Une nouvelle législation, attendue pour 2025, obligera les entreprises qui souhaitent soumissionner ou travailler sur certains contrats du gouvernement fédéral à satisfaire au préalable aux normes du Programme canadien de certification en cybersécurité (PCCCS). Selon Scott Birmingham, CET, CIM et consultant principal chez Birmingham Consulting, ces changements affecteront les entreprises de divers secteurs.
« Le CPCSC touchera toutes les entreprises qui souhaitent soumissionner ou travailler sur certains contrats de défense du gouvernement du Canada. Elles devront désormais être certifiées en vertu du CPCSC avant de travailler pour le ministère de la Défense », a-t-il déclaré.
Trois niveaux de certification
Les nouvelles exigences, qui visent à fournir une protection supplémentaire aux informations contractuelles non classifiées du gouvernement fédéral, sont divisées en trois niveaux de certification :
- Niveau 1 : nécessite des auto-évaluations annuelles de la cybersécurité
- Niveau 2 : nécessite des évaluations externes de cybersécurité réalisées par un organisme de certification accrédité
- Niveau 3 : nécessite des évaluations de cybersécurité de haut niveau menées par le ministère de la Défense
« Afin de couvrir toutes les bases, il est important de collaborer avec votre responsable de la sécurité des informations (CISO) ou une entreprise qui fournit des services de CISO virtuel (vCISO), afin de procéder à des évaluations des risques, des analyses et la validation des contrôles techniques, l’élaboration et l’exécution de la stratégie, des rapports au niveau de la direction, et plus encore – tout cela contribue à l’obtention de la certification CPCSC », explique Scott.
Se préparer aux cyberincidents
Pour toute entreprise, que le CPCSC soit requis ou non, il est essentiel de donner la priorité à la sécurité des informations. Comme l’explique Scott, il est essentiel de disposer d’un plan de réponse aux incidents.
« Le plan de réponse aux incidents est un document procédural qui décrit ce que votre entreprise doit faire en cas d’incident informatique. Vous disposez probablement d’un plan écrit pour les urgences en matière de santé et de sécurité. Pourquoi pas pour les cyber-urgences ? », explique-t-il. « Les entreprises doivent s’assurer qu’elles disposent d’un plan de réponse aux incidents complet, avec des révisions et des mises à jour annuelles, qui peuvent être testées efficacement au moyen d’exercices sur table. »
Cyberattaque vs. cyberincident, cybersécurité vs. sécurité de l’information
En plus d’avoir un plan d’urgence en place, les organisations doivent également comprendre la terminologie très spécifique utilisée en cybersécurité pour éviter les faux pas.
« Il est essentiel d’utiliser la bonne terminologie dans vos politiques de sécurité des informations. Par exemple, vous recevez un courrier indésirable et cela s’appelle un événement. Vous répondez à ce courrier indésirable et envoyez des informations que vous n’auriez pas dû envoyer, ce qui devient alors un incident. Ces informations contenaient-elles des éléments privés ou confidentiels ? Il s’agit alors d’une violation. Le terme « violation » a des implications juridiques très différentes de celles d’un événement ou d’un incident », explique Scott.
Il poursuit : « Connaître la différence entre la cybersécurité et la sécurité de l’information est également plus important que vous ne le pensez. La cybersécurité ne fait référence qu’aux contrôles et protections techniques qui protègent les réseaux et les données – nous les appelons les « boutons et cadrans ». La sécurité de l’information est la gestion inclusive des contrôles techniques (aussi appelés cybersécurité) ainsi que des contrôles administratifs et physiques. Limiter votre protection et votre préparation à la seule cybersécurité rend les organisations vulnérables et peut entraîner une responsabilité accrue en cas d’incident informatique. »
Pour mieux comprendre l’importance des nouvelles exigences du CPCSC, effectuez une auto-évaluation de vos politiques et systèmes de sécurité actuels. Il est également recommandé de souscrire une cyberassurance suffisante pour être préparé à l’impact financier d’un incident – quantifiez votre responsabilité à l’aide de ce calculateur gratuit.