Guillaume Caron
Président VARS - Cybersécurité | Conseils numériques et technologiques

Quel rôle joue le responsable de la sécurité de l’information (Chief Information Security Officer ou CISO) au sein d’une organisation?

Une entreprise est victime d’une cyberattaque toutes les 14 secondes environ. Selon le type de cyberattaque et la taille de l’entreprise, les coûts peuvent atteindre les six ou sept chiffres. Près de 60 % des petites entreprises victimes de cyberattaques finissent par fermer définitivement leurs portes dans les six mois suivant l’attaque.

Ces statistiques montrent à quel point une cyberattaque réussie peut avoir des conséquences financières désastreuses pour une entreprise, mais il existe également de nombreuses autres conséquences à plusieurs niveaux. Ces conséquences peuvent inclure la perte de clients, l’atteinte à la réputation de la marque de l’entreprise et le non-respect des exigences réglementaires et de conformité.

Selon VMware, 99 % des entreprises canadiennes ont signalé une augmentation des cyberattaques au cours des 12 derniers mois. Cela démontre, plus que jamais, l’importance de développer un plan de cybersécurité robuste pour votre organisation. Un responsable de la sécurité de l’information (RSI ou CISO) est là pour y veiller.

Quel est le rôle d’un RSI (CISO)?

Un CISO est un cadre responsable de la stratégie de sécurité et de la protection des données d’une entreprise. Ce poste exige de la personne qu’elle connaisse bien les risques de sécurité, la gestion de la conformité et les politiques de sécurité interne. Les principaux rôles du CISO sont les suivants :

Stratégie de sécurité

Le CISO est un leader en matière de stratégie de sécurité pour une entreprise. Selon la taille de l’entreprise, le CISO peut partager cette responsabilité avec d’autres responsables informatiques expérimentés ou cadres techniques au sein de l’entreprise. Le CISO est chargé de traiter les problèmes de sécurité immédiats et de planifier de manière proactive afin d’éviter que des problèmes de sécurité ne surviennent à l’avenir.

La stratégie de sécurité doit être adaptée aux besoins de l’entreprise. Par exemple, si une entreprise est en mode de croissance rapide, la stratégie de sécurité doit tenir compte de toutes les vulnérabilités qui peuvent survenir en raison d’une croissance rapide et de l’embauche de nombreux membres d’équipe.

Gestion des opérations de sécurité

En plus de la stratégie de sécurité, le CISO supervise les opérations quotidiennes de sécurité au sein d’une entreprise. Le CISO doit activement rechercher et traiter toute vulnérabilité en matière de sécurité au sein de l’entreprise. Le CISO prend des initiatives sur la façon de traiter les vulnérabilités immédiates en effectuant une analyse en temps réel des menaces et en suivant un plan d’action pour atténuer les risques.

Les opérations quotidiennes de sécurité peuvent inclure la définition de politiques de sécurité, l’embauche de membres compétents au sein de l’équipe de sécurité, des réunions avec les cadres supérieurs pour discuter de la stratégie, l’analyse de l’infrastructure de sécurité, la vérification du bon fonctionnement des programmes et plus encore. Avec l’aide de l’équipe de sécurité, le CISO peut déléguer certaines tâches et s’assurer que tous les besoins de sécurité de l’entreprise sont couverts.

Architecture de sécurité

Le CISO est responsable de s’assurer que l’organisation utilise la meilleure infrastructure pour sa sécurité et ses performances. Plusieurs vulnérabilités des organisations peuvent être contrées par l’achat de matériel et de logiciels à jour. L’expertise d’un CISO est nécessaire pour sélectionner les meilleures solutions possible pour l’organisation tout en mitigeant les risques potentiels de sécurité qui peuvent survenir.

Le CISO conçoit également l’infrastructure de sécurité en s’assurant que l’ensemble du réseau et de l’infrastructure informatique est construit en tenant compte de la sécurité. Cela permet de s’assurer que tous les aspects de l’architecture de l’organisation sont sécurisés tout en fonctionnant au plus haut niveau possible.

