Par Antoine Guilmain, LL. D., avocat et Eliane Ellbogen, étudiante, Fasken
Ce texte a été originalement publié le 19 juillet 2019 sur Fasken.com.
Le Centre canadien pour la cybersécurité (le « CCC ») du gouvernement du Canada a publié le document Contrôles de cybersécurité de base pour les petites et moyennes organisations afin d’aider les petites et moyennes entreprises à améliorer
leurs pratiques en matière de cybersécurité et à accroître leur résilience globale à l’égard des cybermenaces.
Les petites et moyennes entreprises sont exposées à diverses cybermenaces sous la forme de la cybercriminalité, qui entraîne souvent des conséquences immédiates sur le plan financier ou de la vie privée, comme la compromission de données des clients, de renseignements financiers et de renseignements exclusifs. Dans cette optique, les contrôles de base offrent un survol des avis, des conseils et des contrôles de sécurité qui permettront
aux entreprises de maximiser l’efficacité de leurs investissements en matière de cybersécurité. Dans le présent bulletin, nous examinons les principales caractéristiques de ces lignes directrices.
Publicité
Évaluation organisationnelle
La cybersécurité dépend manifestement d’une multitude de facteurs. Par conséquent, les entreprises sont encouragées à appliquer les contrôles qui correspondent le mieux à leur situation et à leurs besoins en matière de cybersécurité. Les entreprises devraient procéder à une évaluation en cinq étapes afin de déterminer ces besoins:
1) Évaluation de la taille: Les contrôles de base proposés sont destinés aux entreprises comptant moins de 499 employés.
2) Quels biens et systèmes d’information sont visés par les mesures de cyberprotection: Les biens et les systèmes d’information comprennent les ordinateurs, les serveurs, les dispositifs réseau, les appareils mobiles, les systèmes d’information, les applications, les services et les applications infonuagiques qu’une entreprise utilise pour mener ses activités. Il est fortement recommandé que tous les biens et les systèmes
d’information soient visés par les contrôles de base.
3) Valeur des biens et des systèmes d’information: Le niveau de préjudice sur les plans de la confidentialité, de l’intégrité et de la disponibilité des systèmes d’information et des données doit être évalué. Les contrôles de base sont prévus pour les situations où tous les préjudices potentiels sont à un niveau égal ou inférieur au niveau de menace moyen.
4) Menace principale: Une entreprise qui évolue dans un secteur économique stratégique ou qui fait face à des niveaux de cybermenace plus élevés devrait investir dans des mesures de cybersécurité plus élaborées.
5) Niveau d’investissement dans la cybersécurité: Une personne occupant un poste de direction à titre de responsable de la sécurité des TI devrait être nommée. Le niveau des dépenses que l’entreprise consacre aux TI et à la sécurité des TI ainsi que la part de son effectif qui travaille dans ces secteurs devraient ensuite être évalués.
Identification des contrôles de base
Une fois l’évaluation en cinq étapes effectuée, une entreprise sera en position de déterminer quels contrôles de base doivent être mis en œuvre afin de réduire le risque d’incidents liés à la cybersécurité et d’atteinte à la protection des données.
Le CCC propose les treize contrôles de base suivants:
1) Élaborer un plan d’intervention en cas d’incident: Les entreprises devraient avoir un plan de base faisant état des modes d’intervention en cas d’incidents en fonction des divers niveaux de gravité, à savoir un plan d’intervention officiel (sur support papier et numérique) qui indique les personnes chargées de la gestion d’incident, y compris les coordonnées pertinentes des parties externes, des intervenants et des
organismes de réglementation. Les entreprises devraient également envisager l’achat d’une police d’assurance en matière de cybersécurité et la mise en place d’un système de gestion des informations et des événements de sécurité.
2) Appliquer automatiquement les correctifs aux systèmes d’exploitation et aux applications: Les entreprises devraient activer les mises à jour automatiques pour tous les logiciels et tout le matériel ou mettre en place des solutions complètes de gestion des vulnérabilités et des correctifs, ainsi que mener des activités d’évaluation des risques.
3) Activer les logiciels de sécurité: Les entreprises devraient configurer et activer des antivirus et des antimaliciels dotés de fonctions automatisées de mises à jour et de balayage sur tous les appareils branchés.
4) Configurer les dispositifs pour assurer leur sécurité: Les entreprises devraient utiliser des configurations de sécurisation sur tous leurs appareils, en changeant notamment les mots de passe par défaut, en désactivant les caractéristiques inutiles et en activant les caractéristiques de sécurité pertinentes.
5) Utiliser une authentification forte: Les entreprises devraient mettre en œuvre une solution d’authentification à deux facteurs dans la mesure du possible et exiger une telle mesure pour les comptes importants, tels que les comptes financiers, les administrateurs du système, les administrateurs du nuage, les utilisateurs privilégiés et les cadres supérieurs. Elles devraient également avoir des politiques claires sur la protection des mots de passe
et uniquement exiger la modification d’un mot de passe lorsqu’elles soupçonnent qu’il y a eu compromission ou s’il existe des preuves de compromission.
6) Fournir de la formation pour sensibiliser les employés: Comme première ligne de défense, les entreprises devraient donner de la formation à leurs employés sur les pratiques de sécurité de base et mettre l’accent sur les mesures pratiques et faciles à appliquer, comme l’utilisation de politiques efficaces sur les mots de passe, la détection de courriels et de liens malveillants, l’utilisation de logiciels approuvés,
l’utilisation adéquate de l’Internet et l’utilisation sécuritaire des médias sociaux.
