Les entrevues HEC Montréal - Sécurité de l’information et gestion vont de pair

Line Dubé, professeure à HEC Montréal
Photo: Annik MH de Carufel - Le Devoir Line Dubé, professeure à HEC Montréal

D’abord comme étudiante à l’UQAM pour une maîtrise en gestion de projet et à la Florida International University où elle a obtenu un doctorat en gestion des systèmes d’information, ensuite comme professeure à HEC Montréal, Line Dubé s’intéresse aux technologies de l’information et plus particulièrement à un sujet : comment exploiter le potentiel des technologies de l’information dans le cadre d’une organisation.

« Depuis longtemps, je fais de la recherche autour de la gestion de projets à saveur technologique, mais souvent à incidence organisationnelle. Je regarde les pratiques de gestion pour assurer le succès de ces projets. Mais, depuis un an, je m’intéresse plus spécifiquement à la gestion de la sécurité de l’information dans les organisations », résume-t-elle, en notant que depuis quelques années, les entreprises et les étudiants ont soif d’information et de formation concernant la sécurité de l’information. Cela l’a incitée à voir de plus près ce qui existait à cet égard pour constater qu’on en est encore vraiment au début et qu’il fallait que la sécurité de l’information devienne un thème important à HEC. Cela a conduit à la création d’un nouveau certificat qui sera offert dès septembre prochain.


On en est donc arrivé à une nouvelle étape dans l’évolution des technologies de l’information au sein des entreprises. Au début, dans les années 1950 et 1960, les TI étaient essentiellement l’affaire de spécialistes en technologie, de mathématiciens et informaticiens. Dans les années 1970 et 1980, les entreprises sont devenues très dépendantes de ces spécialistes, ce qui a engendré un problème de communication au sein des organisations entre les gestionnaires qui avaient un langage d’affaires et ces spécialistes qui parlaient un langage technologique. Mme Dubé rappelle que cela a suscité la création d’une profession intermédiaire de spécialistes capables de parler ces deux langages, en vue d’aligner l’informatique sur les besoins de l’entreprise.


Mais on a maintenant besoin de plus. Le monde évolue à une vitesse folle vers les communications virtuelles, les gens travaillent de partout, de la maison, de l’hôtel ou d’ailleurs. « On peut travailler avec une firme locale pour le traitement de ses données, mais celle-ci peut faire de l’impartition en Chine ou en Inde. Bref, on vit dans un monde où la sécurité de l’information prend de plus en plus de place. Cela devient une préoccupation de plus en plus grande dans les organisations. Et au bout du compte, on se retrouve avec le même problème que dans les années 1970 avec deux groupes distincts, d’une part les gestionnaires et d’autre part les experts technologiques. On voit aujourd’hui naître le besoin de créer des intermédiaires qui vont être capables de parler le langage d’affaires et capables de mettre la sécurité informatique au service de l’organisation pour assurer la sécurité de l’information. On en est là », explique Mme Dubé.


En sécurité informatique, on parle d’outils pour protéger le système, pour assurer la surveillance de l’entrée aux intrus qui pourraient se présenter ; on parle d’antivirus et autres moyens d’ordre technologique. La gestion de la sécurité informatique a fait de grands progrès et des investissements de centaines de millions ont été faits pour protéger les infrastructures technologiques. Par ailleurs, la tâche de protéger des actifs informationnels se complexifie sans cesse. Les experts se disent inquiets. Dans un rapport publié en 2011, la firme McKinsey parle d’un changement de paradigme.


On en est au point où avant de penser aux mesures d’ordre technologique à implanter, les entreprises doivent d’abord identifier les actifs qu’elles veulent avant tout protéger.


Mme Dubé mentionne que le problème n’est plus tellement la machine, mais plutôt savoir comment on va la choisir : « Combien une organisation doit-elle investir ? Quand est-ce que c’est assez ? Qu’est-ce qui est important pour nous comme organisation ? Quels sont nos objectifs en matière de sécurité de l’information ? Qu’est-ce qu’on veut protéger ou laisser aller ? Quels sont les éléments pour lesquels on ne veut prendre aucun risque ? Ce sont là des décisions organisationnelles et non pas technologiques. » Au demeurant, d’autres facteurs entrent en considération, comme les lois ou les normes, qu’elles soient comptables ou requises par les commissions de valeurs mobilières. Il y a également l’aspect de la confidentialité, concernant par exemple les dossiers des patients chez le médecin ou dans les hôpitaux. « Cela n’est pas une question d’informatique, mais plutôt d’éthique, de légalité et de culture », souligne la professeure. Celle-ci considère qu’en matière de sécurité de l’information, les grandes sociétés, les institutions financières, dont les compagnies d’assurances, ainsi que le secteur médical sont des pionniers.

 

Des guerres cybernétiques en perspective ?


Quoi qu’il en soit, les « cybercriminels » sont très actifs. Par exemple, une carte de crédit, accompagnée de sa date d’expiration et des trois chiffres confidentiels placés à l’arrière de la carte se transige sur le marché noir et l’achat et la vente de cartes de crédit volées se fait ouvertement sur des sites d’encan, où se rencontrent acheteurs et vendeurs de cartes frauduleuses. Selon Mme Dubé, la complexité des attaques va beaucoup s’accentuer et des guerres cybernétiques contre des ennemis politiques et industriels sont à prévoir. Celles-ci sont d’ailleurs déjà commencées. En 2010, Siemens, une société allemande hautement technologique, a découvert l’attaque de Stuxnet, un ver informatique hautement sophistiqué, qui se serait propagé par les clés USB des utilisateurs et cartes mémoires. Une fois à l’intérieur, ce ver recherche tout de suite le logiciel effectuant le contrôle des processus industriels et y apporte des modifications pour les empêcher de fonctionner correctement. Selon les spéculations, les coupables seraient les États-Unis et ses alliés qui feraient une guerre virtuelle à l’Iran, un gros client de Siemens ! En fait, depuis septembre 2001, les Américains ont fait des investissements massifs dans la sécurité informatique. « Ça va devenir beaucoup plus subtil que d’envoyer des courriels pour hameçonner quelqu’un », mentionne Mme Dubé.


Est-il besoin d’ajouter qu’en ce domaine, le Canada et le Québec sont nettement en retard par rapport aux Américains, dont les travaux se font la plupart du temps dans une optique militaire ou policière, ce qui rend leurs conclusions mal adaptées au contexte d’une organisation commerciale ? En conséquence, il faut former ici « des professionnels qui possèdent à la fois des connaissances en TI et une juste compréhension des besoins de l’entreprise », lit-on dans un feuillet présentant ce nouveau certificat de 30 crédits qui est destiné en fait à des gens qui sont déjà en exercice pour des cours du soir ou à temps partiel. Ce cours s’adressera en fait à tout le monde, en ce sens qu’il n’est pas nécessaire d’avoir un diplôme universitaire pour le suivre. C’est vraiment par pur hasard, mais il y aura ce soir, c’est-à-dire le jour même de la publication de cet article, une conférence à HEC pour une discussion et une présentation concernant ce nouveau certificat « spécialisé », dont la mise en place bénéficie de l’appui financier et technique du Groupe Technologies Desjardins. À HEC, on prévoit que chaque année, deux cohortes de 50 étudiants pourront acquérir cette formation. Par la suite, un cours serait offert au 1er cycle et à plus long terme, un programme de 2e cycle, probablement en lien avec la formation comptable. Mais d’ores et déjà, il est très clair aux yeux de Mme Dubé que « sécurité de l’information et gestion seront dorénavant indissociables ».


***
 

Collaborateur

À voir en vidéo