Réponse aux incidents

Le CISO est au cœur de tout incident de sécurité survenant au sein d’une entreprise. Avant même qu’un incident ne se produise, le CISO a établi un plan d’action couvrant plusieurs scénarios possibles. Lorsqu’un incident est signalé à la direction, le CISO prend les commandes et donne des instructions aux employés concernés à propos de ce qu’ils doivent faire.

Après avoir traité l’incident de manière adéquate, le CISO s’assurera que toutes les mesures pertinentes qui doivent être prises par la suite, comme remplir des documents, rencontrer les clients, etc., sont prises. Le CISO est probablement la personne la mieux qualifiée au sein de l’organisation pour gérer un incident de sécurité du début à la fin.

Conformité

Le CISO est également un des leaders au sein de l’entreprise lorsqu’il s’agit de répondre aux exigences de conformité et de réglementation. En fonction du lieu et du secteur d’activité d’une entreprise, il peut y avoir toute une série d’exigences complexes de conformité requises pour exploiter une entreprise.

Par exemple, une entreprise du secteur de la santé au Québec doit respecter la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) ainsi que toutes les lois régionales sur les données. Puisque le CISO est responsable de plusieurs aspects qui traitent de la conformité, il est généralement bien informé sur ces sujets et peut aider à répondre aux demandes de conformité des organismes de réglementation. Les CISO peuvent aider à rencontrer les responsables de la conformité et s’assurer que l’entreprise accomplit toutes les évaluations réglementaires qui sont requises par les gouvernements locaux et fédéraux.

Où peut-on trouver un CISO?

Il n’est pas toujours possible d’engager un CISO à temps plein pour la plupart des entreprises qui souhaitent respecter les exigences générales de sécurité et de conformité requises pour maintenir leurs activités opérationnelles. Un CISO à temps plein coûtera probablement beaucoup plus que les six chiffres annuellement à une entreprise, mais il existe une autre solution : le bureau de CISO de VARS.

Le bureau de CISO de VARS permet à votre organisation de bénéficier de l’expertise de responsables de la sécurité informatique réputés et de leaders de l’industrie sans avoir à en chercher ou à payer pour une ressource à temps plein.

Pour en apprendre davantage sur le bureau CISO virtuel de VARS et sur la façon dont vous pouvez renforcer la sécurité de votre entreprise, consultez nos experts.

22 Fév 2021  |  Écrit par :

Guillaume Caron est expert en cybersécurité et hameçonnage au sein de Raymond Chabot Grant...

Voir le profil

Article suivant

Katy Langlais
Directrice | CRHA, MBA | Conseils en ressources humaines

La pandémie a obligé les organisations à envisager leur quotidien sous un nouvel angle. Malgré les difficultés vécues, certains éléments pourront être bénéfiques pour la suite des choses.

En effet, la réalité nous a poussés à nous adapter. Il est devenu inévitable de revoir les méthodes de travail et l’éventail des produits et services offerts. Les organisations ont dû modifier leurs activités, parfois radicalement, ou les poursuivre dans le respect des règles d’hygiène et avec l’aide des technologies.

Bien sûr, le contexte demeure exigeant pour tous. D’ailleurs, nous vous invitons à prendre soin de cet aspect crucial pour les organisations: ne négligez pas votre santé et celle de vos travailleurs.

Toutefois, un autre constat s’impose. Un bouleversement majeur comme celui de la pandémie stimule la créativité des entrepreneurs, qui doivent affronter des obstacles de taille. L’adaptation nécessaire génère différentes innovations qui pourront devenir des solutions à l’évolution du marché qui était déjà en cours.

Ce qui fait parfois obstacle à l’innovation, c’est la capacité à concrétiser une idée créative pour qu’elle devienne une entreprise, un service ou un produit. La pandémie pourrait avoir au moins cet effet positif pour certaines organisations, soit augmenter leur capacité d’innovation.

