Cette année, la 7ème édition du Portrait TI expose une statistique inquiétante : seules 54% des entreprises canadiennes ont instauré un plan de continuité des affaires. Ce constat paradoxal émerge d'une étude menée par Léger et le Groupe NOVIPRO, révélant que 22% des entreprises canadiennes déclarent avoir été victimes d'une menace informatique.
À travers une série de trois articles, NOVIPRO vous démontre l'importance d'un plan de continuité des affaires (PCA) et vous donne les clés du PCA :
- Cet article vous donnera un aperçu des fondamentaux pour élaborer un PCA
- Notre deuxième article vous fournit des conseils pour élaborer un PCA robuste grâce à une liste disponible gratuitement
- Notre troisième article vous expliquera l'importance de tester régulièrement son PCA [à venir]
Dans un monde où les activités des entreprises reposent de plus en plus sur les systèmes et les données numériques, le plan de continuité des affaires s'impose à toutes les sociétés. Roger Ouellet, directeur de la pratique de sécurité chez NOVIPRO, souligne :
« Les attaques informatiques constituent désormais un risque concret pour toute entreprise, quels que soient sa taille et son secteur. Une cyberattaque peut la priver soudainement de ressources informatiques ou de données qui sont nécessaires à ses activités », explique Roger Ouellet, directeur de la pratique de sécurité chez NOVIPRO. »
Il devient impératif pour toutes les entreprises d'établir des procédures et des stratégies assurant la résilience et la continuité des opérations en cas d'urgence ou de crise.
Les risques encourus par une entreprise sans plan de continuité des affaires sont multiples. En cas d'incident majeur, elle s'expose à :
- Des pertes financières importantes
- La perte de clients
- Des dommages à sa réputation
- Voire à la fermeture.
« Combien de temps une entreprise peut-elle maintenir ses activités si elle n’a plus accès, par exemple, au détail des commandes en cours, aux coordonnées de ses clients, au volume de ses stocks de marchandises ou aux informations nécessaires à la paie des employés ? Il faut se préparer à affronter ce genre de risques d’interruption d’activités en adoptant une stratégie de continuité des affaires. »
Retrouvez plus de statistiques en cybersécurité dans le
rapport gratuit Portrait TI, téléchargez-le ici !
Se protéger pour respecter la législation… et maintenir ses activités
Les brèches de sécurité qui provoquent une fuite de données peuvent avoir un impact financier, contractuel et légal important. Aux États-Unis, la National Cyber Security Alliance observe que 60 % des PME victimes d’une cyberattaque doivent fermer leurs portes dans les six mois suivants.
En septembre 2022, le Québec a mis en vigueur la loi 25, obligeant toutes les entreprises à signaler tout incident menaçant la confidentialité des données ou résultant d'une cyberattaque. Désormais, les entreprises sont tenues de notifier les personnes potentiellement touchées par une faille de sécurité exposant leurs données personnelles à des risques.
Dans cette même optique, le Canada cherche à renforcer la protection des renseignements personnels des consommateurs par le biais du projet de loi C-27.
Malgré ces avancées réglementaires, le Portrait TI met en lumière que seulement 43 % des entreprises canadiennes prennent l'initiative de communiquer avec leurs clients en cas de cyberattaques.
Les sociétés enfreignant la loi québécoise encourent des sanctions sévères :
- Des amendes pouvant atteindre 25 millions de dollars
- Voire un montant équivalent à 5 % de leurs recettes annuelles globales brutes pour les grandes et très grandes entreprises
Ainsi, adopter une approche transparente avec les consommateurs, conforme au plan de continuité d’affaires, revêt une importance capitale non seulement pour la réputation de votre entreprise mais aussi pour sa santé financière.
L'exemple à suivre : le plan de continuité des opérations du Groupe Master
L'accès sécurisé aux données revêt une importance cruciale pour les entreprises exploitant des systèmes de gestion intégrés (ERP). C’est notamment le cas du Groupe Master. Avec plus de 1300 employés, le leader canadien de la distribution en climatisation, en chauffage, en géothermie, en ventilation et en réfrigération, offre un exemple concret de gestion efficiente. Avec leur site d’achat en ligne et leurs centres de distribution qui alimentent une quarantaine de points de vente, Groupe Master se doit de rester opérationnel à tout moment.
