Quelle que soit la taille de l’organisation, les répondants expriment généralement le désir de disposer de meilleures ressources en cybersécurité, qu’il s’agisse de financement, de personnel ou de compétences techniques. Dans les plus petits organismes, le service de TI se compose de trois ou quatre employés qui accomplissent avec peine les fonctions essentielles de la TI et n’ont que peu de temps ou de compétences à consacrer à la gestion responsable de la cybersécurité. Tant bien que mal, ils mettent en œuvre des méthodologies très rudimentaires de cybersécurité dans leurs milieux technologiques.

Le manque de professionnels qualifiés en cybersécurité aggrave encore le problème. On constate actuellement sur le marché une forte demande d’experts en sécurité de niveau supérieur. Pour les organismes de petite taille qui ne sont pas situés à proximité ou à l’intérieur d’une des régions densément peuplées de la province, le coût et le manque de personnel talentueux dans leurs localités représentent d’importants obstacles à l’obtention de ces compétences. Un modèle régional de partage de services pourrait être la seule solution viable pour permettre à ces acteurs plus modestes d’accéder à des compétences techniques limitées sur le marché.

Même dans les grands organismes, le financement de la cybersécurité (et de la TI en général) n’est pas priorisé autant qu’il serait opportun ou juste de le faire, en raison de la concurrence acharnée des autres besoins primordiaux pour les budgets. Cela dit, les principaux acteurs sont certainement mieux placés pour répondre aux exigences de la gestion responsable de la cybersécurité, étant donné l’importance de leur personnel et des budgets dont ils disposent. Malgré cela, il serait peut-être possible d’améliorer l’efficience en déployant des outils d’automatisation destinés aux équipes de cybersécurité qui consacrent actuellement une grande partie de leur temps à exécuter des tâches et des procédés manuels.

Comme le problème des contraintes liées aux ressources, la question des systèmes patrimoniaux est un thème commun parmi tous les représentants des membres du secteur parapublic. L’incapacité de remplacer des systèmes patrimoniaux désuets et non assistés complique énormément la gestion efficace de la cybersécurité. Certains systèmes patrimoniaux sont dépourvus de fonctions de sécurité standards telles que le contrôle de l’accès, l’intégrité des données, l’authentification, le verrouillage de mots de passe et les journaux d’audit. L’utilisation de logiciels commerciaux non assistés signifie que les fournisseurs n’offrent plus de rustines de sécurité permettant de corriger les nouveaux points vulnérables sur le plan de la sécurité. De même, la « dette technique » résultant des logiciels personnalisés mal codés contribue aux risques pour la cybersécurité lorsque les développeurs de ces logiciels n’ont pas reçu la formation appropriée pour écrire des codes sécurisés. En outre, le développement de logiciels de qualité inférieure crée des complexités, entrave l’amélioration continue et pose un très grand obstacle à la gestion efficace et sécurisée des systèmes de TI.

Le remplacement des systèmes patrimoniaux et l’acquittement de la dette technique ne sont pas des tâches insignifiantes. Cette mesure exige un engagement rigoureux et formel en matière de gestion des biens de TI, de manière à répertorier tous les biens informatiques (logiciels et matériel), à fixer des durées utiles prévues et à prévoir des dates de mise à niveau et/ou de remplacement. L’exécution des activités de mise à niveau ou de remplacement doit aussi s’effectuer en temps utile et selon un cycle vertueux. Il est essentiel de maintenir une bonne hygiène en matière de TI pour réduire les risques liés à la cybersécurité. Cependant, une telle démarche nécessite beaucoup d’efforts, une grande discipline, une feuille de route stratégique bien conçue, un financement régulier et suffisant, des ressources compétentes et la coopération des clients commerciaux qui sont les utilisateurs primaires du système. Néanmoins, cela devrait constituer le but de tout service de TI.

Un grand nombre de représentants du secteur parapublic se disent mécontents du manque perçu de soutien et de compréhension pour les initiatives de cybersécurité dans leurs organismes respectifs. Lorsqu’ils demandent l’affectation de ressources supplémentaires ou l’augmentation du budget pour les initiatives de cybersécurité, il leur arrive souvent de se heurter au manque de connaissances et de compréhension des principaux décideurs en ce qui concerne les risques et les avantages. Au dire d’un des répondants, « … ils acceptent aveuglément les risques ». Évidemment, la cybersécurité et la TI en général forment des secteurs d’activité qui ne sont traditionnellement pas bien compris par les dirigeants ou les administrateurs, soit les personnes qui sont responsables de la gouvernance d’entreprise et qui donnent le ton de la culture d’entreprise. De nos jours, la plupart des conseils d’administration se composent en grande partie d’administrateurs formés en comptabilité, en droit et en ressources humaines. Rares sont ceux dont les membres possèdent de l’expérience et une formation en technologie.