7) Sauvegarde et chiffrement des données: Les entreprises devraient effectuer la sauvegarde des systèmes qui contiennent des renseignements commerciaux essentiels dans un endroit hors site sécurisé et s’assurer que les mécanismes de reprise fonctionnent tel que prévu. Les sauvegardes devraient être chiffrées et leur accès devrait être limité aux fins des mises à l’essai ou des activités de restauration
des données.
8) Services mobiles sécurisés: Les entreprises devraient mettre en œuvre une solution de gestion de la mobilité pour tous les appareils mobiles et opter pour un modèle de propriété des appareils mobiles. Que les appareils mobiles appartiennent à l’entreprise ou aux employés, il doit y avoir une séparation entre les données de nature professionnelle et les données personnelles, y compris les applications, les comptes
de courrier électronique et les contacts. Les entreprises devraient veiller à ce que les applications pour appareils mobiles que téléchargent les employés proviennent d’une liste de sources dignes de confiance et exiger que tous les appareils mobiles stockent les renseignements de nature délicate de façon sécurisée et chiffrée. Les entreprises devraient également obliger les utilisateurs à désactiver les connexions
automatiques aux réseaux ouverts, à éviter la connexion aux réseaux Wi-Fi inconnus, à limiter l’utilisation de Bluetooth et d’autres protocoles de communication en champ proche pour la transmission de renseignements de nature délicate et à utiliser le Wi-Fi de l’entreprise ou le réseau cellulaire plutôt qu’un réseau Wi-Fi public.
9) Établir un périmètre de défense de base: Les entreprises devraient mettre en œuvre des coupe-feux spécialisés, dont ceux dotés de DNS pour les requêtes DNS sortantes vers l’Internet, et activer les logiciels coupe-feu intégrés dans les appareils sur leurs réseaux. Elles devraient exiger une connexion sécurisée à toutes les ressources TI d’entreprise ainsi que la connexion à un
RPV avec une authentification à deux facteurs pour tous les accès à distance aux réseaux d’entreprise, et n’utiliser qu’un réseau Wi-Fi sécurisé, et non des réseaux Wi-Fi publics. Les entreprises devraient suivre les normes de sécurité sur les données de l’industrie des cartes de paiement pour tous les terminaux de point de vente et les systèmes financiers et isoler ces systèmes de l’Internet.
Elles devraient également mettre en œuvre la spécification DMARC sur tous leurs services de courrier électronique.
10) Infonuagique sécurisée et services de TI externalisés: Les entreprises devraient exiger que tous leurs fournisseurs de service infonuagique se conforment aux principes des services Trust ou devraient évaluer si elles sont à l’aise avec la façon dont leurs fournisseurs TI externes traitent leurs renseignements de nature délicate et y accèdent, l’endroit où ils stockent ces renseignements et la manière dont ils les utilisent.
Les entreprises devraient également s’assurer que leur infrastructure TI et les utilisateurs communiquent de façon sécurisée avec le nuage.
11) Sites Web sécurisés: Les entreprises devraient s’assurer que leurs sites Web respectent les directives de l’Application Security Verification Standard du Open Web Application Security Project.
12) Mise en œuvre des contrôles d’accès et autorisation: Les entreprises devraient respecter le principe des autorisations minimales, c’est-à-dire l’octroi d’autorisations aux utilisateurs pour qu’ils disposent des fonctionnalités minimalement requises pour exécuter leurs tâches. Les comptes d’administration devraient faire l’objet d’autres restrictions selon lesquelles seules des mesures administratives (et
non des activités d’utilisateur, comme la navigation sur le Web ou l’accès aux courriels) sont permises. Les entreprises de plus grande taille devraient mettre en œuvre un système de contrôle des autorisations centralisé.
13) Supports amovibles sécurisés: Les entreprises devraient limiter l’utilisation de supports amovibles à leurs propres lecteurs commerciaux chiffrés ainsi qu’avoir de solides contrôles des biens visant ces appareils et exiger l’utilisation de méthodes de chiffrement sur tous ces appareils. Ces contrôles devraient inclure l’élimination appropriée des supports amovibles, y compris l’utilisation des fonctions d’effacement
des données dont sont munis certains dispositifs.
De façon générale, afin d’éviter des atteintes à la réputation, des pertes de productivité, le vol de propriété intellectuelle et des perturbations opérationnelles entraînant des coûts élevés, ou encore d’importantes dépenses relatives à la reprise des activités, il est recommandé que les entreprises tiennent pour acquis qu’elles subiront inévitablement une atteinte
à la protection des données à un moment ou à un autre. Elles seront ainsi mieux à même de détecter ces atteintes et d’intervenir adéquatement de façon à rétablir leurs activités.
Les entreprises qui cherchent à aller au-delà des contrôles de base proposés sont encouragées à se tourner vers des mesures de cybersécurité plus complètes, telles que les contrôles de sécurité du Center for Internet Security (en anglais seulement), le cadre de cybersécurité du
National Institute of Standards and Technology (NIST)) (en anglais seulement), la norme ISO/IEC Technologies de l’information -- Techniques de sécurité -- Systèmes de management de la sécurité de l’information -- Exigences ou le document du CCC intitulé La gestion
des risques liés à la sécurité des TI : Une méthode axée sur le cycle de vie.