7 PROTECTIONS CRITIQUES - ESSENTIELLES EN TI À METTRE EN PLACE PAR LES PME RAPPORT - ARS Solutions
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
7 PROTECTIONS CRITIQUES
RAPPORT ESSENTIELLES EN TI
SUR LA À METTRE EN PLACE PAR LES PME
SÉCURITÉ POUR SE PROTÉGER
DES CYBERCRIMINELS
Réalisé en collaboration avec Joli-Cœur, Lacasse, avocats
© ARS Solutions – 2016 Rapport sur la sécurité – 7 protections critiques essentielles en TI ars-solutions.ca
2
TABLE DES MATIÈRES
LA MOITIÉ DES CYBERATTAQUES VOUS SONT DESTINÉES ................................................................... 4
7 BONNES PRATIQUES À METTRE EN PLACE ........................................................................................ 5
1. La menace de sécurité numéro 1 pour toute entreprise est... vous! ....................................... 5
Formez vos employés pour en faire des alliés ........................................................................................ 5
Cas vécu d’hameçonnage .................................................................................................................... 5
Prévention .............................................................................................................................. 7
2. Exigez des mots de passe et codes d'authentification forts pour verrouiller les appareils
mobiles. ................................................................................................................................ 7
3. Gardez votre réseau et tous les appareils à jour. ........................................................................ 8
4. Ayez un excellent plan de sauvegarde. ........................................................................................ 9
La sauvegarde de vos données - Prérequis ........................................................................................... 9
5. Ne permettez pas à vos employés d'accéder aux données de l'entreprise avec des
périphériques personnels qui ne sont pas surveillés, contrôlés et approuvés par votre
département TI. ............................................................................................................................. 10
Mettez en place une Politique d’Utilisation Acceptable (PUA) ................................................................ 11
Si l’employé quitte ses fonctions… ..................................................................................................... 11
6. Ayez un bon pare-feu. .................................................................................................................. 12
7. La sécurité de vos données dans le Cloud. ............................................................................... 12
TOP 10 DES ACTIVITÉS OBLIGATOIRES POUR UN RÉSEAU SÉCURITAIRE ET PERFORMANT ....................14
LE MONITORING – COMMENT ET POURQUOI? ...................................................................................15
QUI EST ARS SOLUTIONS AFFAIRES ET TECHNOLOGIES? ....................................................................15
QUELQUES TÉMOIGNAGES DE NOS CLIENTS ......................................................................................15
ANNEXE A – EXEMPLE D’UN COURRIEL FRAUDULEUX ................................................................................. 19
© ARS Solutions – 2016 Rapport sur la sécurité – 7 protections critiques essentielles en TI ars-solutions.ca
3
LA MOITIÉ DES CYBERATTAQUES VOUS SONT DESTINÉES...
Le nombre de piratages informatiques a connu une hausse exponentielle en 2015 et la tendance devrait se
maintenir pour 2016. Les cybercriminels auront plus que jamais les PME dans leur mire. Pourquoi? Parce
qu’elles représentent des proies faciles. Chaque jour, près d’un million de nouvelles menaces sont libérées
et la moitié des cyberattaques qui se produisent sont destinées aux PME pour soutirer de l’information sur
leurs clients, les numéros de cartes de crédit et informations bancaires1.
En fait, la National Security Agency (NSA)2 rapporte qu'une PME sur cinq a été victime de
cybercriminalité au cours de la dernière année. Et ce nombre croît rapidement, car de plus en plus
d'entreprises utilisent le Cloud, les appareils mobiles et stockent de l’information en ligne.
Vous n'en avez tout simplement pas entendu parler parce que les entreprises tentent de les garder sous
silence par peur d’attirer la mauvaise presse, les poursuites, les amendes et par fierté. Alors si vous
pensiez être peu à risque parce que vous n’êtes ni une banque ni une grande entreprise comme Home
Depot ou JP Morgan, détrompez-vous!
Qui sont ces cybercriminels?
Présentement, des organismes financés en Chine, en
Russie et en Ukraine utilisent des logiciels sophistiqués
pour pirater des milliers de PME comme la vôtre pour
soutirer de l’information. Certaines de ces organisations sont
même financées par leur propre gouvernement pour attaquer
des compagnies étrangères.
Comment s’en prémunir?
En tant que dirigeant, on doit assurer la pérennité de l’entreprise. Toutefois, il n’est pas toujours facile
d’évaluer notre pourcentage de risque et de savoir par où commencer à travers la complexité que peut
représenter la notion de sécurité dans une PME…
Sans tomber dans le mélodrame ni s’empêcher de dormir la nuit, il ne faut pas ignorer non plus cette
réalité. Il existe des moyens pour se protéger des cybercriminels, alors ne soyons pas leur prochaine
victime.