Par conséquent, les risques liés à l’accroissement continu de l’empreinte technologique des organismes, ainsi que leur valeur stratégique, ne sont pas reconnus. Cette sous-appréciation de l’importance de la technologie en affaires se manifeste dans des structures organisationnelles où le service de TI (qui englobe habituellement la cybersécurité) relève souvent d’un autre secteur d’activité non pertinent ou avec lequel il n’y a pas de synergie ou presque. À ce titre, le chef du service de TI (directeur général de l’information ou l’équivalent) n’est pas membre de la direction de l’entreprise et n’a donc pas sa place à table pour soutenir la cause de son service ni exprimer ses préoccupations. Lorsque les dirigeants ne « donnent pas le ton », il s’ensuit un manque d’appui et de coopération de la part des autres dirigeants et du personnel en ce qui a trait aux questions de cybersécurité dans l’entreprise. Frustrés, les membres du personnel de la cybersécurité déplorent leur incapacité à « faire avancer » les programmes de cybersécurité et leur manque d’influence pour obtenir l’appui et l’engagement nécessaires à leurs projets et initiatives dans leurs organismes respectifs.

Une culture d’entreprise qui sous-estime la gravité des risques de cybersécurité est souvent le signe d’un problème lié à la gouvernance d’entreprise. Le conseil d’administration et les cadres de gestion connaissent-ils et comprennent-ils vraiment les principaux risques pour leur entreprise? Ont-ils évalué les répercussions commerciales possibles (continuité des activités, pertes financières, atteinte à la réputation, perte de confiance de la clientèle, perte de moral du personnel, etc.) si et lorsque ces risques critiques se manifestent? Comprennent-ils vraiment les implications? Existe-t-il un programme officiel de gestion globale des risques qui permet de définir et d’évaluer tous les risques pertinents de l’entreprise, de désigner les responsables et d’agir de façon proactive afin de gérer continuellement les risques selon les niveaux de tolérance prévus? La cybersécurité figure-t-elle parmi les dix principaux risques de l’organisation et en discute-t-on régulièrement lors des réunions du conseil et de la direction?

Les systèmes de gestion sont des outils qui favorisent une bonne gouvernance d’entreprise. Ils aident l’équipe de gestion à évaluer le rendement de l’entreprise, à communiquer des rapports et à transmettre des renseignements sur la réalisation des objectifs de rendement définis. Les systèmes de gestion efficaces intègrent généralement divers outils de rendement qui stimulent la réalisation d’objectifs stratégiques clés et qui permettent de veiller à ce que chaque employé sache clairement quels sont ces objectifs et comment contribuer à leur réalisation. Parmi ces outils de gestion, on trouve par exemple les indicateurs de rendement clés (IRC), les cartes de pointage équilibrées, les tableaux de bord, les rapports d’exploitation, les politiques et les normes, les audits internes des contrôles, les méthodologies de gestion du changement, les systèmes de gestion des risques d’entreprise, les buts et objectifs stratégiques et les modèles de rémunération axés sur le rendement.

Lors des entrevues, il est devenu évident que la gouvernance d’entreprise et les systèmes de gestion sont absents dans un grand nombre d’organismes du secteur parapublic. Les professionnels de la cybersécurité doivent donc tâcher de faire de leur mieux malgré le manque d’outils efficaces. On constate un vif désir d’obtenir des conseils et du soutien, par exemple des normes de cybersécurité, des politiques, des cadres de travail, des modèles de maturité, des pratiques exemplaires, des feuilles de route, des livres de jeux, des services consultatifs, des plateformes d’échange de renseignements sur les menaces et, surtout, l’autonomisation. Certains membres trouvent également que le gouvernement de l’Ontario devrait mieux les appuyer, soit par des services consultatifs, soit par une directive gouvernementale qui rendrait obligatoire la conformité en matière de cybersécurité.

Même dans les institutions où les pratiques de gouvernance d’entreprise sont relativement solides et matures, il reste encore d’importants défis à relever pour gérer efficacement les risques liés à la cybersécurité qui résultent de priorités concurrentes et de l’application incohérente de la surveillance et des politiques. À titre d’exemple, dans l’enseignement supérieur, le financement provient de diverses sources et est attribué en fonction de divers critères. Certains groupes de recherche universitaire qui ont réussi à obtenir des subventions ou des commandites privées considèrent souvent que cet argent leur est dû et les autorise à choisir leurs outils technologiques sans tenir compte des questions de cybersécurité lorsqu’ils en font l’achat. Pourquoi les universités n’imposent-elles pas les mêmes exigences aux chercheurs qu’aux autres professeurs et membres du personnel en matière de cybersécurité?

Dans le système scolaire public, on voit clairement que la sûreté, la sécurité et le mieux-être des élèves et du personnel sont les priorités absolues. Il s’agit manifestement d’une obligation morale que personne ne conteste. Cependant, on transige souvent sur les exigences en matière de cybersécurité afin de pouvoir fournir des services de haut niveau à ces mandants. Pourquoi ne peut-on pas offrir des services de grande qualité en veillant aussi à la sécurité numérique?

Dans le secteur des soins de santé, les budgets des hôpitaux sont généralement affectés soit aux activités de soins aux patients, soit aux activités autres que les soins aux patients. Encore là, nul ne peut dire que les soins aux patients ne sont pas la priorité absolue des hôpitaux. Toutefois, étant donné l’omniprésence de la technologie et la place envahissante qu’elle occupe dans toutes les facettes du monde moderne, que ce soit pour les affaires ou pour notre utilisation personnelle, nous devrions mieux comprendre les risques et les conséquences néfastes associés aux atteintes à la cybersécurité en ce qui concerne les systèmes technologiques des hôpitaux (systèmes d’information, équipement médical numérique, implants et dispositifs de surveillance [Internet des objets ou IdO]) et leurs effets possibles sur la santé et le bien-être des patients.