PME - Les formulaires - Parce que... c'est l'épisode 0x661!
Description
Parce que… c’est l’épisode 0x661!
Shameless plug
- 17 au 20 novembre 2025 - European Cyber Week
- 25 et 26 février 2026 - SéQCure 2026
- 14 au 17 avril 2026 - Botconf 2026
- 28 et 29 avril 2026 - Cybereco Cyberconférence 2026
- 9 au 17 mai 2026 - NorthSec 2026
- 3 au 5 juin 2025 - SSTIC 2026
Description
Dans cet épisode spécial consacré aux petites et moyennes entreprises, Cyndie Feltz, Nicholas Milot et Dominique Derrier abordent l’un des sujets les plus redoutés par les entrepreneurs : les formulaires de sécurité informatique. Ces documents, souvent exigés par les grandes entreprises ou les assureurs pour établir des relations commerciales, représentent un véritable casse-tête pour les PME qui ne possèdent pas de certifications reconnues. Les invités partagent leur expérience et offrent des conseils pratiques pour naviguer dans cet univers complexe.
Un cauchemar universel
Dès le début de la conversation, le ton est donné avec humour mais réalisme : même pour des experts en sécurité informatique, la vue d’un de ces formulaires donne envie de changer de métier. Les participants tiennent à rassurer les entrepreneurs en leur confirmant qu’il est tout à fait normal de trouver ces documents épuisants et frustrants. La complexité de ces formulaires ne reflète pas l’incompétence de ceux qui doivent les remplir, mais plutôt un problème systémique dans la manière dont ils sont conçus.
Le principal défi réside dans le fait que ces formulaires ne se ressemblent jamais et ne sont basés sur aucune référence standardisée. Chaque client ou assureur développe son propre questionnaire, ce qui oblige les PME à tout recommencer à zéro à chaque fois, sans pouvoir réutiliser le travail effectué précédemment.
Deux grandes catégories de formulaires
Les experts identifient deux grandes familles de questionnaires. Premièrement, il y a les formulaires orientés vers la vente, que les entreprises doivent remplir pour répondre aux exigences de sécurité de leurs clients potentiels. Dans ce contexte, la pression commerciale est forte et il devient tentant de répondre favorablement à toutes les questions pour ne pas perdre un contrat. Deuxièmement, il existe les formulaires d’assurance cyber, qui présentent des enjeux différents et encore plus critiques, car les réponses peuvent avoir des conséquences directes sur la couverture en cas d’incident.
Des critères parfois absurdes
L’un des aspects les plus frustrants de ces formulaires est que certains critères sont tout simplement irréalistes ou dénués de sens. Les invités partagent l’exemple mémorable d’un appel d’offres gouvernemental qui exigeait un outil de scan capable de détecter les vulnérabilités futures. Ce critère éliminatoire était techniquement impossible à satisfaire, démontrant que les personnes qui rédigent ces formulaires ne sont pas toujours des experts techniques.
Un autre problème majeur est le manque d’adaptation aux différentes tailles d’entreprise. Les mêmes formulaires sont souvent envoyés à des multinationales et à des compagnies de cinq personnes, avec des questions comme “Avez-vous un centre d’opérations de sécurité ?” Une PME de cinq employés ne devrait logiquement pas avoir besoin d’un tel centre, mais si la réponse négative est éliminatoire, cela crée une situation impossible.
La tentation et ses dangers
Face à ces formulaires complexes et parfois irréalistes, la tentation de mentir ou d’embellir la réalité est forte, particulièrement dans un contexte de vente où refuser de répondre positivement peut signifier perdre un contrat. Les invités admettent honnêtement que personne dans l’industrie ne peut prétendre n’avoir jamais répondu “oui, mais…” à une exigence qu’ils ne remplissaient pas exactement.