L’incertitude peut-elle être un accélérateur de changements et une source d’innovation?

Il est reconnu que les crises antérieures ont mené à la création de plusieurs entreprises emblématiques. À titre d’exemple, Disney, CNN, Burger King, FedEx, General Electric, Microsoft, Apple, Gillette, 20th Century Fox, IBM, Hershey’s et Adobe ont toutes été fondées en période de récession. Ces histoires nous amènent à nous poser la question suivante : comment des situations aussi tumultueuses peuvent-elles être bénéfiques pour les organisations?

La pression qu’exercent les situations de crise sur les organisations entraîne un sentiment d’urgence, lequel pousse les dirigeants à agir, que ce soit pour survivre ou pour croître. Ainsi, la nécessité du changement apparaît comme un élément logique et fait quasi automatiquement naître la motivation de mettre en œuvre ledit changement. Il devient pertinent de miser sur l’innovation pour assurer une continuité des affaires.

Quels sont les avantages d’une culture d’entreprise axée sur l’innovation?

D’ailleurs, les avantages du développement d’une culture axée sur l’innovation sont multiples et peuvent assurément aider les entreprises en vue de l’« après-COVID-19 ».

Le premier avantage est d’augmenter le niveau de mobilisation de l’équipe. Les mises à pied, la réduction du nombre d’heures de travail et le télétravail ont agi directement sur le niveau de mobilisation du personnel. L’inclusion des employés dans une démarche d’innovation enverra à ces derniers un message concret : ils font partie intégrante des projets de développement de l’organisation. De plus, cette initiative favorise la création de liens sociaux dans l’entreprise tout en procurant aux employés un sentiment d’autonomie, de compétence et de capacité d’agir. Précisons que ces éléments agissent positivement sur le sentiment d’appartenance, la motivation au travail et la performance.

Le deuxième avantage est d’être en mesure de répondre aux besoins d’après-crise. Les entreprises dont la culture est axée sur l’innovation sont généralement plus agiles et, par le fait même, en meilleure posture pour faire face aux situations imprévues. Nul ne peut prédire avec précision quelles seront les répercussions de la crise sur la société et les individus qui la composent. Toutefois, nous pouvons émettre l’hypothèse que les habitudes et les besoins des individus seront appelés à changer. Par conséquent, les organisations devront sans doute se tourner vers les esprits créatifs pour répondre aux besoins émergents et s’adapter à de nouveaux changements.

Comment mettre en place une culture et des pratiques favorisant l’innovation?

Stimuler l’innovation en organisation

Pour une entreprise qui n’avait jusqu’à maintenant que des initiatives d’amélioration continue, stimuler l’innovation au quotidien passe par un changement dans la culture organisationnelle. Ceci ne s’effectue pas du jour au lendemain : c’est une démarche à long terme fondée sur les valeurs et la culture qui sont au cœur même de l’organisation. Les leaders ont un rôle central à jouer dans l’implantation et le développement d’une culture axée sur l’innovation.

Avoir un discours innovateur

Le discours et les décisions des dirigeants de l’entreprise doivent être en harmonie avec les valeurs de collaboration et d’ouverture d’esprit. Mis à part le rôle des dirigeants, deux éléments doivent être mis de l’avant et constituent des clés importantes du succès de l’implantation :

  1. Inclure les employés
    L’innovation passe par l’engagement des individus qui font vivre l’organisation au quotidien. Rarement exploités à leur plein potentiel, les employés de l’entreprise sont sans doute la plus grande source d’idées et d’innovations dans les organisations. Bien que cet engagement requière du temps pour les employés et ait un coût indirect, il s’agit d’un investissement. La sollicitation des employés pour les projets d’innovation peut s’effectuer par l’intermédiaire :

