques. Vous et vos clients serez rassurés de savoir vos données en sécurité.

Gouvernance de la sécurité

La sécurité informatique doit faire partie des préoccupations de la direction de votre entreprise. La mise en place d’une politique de sécurité et de la catégorisation des actifs sont notamment des éléments importants d’une stratégie efficace en cybersécurité.

Sensibilisation à la sécurité

Saviez-vous que l’hameçonnage est le vecteur n°1 pour réaliser des fraudes dans les entreprises? Diminuez les risques d’être victime d’incidents de cybersécurité grâce à nos ateliers de sensibilisation spécialement conçus pour vos employés.

Nous mettons toujours l’accent sur la vulgarisation des concepts et des enjeux de sécurité

Service-conseil en cybersécurité

Votre entreprise recherche un accompagnement à plein temps pour la gestion de la cybersécurité? Faites appel à nous! L’un de nos précieux talents se fera un plaisir de venir travailler dans votre entreprise au quotidien.

Notre équipe est composée de conseillers en architecture de sécurité, d’analystes en sécurité, de conseillers en gouvernance, de spécialiste en Gestion des Identités et des Accès, de spécialiste en test d’intrusions, etc.

Sécurité des services infonuagiques

Ne prenez pas à la légère les enjeux de sécurité du Cloud! Avec nous, vous bénéficierez de la souplesse du Cloud tout en diminuant les risques. Vous et vos clients serez rassurés de savoir vos données en sécurité.

Évaluez les risques de votre entreprise

Protégez vos données les plus importantes et épargnez les coûts d’un incident de sécurité. Cyberswat vous aide à identifier les situations à risque et vous donne des recommandations concrètes et faciles à mettre en place.