Parce que… c’est l’épisode 0x661!

Shameless plug

• 17 au 20 novembre 2025 - European Cyber Week
• 25 et 26 février 2026 - SéQCure 2026
  • CfP
• 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026
• 14 au 17 avril 2026 - Botconf 2026
• 28 et 29 avril 2026 - Cybereco Cyberconférence 2026
• 9 au 17 mai 2026 - NorthSec 2026
• 3 au 5 juin 2026 - SSTIC 2026
• 19 septembre 2026 - Bsides Montréal

Description

Dans cet épisode spécial PME, Cyndie Feltz, Nicholas Milot et Dominique Derrier abordent l’un des sujets les plus redoutés par les entrepreneurs : les formulaires de sécurité informatique exigés par les grandes entreprises et les assureurs pour établir des relations commerciales.

Un cauchemar universel

Même pour des experts en sécurité, ces formulaires donnent envie de changer de métier. Les participants rassurent les entrepreneurs : il est normal de trouver ces documents épuisants. Le principal défi réside dans leur manque de standardisation. Chaque client ou assureur développe son propre questionnaire, obligeant les PME à tout recommencer à zéro à chaque fois.

Deux catégories problématiques

Les experts identifient deux grandes familles de formulaires. D’abord, les questionnaires orientés vente, où la pression commerciale rend tentant de répondre favorablement pour ne pas perdre un contrat. Ensuite, les formulaires d’assurance cyber, beaucoup plus critiques, car les réponses peuvent avoir des conséquences directes sur la couverture en cas d’incident.

Des critères parfois absurdes

Certains critères sont irréalistes ou dénués de sens. L’exemple mémorable d’un appel d’offres gouvernemental exigeant un outil capable de détecter les vulnérabilités futures démontre que les rédacteurs ne sont pas toujours des experts techniques. Autre problème : le manque d’adaptation aux différentes tailles d’entreprise. Les mêmes formulaires demandent à des PME de cinq personnes si elles possèdent un centre d’opérations de sécurité, une exigence totalement disproportionnée.

La tentation et ses dangers

Face à ces formulaires complexes, la tentation d’embellir la réalité est forte. Les invités admettent honnêtement que personne dans l’industrie n’a jamais rempli ces documents sans répondre “oui, mais…” à certaines exigences. Toutefois, ils insistent sur une distinction cruciale : pour les formulaires de vente, on peut s’engager à mettre les mesures en place après avoir signé. En revanche, mentir sur un formulaire d’assurance est extrêmement dangereux.

L’exemple d’une ville en Ontario dont l’assureur a refusé de payer suite à un incident parce que l’authentification multifacteur n’était pas déployée comme déclaré illustre les conséquences désastreuses. Un incident peut coûter cent mille dollars par jour, et sans couverture d’assurance, cela peut mener une PME à la fermeture. Les experts rappellent qu’une assurance ne sert à rien si l’assureur peut prouver que les déclarations étaient fausses.

Solutions pratiques

Les experts proposent plusieurs pistes. D’abord, poser des questions au client lorsque c’est possible pour comprendre le besoin réel derrière chaque exigence. Ensuite, se faire accompagner par un expert qui peut vulgariser le jargon technique et identifier si l’entreprise possède déjà des mesures équivalentes. Par exemple, une question sur des protocoles spécifiques peut en réalité chercher à vérifier si l’entreprise a une protection contre l’hameçonnage, réalisable par d’autres moyens.

Pour les entreprises confrontées régulièrement à ces questionnaires, obtenir une certification de sécurité peut s’avérer rentable. Bien que coûteuse, elle permet souvent d’éviter ou de simplifier les formulaires. En calculant le temps nécessaire pour répondre à de multiples questionnaires détaillés, l’investissement peut se justifier.

Les participants encouragent aussi à consulter son réseau professionnel, car d’autres PME ont sûrement affronté les mêmes défis et peuvent partager leur expérience.

Un appel à l’amélioration

En conclusion, malgré tous les problèmes identifiés, ces formulaires partent d’une bonne intention : les grandes entreprises cherchent légitimement à se protéger. Le problème réside dans l’exécution et le manque de standardisation. L’appel final est à la compréhension mutuelle de l’intention derrière les questions, pour avancer ensemble vers un écosystème numérique plus sécuritaire.

Collaborateurs

• Nicolas-Loïc Fortin
• Dominique Derrier
• Cyndie Feltz
• Nicholas Milot

Crédits

• Montage par Intrasecure inc
• Locaux virtuels par Riverside.fm

Tags: conformite, pme