    • d’ateliers d’idéation (brainstorming);
    • d’un comité de projet (ponctuel ou permanent) avec un objectif précis;
    • de séances de partage de connaissances entre employés, etc.
  2. Accueillir et soutenir l’échec comme un succès
    En tant qu’êtres humains, nous sommes instinctivement portés à glorifier la réussite et à réprimer l’échec. Toutefois, ce sont souvent les échecs qui nous permettent d’atteindre le succès. À cet effet, l’ensemble les individus travaillant au sein de l’organisation doivent s’entraîner à accueillir les échecs comme des possibilités d’amélioration et à sentir que leurs gestionnaires soutiennent ces façons de faire. Il pourrait s’avérer très utile de former ces derniers au processus et à l’état d’esprit d’une culture favorable à l’innovation. Même si le résultat final est souvent plus facilement observable, accorder davantage d’importance au processus pour arriver au résultat facilitera cette transition.

Adapter l’ensemble des politiques et processus de l’organisation

On ne peut promouvoir l’innovation sans avoir des pratiques organisationnelles adaptées. Ainsi, les politiques de gestion du personnel telles que la rémunération, l’appréciation de la performance, la reconnaissance, la formation ainsi que la gestion du talent et de la relève devront être en cohérence avec cette philosophie pour observer les avantages de la mise en place d’une culture axée sur l’innovation.

Les éléments de stratégie (modèle d’affaires) et les processus opérationnels et administratifs de l’entreprise devront eux aussi être revus pour assurer une adéquation avec la culture axée sur l’innovation souhaitée. À cet égard, l’intégration de technologies est souvent une avenue intéressante pour innover tout en améliorant l’efficience des organisations.

Utiliser les technologies comme levier pour vous propulser

Plusieurs innovations (surtout en ce qui concerne les procédés opérationnels et administratifs) sont associées au développement ou à l’intégration de nouvelles technologies. Il est donc intéressant pour les organisations d’aborder l’innovation sous un « angle 4.0 » dans le but d’améliorer la proposition de valeur du modèle d’affaires et l’efficience des processus organisationnels.

Certaines technologies facilitant l’interaction entre les individus peuvent aussi stimuler indirectement l’innovation. Par exemple, les applications de collaboration et de partage d’idées sont facilement accessibles sur nos téléphones et nos tablettes. Se livrer à des exercices d’idéation ne requiert plus une présence physique dans une salle avec ses collègues. La crise actuelle devient aussi un vecteur de créativité pour les employés, qui peuvent exprimer leurs pensées et lancer de nouveaux concepts de produits et de services. Il faut utiliser les moyens de communication à distance pour valoriser cette intelligence.

Maintenant que vous avez en main quelques éléments permettant d’amorcer une réflexion sur des idées nouvelles pour assurer la continuité de vos activités, prenez vous-même un peu de recul pour repenser votre entreprise. Quel est votre modèle d’affaires actuel? Quelles compétences apportent les employés actuels à l’entreprise? Et que serait demain si vous laissiez libre cours à votre créativité et reconstruisiez votre modèle maintenant?

Cet article a été rédigé en collaboration avec Éloïse Labrecque, conseillère en conseil en management chez Raymond Chabot Grant Thornton.

17 Fév 2021  |  Écrit par :

Katy Langlais est experte en recrutement et conseils en ressources humaines au sein de Raymond...

Voir le profil

Article suivant

Au Québec, la culture, les loisirs et les spectacles sont les secteurs les plus touchés par la pandémie. Les répercussions de la crise ne sont pas seulement d’ordre économique : elles s’accompagnent d’une remise en question qui touche le futur même des artistes.

Dans le cadre d’un Rendez-vous tête-à-tête, le président de Raymond Chabot Grant Thornton, Emilio B. Imbriglio, a échangé avec la comédienne et présidente de l’Union des artistes (UDA), Sophie Prégent, sur les bouleversements dans le secteur de la culture au Québec depuis le début de la pandémie. Il est clair que le milieu de la culture ne sera plus comme avant et qu’il faudra mener une grande réflexion collective sur l’avenir des arts au Québec. Dans cette conférence, on aborde comment la communauté artistique s’est adaptée à la nouvelle réalité et comment on envisage l’avenir du milieu culturel.