« À cause de la vente en ligne et de nos centres de distribution ouverts la nuit pour préparer les livraisons du lendemain, nous sommes en activité 24 heures par jour, explique Martin-Charles Pilon, vice-président, technologies de l’information et numériques du Groupe Master. Je dois m’assurer que tous nos employés et nos partenaires ont accès, en permanence, aux outils technologiques et aux données dont ils ont besoin pour soutenir nos activités. »
Bien que l'entreprise n'ait pas connu d’incidents de sécurité par le passé, sa direction a choisi une approche proactive en élaborant un plan de continuité des opérations. En collaboration avec NOVIPRO, l'équipe TI de Groupe Master travaille avec les gestionnaires de différents départements pour identifier les ressources les plus critiques, fixer le niveau de sécurité avec lequel elles doivent être protégées et implanter des mesures de sécurité.
Martin-Charles Pilon souligne la vision stratégique de l'entreprise en matière de sécurité informatique : « J’ai la chance de faire partie d’une entreprise qui comprend la nécessité d’avoir des systèmes robustes et toujours disponibles. Notre comité de direction sait qu’il est d’importance stratégique de prendre les moyens nécessaires pour assurer la sécurité de nos systèmes d’information et de télécommunication. Nous devons nous tenir prêts à répondre à des pannes, à des catastrophes ou à des cyberattaques qui peuvent survenir à tout moment. »
La continuité des affaires : une responsabilité partagée dans l'entreprise
À l’instar du Groupe Master, chaque entreprise évolue aujourd’hui dans un écosystème complexe, où les échanges de données avec des fournisseurs, des partenaires et des clients sont fréquents. Dans ce contexte, il incombe à tous les services de l’entreprise de participer activement à l'évaluation des risques et à la mise en place de mesures appropriées en matière de protection, de défense, et de cyber résilience des données. Roger Ouellet souligne que, « En fin de compte, élaborer une stratégie de continuité des affaires mais également des opérations n’est pas un projet de technologies : c’est un projet d’entreprise dans lequel la haute direction et l’ensemble des unités d’affaires doivent s’engager. »
En résumé, la cybersécurité est l’affaire de tous.
Les points essentiels à considérer avant la conception d'un plan de continuité des affaires (PCA)
1. Quelles failles menacent votre entreprise?
Identifiez les risques et repérez les failles susceptibles de compromettre vos opérations. Explorez les menaces émergentes, les vulnérabilités systémiques, et les facteurs externes qui pourraient mettre en péril la sécurité de votre entreprise.
Cette analyse approfondie est cruciale pour établir un PCA robuste.
2. Comment les incidents impacteront votre entreprise ?
Cataloguez les répercussions financières, opérationnelles, et réputationnelles possibles. Évaluez les conséquences sur vos processus et identifiez des critères pour quantifier et qualifier ces impacts.
Cette liste guide la conception d'un PCA adapté à votre réalité.
3. Quelles stratégies privilégier pour rétablir les technologies et adapter les processus TI ?
Explorez des solutions concrètes pour restaurer vos technologies et ajuster vos processus en cas d'incidents. Identifiez les mesures de récupération à déployer, examinez les protocoles de restauration des données, et détaillez les actions spécifiques à entreprendre pour minimiser l'impact opérationnel.
Cette réflexion renforce la résilience de votre entreprise face aux perturbations.
4. Quel plan d’intervention faut-il mettre en place pour chaque urgence affectant le personnel, les visiteurs, etc. ?
Élaborez des plans d'intervention spécifiques à chaque urgence, mettant l'accent sur la protection du personnel, des visiteurs et autres parties prenantes.
Ces plans atténuent les risques et assurent une communication rapide et efficace tout au long de l'incident.
La suite de notre série d'articles sur le PCA
Deuxième article : Développer un PCA solide
Dernier article : Les tests à réaliser pour un PCA infaillible [à venir]
Besoin d'aide pour l'élaboration de votre PCA ?
Prenez rendez-vous avec Roger Ouellet
Découvrez nos services de conseils d'affaires