Externaliser la cybersécurité? Externaliser la cybersécurité? Externaliser la cybersécurité?

Depuis le début de la pandémie de COVID-19, les cybercriminels sont très actifs, d'où l'importance pour les entreprises privées de faire appel à des professionnels en cybersécurité pour mieux identifier leurs risques et ainsi se protéger plus adéquatement. Avec la rareté présente de la main-d'œuvre, qui affecte entre autres l'industrie des technologies de l'information (TI), les entreprises ont avantage à externaliser certaines activités reliées à la sécurité. Ces changements peuvent d'ailleurs mener à des gains significatifs. Comment peuvent-elles s'y prendre?

Afin d'explorer la question, j'en ai discuté avec Guillaume Clément, Associé, Services-conseils, Cybersécurité, de KPMG Canada et Président de KPMG Egyde Conseils inc. Notre conversation a été éditée pour en faciliter la lecture.

Valérie Houde : Pourquoi une entreprise souhaiterait-elle confier certaines responsabilités de cybersécurité à une firme externe?

Guillaume Clément : Avec la pénurie de main d'œuvre grandissante, il est de plus en plus difficile pour les entreprises, de combler leur besoin, notamment dans le domaine de la cybersécurité. Les gens possédant des connaissances approfondies sur le sujet sont rares par rapport aux besoins actuels. À moyen terme, je crois que cette réalité aura tendance à se maintenir. Une entreprise qui souhaite internaliser les tâches relatives à ce département, aurait beaucoup de difficultés dans le contexte actuel. Même si elle réussit à embaucher une ressource, elle aura probablement du mal à la retenir vu l'état du marché, mais aussi, il sera difficile de couvrir toutes les compétences requises pour répondre aux différents défis que rencontrent les entreprises.

L'impartition doit donc faire partie des orientations de l'entreprise pour combler les aspects de cybersécurité qu'elle ne couvre pas à l'interne. Cette dernière doit également évaluer à quel degré elle impartie ses activités, et quelles tâches seront visées, selon ses moyens et ses ambitions.

Valérie Houde : Une entreprise a-t-elle avantage à avoir des professionnels de la cybersécurité à l'interne?

Guillaume Clément : Dans la plupart des cas, il est clair qu'une entreprise doit disposer au minimum d'un ou de deux employés qui auront des responsabilités et des tâches liées à la cybersécurité. Ces derniers auront l'avantage de connaitre l'organisation et sa vision car ils seront impliqués dans les projets et ils feront avancer les dossiers à l'interne. C'est primordial, sans quoi les projets ne seront jamais menés à terme. Si les personnes dédiées à ces tâches maitrisent les notions de cybersécurité avec moins d'aisance, mais que l'intérêt est présent, une firme comme KPMG peut les épauler, les mentorer et les former. Il s'agit là d'un excellent moyen de pallier le manque de main d'œuvre qualifiée pour les services que vous souhaitez conserver à l'interne.

Valérie Houde : La taille de l'entreprise peut-elle influencer le degré d'impartition?

Guillaume Clément : La taille de l'entreprise peut en effet avoir un impact sur la stratégie d'impartition, mais aussi sur la complexité des processus qu'elle devra mettre en place.

Néanmoins, il ne faut pas faire l'erreur de croire qu'une grande entreprise aura tendance à moins externaliser ses processus. Ses défis seront seulement plus importants. Le contraire est aussi vrai. Dans les plus petites entreprises, il est possible qu'une stratégie clé en main soit nécessaire.

Valérie Houde : Quelles sont les tâches et fonctions qu'une entreprise a intérêt à impartir?

Guillaume Clément : Les entreprises vivent présentement des défis de recrutement et de rétention de main-d'œuvre. Elles doivent donc proposer des tâches intéressantes et stimulantes à leurs employés. Elles vont ainsi impartir les fonctions répétitives ainsi que celles qui présentent moins de valeur ajoutée pour leurs employés. Je pense par exemple aux services de surveillance 24/7, qui sont assez régulièrement externalisés.

Les tâches complexes et qui requièrent des connaissances pointues sur un sujet spécifique ont également avantage à être confiées à une firme externe. Le plus bel exemple : l'enquête qui doit être menée à la suite à un cyber incident. Certes, il peut être excitant de « jouer les Colombo », mais les entreprises ne peuvent se permettre de tourner les coins ronds dans ce genre de situation, notamment lors d'une intrusion informatique. Il y a également tout l'aspect de la conservation de la preuve à considérer.

Valérie Houde : À l'opposé, quelles sont les responsabilités qu'une entreprise a avantage à conserver à l'interne?

Guillaume Clément : Il y a des tâches opérationnelles et tactiques, qui demandent de nombreuses connaissances et beaucoup d'expérience. Elles sont particulièrement intéressantes pour le personnel en place, parce qu'il n'y a pas de redondance. Par exemple, si une firme externe identifie les failles de sécurité d'une entreprise, c'est le responsable en cybersécurité à l'interne qui en prend ensuite connaissance et qui détermine les priorités. Il collabore avec ses collègues pour corriger ces lacunes et gérer les risques.

Selon ses qualifications, cette personne peut aussi optimiser les configurations, améliorer les outils et les stratégies en place, en plus de faire un peu d'architecture et de conception. Elle est en quelque sorte le chef d'orchestre qui collabore avec les partenaires externes, qui détermine les priorités, trouve de nouvelles idées et solutionne les problèmes en fonction du contexte d'affaires.

Valérie Houde : Les entreprises ont de plus en plus recours aux différentes technologies. À quels défis risquent-elles de se confronter suite à cette transition?

Guillaume Clément : Par leur utilisation grandissante de diverses technologies avancées, les entreprises prennent conscience de la difficulté à gérer les outils qui s'y rattachent, comme les alertes et les problèmes techniques. Parfois, certaines solutions avancées, peuvent bloquer des processus nécessaires aux activités de l'entreprise.

C'est en quelque sorte un cercle vicieux. Plus l'entreprise investit en cybersécurité, plus cela génère du travail et des responsabilités. Cependant, elle est par le fait même, mieux équipée pour détecter les activités frauduleuses et réagir en cas d'incident.

Autrement dit, plus une entreprise est protégée contre les cyberattaques, plus elle a besoin de main-d'œuvre et de professionnels en la matière. Elle n'a donc pas le choix d'impartir certaines responsabilités si elle n'a pas les ressources internes pour soutenir sa croissance et ses besoins en matière ce cybersécurité.

Valérie Houde : Comment choisir une firme externe spécialisée en cybersécurité?

Guillaume Clément : Les entreprises doivent être prudentes : il y a des fournisseurs de services qui se disent spécialisés en cybersécurité, mais qui n'ont pas toutes les compétences requises. Voici quelques éléments à considérer dans le choix de vos collaborateurs en matière de cybersécurité.

D'abord, il est nécessaire d'évaluer l'étendue de l'offre de services de la firme. Combien d'employés font partie de l'équipe et quelles sont leurs compétences? Il est pertinent de considérer votre partenaire de cybersécurité en fonction des mandats déjà réalisés auprès d'entreprises similaires à la vôtre ou évoluant au sein de votre industrie. Finalement, il est conseillé de demander des soumissions à au moins trois firmes afin de pouvoir les comparer.

Il est à noter qu'il y a des firmes spécialisées et des firmes généralistes en la matière. Par exemple, certaines offrent seulement des services de surveillance, mais ne font pas d'architecture infonuagique. Pour une entreprise qui cherche à externaliser certaines tâches, il est possible qu'elle doive faire appel à plusieurs firmes pour répondre à ses besoins actuels et futurs.