Un secteur fortement touché par la pandémie

Le confinement et le couvre-feu ont interrompu plusieurs activités de culture et de loisirs. Malgré l’importance de ce secteur et en dépit du fait que ces productions soient très recherchées, des milliers d’artistes ont dû renoncer à exercer leur métier. La fermeture des salles de spectacle, des cinémas et des théâtres, l’interruption des concerts et l’arrêt des plateaux de tournage en mars dernier ont obligé des milliers de gens à cesser de travailler, ce qui a bouleversé les repères de nombreux artistes et en a même conduit plusieurs à revoir leur choix de carrière.

« Ce n’est pas normal pour un artiste interprète de ne pas s’exprimer et de ne pas aller à la rencontre d’un public », a déclaré Sophie Prégent, présidente de l’Union des artistes.

N’ayant aucune façon de gagner leur vie, des artistes d’expérience aussi bien que de nouveaux venus dans le métier se sont remis en question face à l’avenir incertain de leur carrière. En tant que présidente de l’UDA, Mme Prégent a entamé plusieurs démarches auprès des gouvernements pour faire connaître la réalité des artistes, trouver des solutions créatives et participer à l’élaboration de nouvelles façons de travailler dans le contexte de la pandémie.

L’UDA compte 13 000 artistes et regroupe les interprètes du monde audiovisuel (cinéma, télévision, publicité, doublage), ainsi que des arts de la scène (chanson, lyrique, humour, cirque, théâtre, danse). En plus de soutenir ses membres, l’UDA a su rapidement nouer des alliances stratégiques avec d’autres organismes œuvrant dans le milieu culturel afin de devenir plus forts ensemble pour faire face aux enjeux de la pandémie.

Le milieu artistique, miroir d’une société

Les artistes jouent un rôle sociétal dans notre communauté, car ils sont souvent des porte-parole d’injustices sociales et des précurseurs de mouvements sociaux importants. Ils ont de l’influence et ils sont de véritables vecteurs de changements sociaux.

L’un des grands chevaux de bataille de Sophie Prégent depuis son entrée en poste comme présidente de l’UDA est la diversité et l’inclusion. À l’UDA, le comité Mosaïque a été créé pour soulever les enjeux concernant la diversité.

« Il y a toutes sortes de diversités : il y a la diversité visible à l’écran, il y a aussi la diversité audible, comme par exemple ceux qui parlent français avec un accent. Il n’y a pas beaucoup de place encore à la télévision, on ne les voit pas et on ne les entend pas. Cela dit, on a beaucoup plus de diversité à l’écran aujourd’hui », explique Sophie Prégent.

« La place grandissante du numérique dans la façon de consommer la musique, la télé et le cinéma constitue un danger pour la culture francophone. Parce que la musique, la télé et le cinéma que nous créons reflètent ce que nous sommes, comme un effet miroir, ils nous rassemblent, véhiculent nos valeurs, nous font évoluer comme société. Avec le numérique, ce miroir s’amenuise et risque de se réduire à un point tel qu’il nous sera difficile de s’y reconnaître. »

Pour soutenir nos artistes, n’hésitez pas à faire un don à la Fondation des artistes.

Consultez l’article « Pandémie: les artistes sont «sacrifiés», selon Sophie Prégent », paru dans le journal Métro, le 28 janvier 2021.

Visionnez dès maintenant cet échange animé avec Mme Prégent.

Article suivant

Annie Poitras
Première directrice principale | CPA, CA, M. Fisc. | Fiscalité

Pour de nombreuses entreprises, le télétravail devient la norme. Or, plusieurs employés souhaitent saisir cette occasion pour travailler de l’étranger.

