Nous vous parlions cet été de la nouvelle norme de sécurité du ministère de la défense américain, la Cybersecurity Maturity Model Certification (CMMC). Un cadre avec une échelle de maturité de la cybersécurité à cinq niveaux que les contractants peuvent utiliser pour s’évaluer et obtenir une certification. Cette démarche de certification en cybersécurité se généralise dans de nombreux pays, y compris pour les PME. Au Québec, les entreprises peuvent se faire aider par le volet certification du Programme d’innovation en cybersécurité du Québec (PICQ) de Prompt (lancé le 5 octobre).
La cybersécurité, un prérequis pour faire des affaires
Comme le précise un dossier paru cette semaine dans Les Affaires, « Différents ordres professionnels imposent à leurs membres des règles d’utilisation des technologies de l’information (TI). Plusieurs donneurs d’ouvrages incluent désormais des critères de sécurité informatique dans leurs appels d’offres, et la nouvelle Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, adoptée en septembre, rehausse la responsabilité des entreprises à ce sujet. Démontrer une conformité minimale en matière de cybersécurité est donc en voie de devenir un prérequis pour faire des affaires. »
L’article cite l’exemple de la PME technologique B-Temia, basée à Saint-Augustin-de-Desmaures, devenue le fournisseur principal de l’exosquelette ONYX pour l’équipementier militaire Lockheed Martin. Il a dû répondre à des questions de cybersécurité basées sur les prérequis du département de la Défense.
Autres exemples avec l’entreprise du secteur pharmaceutique TI Présent qui doit respecter le Health Insurance Portability and Accountability Act (HIPAA). Et avec Infrastructures technologiques Québec qui dans un appel d’offre pour des services d’infonuagiques a demandé aux soumissionnaires d’avoir une certification reconnue internationalement (soit ISO 27001 ou SOC 2 Type 2).
Les bases d’une certification en sécurité
La certification CyberSécuritaire Canada du gouvernement fédéral peut être un bon point de départ pour sécuriser l’environnement informatique d’une entreprise. Cette norme est réservée aux PME et se décline en 13 actions, dont «élaborer un plan d’intervention en cas d’incident », ou encore « créer des identifiants robustes».
Les PME peuvent aussi se faire accompagner par des sociétés de conseil. Y compris avec le volet certification du Programme d’innovation en cybersécurité du Québec (PICQ) de Prompt, lancé le 5 octobre. Pour la 2ème vague de son programme PICQ, mandaté par le ministère de l’Économie et de l’Innovation du Québec, PROMPT dispose cette fois de 27,5 millions de dollars pour financer mais aussi certifier des projets en lien avec la cybersécurité.
Maxime Clerk, directeur du PICQ chez Prompt : « Les cybercriminels s’attaquent à toute la chaîne d’approvisionnement pour atteindre leurs cibles, incluant les petits fournisseurs. Il faut poursuivre l’innovation, mais également soutenir les processus de certification si nous voulons que les entreprises québécoises restent pertinentes et développent de nouveaux marchés. En unissant nos expertises et nos réseaux, nous souhaitons consolider et faire croître la filière de la cybersécurité québécoise et ses retombées. La croissance économique du Québec en dépend, car les entreprises de toute taille sont aujourd’hui confrontées aux enjeux de cybersécurité. »