Cependant, les experts insistent sur une distinction cruciale entre les formulaires de vente et ceux d’assurance. Pour les formulaires de vente, il peut être acceptable de répondre positivement en s’engageant à mettre en place les mesures requises après avoir signé le contrat. En revanche, pour les formulaires d’assurance, mentir est extrêmement dangereux. L’exemple frappant d’une ville en Ontario dont l’assureur a refusé de payer suite à un incident parce que l’authentification multifacteur n’était pas déployée comme déclaré illustre les conséquences désastreuses de fausses déclarations.
L’enjeu financier des incidents
Les participants rappellent qu’un incident de sécurité peut coûter cent mille dollars par jour, ce qui représente une somme catastrophique pour une moyenne entreprise et peut même mener à la fermeture pour une petite structure. Dans ce contexte, avoir une assurance cyber est crucial, mais elle ne sera d’aucune utilité si l’assureur peut prouver que les déclarations étaient mensongères. Les experts comparent la situation à l’assurance habitation : personne ne fait de feu de camp dans son salon en se disant que l’assurance couvrira les dégâts. De la même manière, l’assurance cyber ne devrait pas servir d’excuse pour négliger les mesures de sécurité de base.
Des réponses de bonne foi mais erronées
Un autre problème soulevé est celui des personnes qui répondent aux formulaires de bonne foi mais qui donnent des informations inexactes par manque de connaissance technique. Quelqu’un peut sincèrement croire que l’authentification multifacteur est correctement déployée dans son entreprise alors que la configuration n’est pas complète ou que certains produits n’ont jamais été testés. De plus, la situation peut évoluer entre le moment où le formulaire est rempli et la survenue d’un incident, par exemple si une licence n’a pas été renouvelée.
Solutions et recommandations
Face à ces défis, les experts proposent plusieurs pistes de solution. La première est de poser des questions lorsque c’est possible, particulièrement quand une relation existe avec le client potentiel. En cherchant à comprendre le besoin réel derrière la question, on découvre parfois que des solutions moins coûteuses ou différentes de ce qui était initialement imaginé peuvent satisfaire l’exigence.
Se faire accompagner par un expert est également fortement recommandé. Un spécialiste peut aider à vulgariser le jargon technique, comprendre l’intention derrière chaque question et identifier si l’entreprise possède déjà des mesures équivalentes sous une forme différente. Par exemple, la question pourrait porter sur des protocoles spécifiques comme DKIM et SPF, mais l’intention réelle est de savoir si l’entreprise a mis en place une protection contre l’hameçonnage, ce qui peut être accompli par d’autres moyens comme la formation des employés ou des outils anti-spam.
Pour les entreprises qui font face régulièrement à ces questionnaires, obtenir une certification de sécurité peut s’avérer rentable à long terme. Bien que coûteuse, une certification permet souvent de court-circuiter les longs formulaires ou d’obtenir une version simplifiée. En calculant le temps humain nécessaire pour répondre à de multiples questionnaires détaillés sur deux ou trois ans, l’investissement dans une certification peut se justifier financièrement.
Les invités encouragent également les entrepreneurs à consulter leur réseau professionnel. D’autres PME ont certainement dû affronter les mêmes formulaires et peuvent partager leur expérience, leurs stratégies et leurs apprentissages.
Un appel à l’amélioration
En conclusion, les experts reconnaissent que malgré tous les problèmes identifiés, ces formulaires partent d’une bonne intention. Les grandes entreprises cherchent légitimement à se protéger en s’assurant que leurs fournisseurs ne représentent pas une porte d’entrée pour des cyberattaques. Le problème réside dans l’exécution et le manque de standardisation. Les participants encouragent les PME à également challenger leurs propres fournisseurs sur la sécurité, tout en évitant de créer des formulaires interminables qui ne seront même pas analysés en profondeur. L’appel final est à la compréhension mutuelle de l’intention derrière les questions, autant pour celui qui pose les questions que pour celui qui y répond, afin d’avancer ensemble vers un écosystème numérique plus sécuritaire.
Collaborateurs
Crédits
- Montage par Intrasecure inc
- Locaux virtuels par Riverside.fm
United States
