Les gens derrière CIMA+ : Marc-André Gagnon – Directeur des Services de Cybersécurité

1. Pourquoi avez-vous choisi le génie-conseil ?

CIMA+, en raison de son expertise, travaille avec tous les secteurs critiques au Canada, soit : énergie et services publics, finances, alimentation, transport, gouvernement, technologies de l’information et de la communication, santé, eau, sécurité et secteur manufacturier. Paradoxalement, ces secteurs sont de plus en plus visés par les cybermenaces, car ils se modernisent et adoptent eux aussi de nouvelles technologies. CIMA+ œuvrant déjà dans ces secteurs, les possibilités et les opportunités en cybersécurité sont grandes, et le travail de mon équipe fait toute une différence pour nos clients, ainsi que pour nos infrastructures.

2. Parlez-nous de votre parcours et de ce qui vous a amené à vous spécialiser en cybersécurité ?

Ce qui m’a amené à la cybersécurité, c’est d’abord la fascination. J’ai découvert, durant mes études collégiales, qu’il était possible de compromettre des systèmes informatiques, parfois de manière brillante, et ça a éveillé une curiosité profonde chez moi : comment était-ce possible ?

Cette soif de comprendre m’a naturellement poussé à décortiquer des attaques, à analyser des intrusions, à défendre des environnements bancaires, à faire des tests d’intrusion, et surtout, à m’immerger dans la logique des attaquants. J’ai passé des années à affiner mes compétences techniques. J’ai appris le langage de ces attaquants, leurs méthodes, et leurs failles humaines et technologiques.

Mais plus j’avançais, plus une évidence s’imposait : la complexité croissante des systèmes dépassait ce qu’une seule personne pouvait couvrir. La cybersécurité n’est pas un sport individuel : c’est un sport d’équipe, pluridisciplinaire, qui exige coordination, vision, et confiance.

C’est à ce moment que j’ai compris que ma plus grande contribution ne viendrait pas uniquement de mes compétences techniques, mais également de ma capacité à mobilier les équipes, à bâtir des stratégies défensives solides et à créer une culture de sécurité pour que ce travail d’équipe puisse porter fruit.

3. Quels sont les principaux défis actuels en cybersécurité auxquels font face les organisations ?

Les clients de CIMA+ font aujourd’hui face à une évolution rapide et complexe des risques en matière de cybersécurité. Ceux-ci touchent à la fois les TI classiques (technologies de l’information) et les TO (technologies opérationnelles). Les principaux défis sont :

• La convergence TI/TO
  C’est-à-dire que nos clients, notamment dans les secteurs industriels, énergétiques et municipaux, doivent intégrer des services et des technologies traditionnelles TI.  Cependant, ces environnements ont parfois été conçus il y a 10 ou 20 ans, et n'ont pas été pensés pour faire face aux attaquants d’aujourd’hui. Cette convergence accroît les surfaces d’attaque et expose des infrastructures critiques à des menaces sophistiquées.
• L’augmentation des attaques ciblées
  Les rançongiciels, les chaînes logistiques compromises, et les menaces étatiques représentent des risques majeurs. Ces attaques ciblent autant les systèmes de contrôle que les données sensibles, souvent avec des impacts opérationnels importants, voire des impacts sur la population.
• La conformité et la gouvernance
  Les exigences réglementaires (NERC CIP, Loi 25, etc.) se multiplient, comme les cadres de gouvernance reconnus (ISO 27001, NIST CSF, NIS 2), et cela devient un casse-tête de déterminer ce qui est vraiment important et efficace tout en maintenant les opérations courantes.
• Le manque de ressources internes
  Beaucoup d’organisations, surtout de taille moyenne, n’ont ni les équipes ni les expertises internes en cybersécurité pour mener des tests d’intrusion, des audits de cybersécurité ou même mettre en place un programme de cybersécurité.

4. Pouvez-vous nous présenter un projet récent en cybersécurité qui vous rend particulièrement fier ?

Nous effectuons des projets de cybersécurité dans différents secteurs. Nous sécurisons actuellement un réseau contrôlant des camions miniers autonomes dans des mines en Colombie-Britannique. Dans la sphère municipale, nous avons récemment aidé un client à sécuriser le réseau contrôlant ses feux de circulation et les équipements connexes aux intersections (caméras, détecteurs de piétons, etc.). Dans le secteur des eaux, nous avons aidé plusieurs clients à augmenter leur niveau de maturité en cybersécurité en auditant leurs pratiques et en proposant des recommandations leur permettant de mieux protéger leurs infrastructures contre les cyberattaques.

5. En quoi l’approche de CIMA+ se distingue-t-elle dans le domaine de la cybersécurité ?

L’approche que nous préconisons est toujours basée sur les enjeux et les réalités des secteurs de nos clients. Chaque secteur possède des technologies différentes, des réglementations différentes, et surtout, un appétit pour le risque différent. Il s’agit toujours de trouver le bon équilibre pour le client.

6. Comment collaborez-vous avec les autres expert-e-s de CIMA+ pour intégrer la cybersécurité dans des projets multidisciplinaires ?

Lorsque les équipes de CIMA+ prennent en charge un projet technologique, quel que soit le secteur (bâtiment, télécommunications, énergie et ressources, gestion de projet), elles nous contactent pour que nous puissions évaluer rapidement les enjeux de cybersécurité potentiels. Sur certains projets à faible risque, une simple consultation et un alignement général suffisent, tandis que sur d’autres, nos conseiller-ère-s en cybersécurité seront impliqué-e-s tout au long du projet pour assurer que la cybersécurité soit bel et bien considérée à chacune des étapes.

Même pour nos projets 100 % cybersécurité, nous travaillons toujours avec nos ingénieur-e-s et expert-e-s dans chaque domaine. Cela permet de bien ajuster notre pratique aux spécificités de chaque secteur et de chaque technologie.

7. Quels conseils donneriez-vous aux organisations qui souhaitent renforcer leur posture en matière de cybersécurité ?

Investissez dans vos gens, pas seulement dans la technologie. Les meilleures technologies tombent à plat si les équipes ne sont pas formées ou sensibilisées. Miser sur la formation continue et la sensibilisation ciblée. Et la collaboration interdisciplinaire est essentielle pour construire une défense active et durable.