La crise de la COVID-19 a forcé les entreprises à se réinventer, tant sur le plan organisationnel que sur le plan de la mobilisation de leurs employés. De plus en plus d’entreprises prévoient un retour au bureau seulement à partir de l’automne 2021, de sorte que des changements et de la flexibilité sont requis de la part des employeurs.

Qu’en est-il des employés qui envisagent de saisir cette occasion pour travailler à distance à partir d’un autre pays? Comment cela peut-il affecter votre entreprise?

Certains de vos employés penseront peut-être que faire du télétravail à l’étranger, en gardant leur même emploi au Canada, ne vous affectera pas comme employeur, mais ils se trompent. Une telle décision de la part d’un de vos employés pourrait entraîner des obligations légales, de sécurité sociale et, certainement, de nature fiscale pour l’entreprise.

Démarche à suivre et obligations fiscales

Tout d’abord, il est important de communiquer avec vos employés et de les avertir que, s’ils prévoient travailler d’un autre pays, vous devez être averti. Comme entreprise, vous pouvez prendre des mesures proactives et publier des directives internes pour vos employés en télétravail et y inscrire des mesures pour ceux et celles souhaitant s’installer à l’étranger.

Par la suite, vous devez valider quels seront ces impacts sur votre entreprise et quelles démarches vous devrez entreprendre avec l’employé et, possiblement, avec le pays d’accueil de cet employé. Selon le type de travail et la convention fiscale pertinente, l’employé nouvellement à distance pourrait créer un établissement stable et, ainsi, une présence imposable pour l’entreprise dans le pays où il télétravaille.

Si vous accordez à un de vos employés l’option de faire du télétravail à l’extérieur du Canada, que ce soit de manière temporaire ou permanente, vous devez comprendre que l’entreprise s’expose à de possibles répercussions fiscales.

À cet égard, voici quelques questions que vous devrez vous poser.

Mon entreprise aura-t-elle des obligations fiscales?

  • Le bureau à domicile de mon employé devient-il un établissement dans le pays étranger?
  • Y a-t-il une convention fiscale qui s’applique?
  • De nouvelles obligations fiscales pour mon entreprise surviendront-elles dans le pays étranger?
  • Quelles sont les autres formes de taxation dans le pays étranger : taxes de vente? taxe sur le chiffre d’affaires?

Mon employé déclenchera-t-il l’application de ces taxes?

  • Est-ce que mon entreprise aura de nouvelles obligations fiscales de retenues à la source (impôt et charges sociales) dans le pays où mon employé télétravaille?
  • Une entente de sécurité sociale existe-t-elle entre le Canada et le pays d’accueil?

Quels formulaires dois-je produire en fin d’année?

  • Quelles sont les obligations de conformité pour mon entreprise?
  • Comme mon employé est à l’étranger, mon entreprise a-t-elle des obligations également au Canada?

Autres réglementations à considérer également :

  • Quelles sont les lois du travail qui s’appliquent et qui régissent la relation employeur-employé?
  • Qu’est-ce que mes couvertures d’assurances invalidité, blessure et médicale couvrent à l’extérieur du Canada?

Avec l’entrée en vigueur de nouvelles politiques de travail à distance et une acceptation changeante du télétravail à l’étranger, et en tant qu’entreprise, vous devez intégrer la planification fiscale dans l’élaboration de vos politiques afin d’assurer que des modalités de travail plus flexibles ne créent pas de complexités et de risques fiscaux. Autoriser un employé à faire du télétravail à l’étranger comporte une gamme de risques, tant pour l’employé que pour l’entreprise.

Comme employeur, vous devez réfléchir à ces questions et gérer les implications fiscales et légales pour un employé travaillant de l’étranger. Une planification fiscale permettra d’éviter les mauvaises surprises, voire de profiter d’occasions, et ce, tant pour l’employé que pour l’employeur.

09 Fév 2021  |  Écrit par :

Annie Poitras est experte en fiscalité internationale au sein de Raymond Chabot Grant Thornton.

Voir le profil