Un billet de Mark Wolff, directeur de la technologie, CANARIE
Quel que soit le contexte, pour se faire comprendre, il est important de bien choisir ses mots. La chose est encore plus évidente dans un domaine aussi complexe que cybersécurité. Certaines expressions, parmi les principales, doivent absolument signifier la même chose pour chacun, surtout quand on veut jauger les capacités en la matière et leur évolution au fil du temps. Une telle compréhension commune est essentielle si l’on veut que les décideurs puissent évaluer l’efficacité des mesures, évaluer les progrès accomplis et établir des priorités.
Chez CANARIE, j’ai collaboré avec le Groupe de travail sur la quantification de la cybersécurité, qui oriente et conseille la Commission consultative en cybersécurité, pour parvenir à une définition précise de trois expressions capitales.
Évaluation = le fait d’évaluer ou d’estimer la nature, la qualité ou les capacités
Il s’agit d’analyser les moyens dont une organisation dispose pour vérifier l’état de sa cybersécurité et la capacité des contrôles établis à remédier aux vulnérabilités. L’évaluation s’effectue en regard d’un cadre, c’est-à-dire d’une liste de vérification normalisée en cybersécurité.
Quantification = le fait d’attribuer une valeur numérique à un objet ou à un événement, en vue d’une comparaison
Il s’agit de mesurer séparément certains aspects de la cybersécurité, telle l’efficacité ou la performance.
Analyse comparative = le fait d’évaluer ou de vérifier par comparaison à une norme établie
Ce processus consiste à effectuer une comparaison avec la norme qu’ont établie des pairs dans le milieu de la recherche et de l’éducation. Il suppose à la fois une quantification et une évaluation, de même qu’un suivi comparatif dans le temps.
En nous efforçant de déterminer l’impact des initiatives subventionnées sur les capacités en cybersécurité globales du secteur canadien de la recherche et de l’éducation avec le concours de la collectivité, il est impératif que ces expressions aient le même sens pour tout le monde. En effet, seule une compréhension commune des besoins d’évaluer, de quantifier et de comparer nous permettra d’établir collectivement où l’on en est, ce qu’il faut faire pour s’améliorer et si les initiatives adoptées sont efficaces ou pas. Sans cela, on ne pourra renforcer les capacités du secteur sur le plan de la cybersécurité.