1
CNN Money, [En ligne], http://money.cnn.com/2015/04/14/technology/security/cyber-attack-hacks-security
2L'Agence nationale de la sécurité (NSA) est un organisme responsable de la sécurité des systèmes d’information et de traitement des données du
gouvernement américain. Elle est le principal centre d'alerte en matière de cybersécurité. (Source : Wikipédia)
© ARS Solutions – 2016 Rapport sur la sécurité – 7 protections critiques essentielles en TI ars-solutions.ca
4
7 BONNES PRATIQUES À METTRE EN PLACE
1. La menace de sécurité numéro 1 pour toute entreprise est... vous!
Qu'on le veuille ou non, presque toutes les brèches de sécurité dans les entreprises sont dues à un clic
d’un employé, au téléchargement ou à l'ouverture d'un fichier qui est infecté, soit sur un site Web ou dans
un courriel. Une fois que le pirate s’est introduit dans votre réseau, il utilise le courrier électronique de la
personne et/ou l'accès pour infecter tous les autres ordinateurs.
Formez vos employés pour en faire des alliés
L’hameçonnage (courriels intelligemment conçus pour ressembler à des messages légitimes provenant
d'un site Web ou d’un fournisseur de confiance) est encore un phénomène très courant. Les filtrages anti-
pourriel et antivirus ne peuvent pas protéger à 100 % votre réseau contre l’hameçonnage si un
employé clique, donnant ainsi l’accès à votre réseau. Voilà pourquoi il est essentiel d’informer vos
employés sur la façon de repérer une escroquerie en ligne. Les cybercriminels sont extrêmement
intelligents et peuvent duper les utilisateurs d'ordinateurs, même les appareils les plus sophistiqués. Il suffit
d’un manque d’attention et le tour est joué. Il est donc crucial de faire des rappels constants auprès de
vos employés et de les éduquer face aux risques de la cybercriminalité.
Pour vous aider, nous avons conçu une série d’astuces en sécurité contenant à la fois les meilleures
pratiques en entreprise et des conseils techniques de base. Elles seront envoyées par courriel aux deux
semaines et chaque action proposée aidera à améliorer la sécurité de votre organisation. N’hésitez pas à
diffuser l’information ou à inscrire vos employés afin de les impliquer dans le processus et à leur faire des
rappels régulièrement afin de les garder alertes.
Cas vécu d’hameçonnage
Si vous receviez ce message en ouvrant votre ordinateur, sauriez-vous quoi faire?
L’hameçonnage arrive plus souvent qu’on pense et pas qu’aux autres… Le
fait de demander une somme d’argent en échange de vos données
s’appelle le rançonnage. Selon une étude menée par l’Université de Kent
en février 2014, plus de 40 % des gens qui ont été victime de CryptoLocker3
ont payé la rançon demandée. Le rapport SecureWorks de Dell indique
que ce malware coûte plus de 30 millions de dollars tous les 100 jours.
3CryptoLocker est un logiciel malveillant de type cheval de Troie et qui tourne sous Windows. Le programme se diffuse principalement via des
courriels infectés, déguisés en factures UPS, Fedex ou de banque. Une fois activé, il chiffre les données personnelles de l'utilisateur et demande
une rançon pour les déverrouiller. Le message d'alerte s'accompagne d'un compte à rebours de 72 ou 100 heures et menace de supprimer les
données si la rançon n'est pas payée. Une fois arrivé à zéro, il augmente en réalité fortement le montant de cette dernière. (Source : Wikipédia)
© ARS Solutions – 2016 Rapport sur la sécurité – 7 protections critiques essentielles en TI ars-solutions.ca
5Le client qui a vécu cette situation n’a pas subi de conséquence grave puisque ses données étaient bien
sécurisées. Par contre, les vérifications effectuées lors du diagnostic ont révélé que la menace était bien
réelle. Les outils mis en place pour assurer la sécurité ont fait une partie du travail. Toutefois, il a quand
même été nécessaire de faire une mise à niveau de la sécurité de l’environnement.
Mais comment savoir si la menace est sérieuse ou non? Le contenu d'un courriel ou d'un message
texte hameçon vise à déclencher une réaction impulsive de votre part. On vous demande alors une
réponse immédiate sous un faux prétexte. Dans tous les cas, il n’y a pas de chance à prendre. Les
réactions sont souvent les mêmes : on s’interroge, on doute, on se fâche, on panique et voilà que le
processus est amorcé...
Comment se présente un courriel d’hameçonnage?
Nous vous prions de vérifier les renseignements de la transaction ci-dessous :
> Dans le cadre des efforts continus que nous déployons pour protéger votre compte et réduire les
cas de fraude, nous avons remarqué que votre profil bancaire en ligne a besoin d'être mis à jour;
> Cher titulaire de compte en ligne;
> Votre compte n'est pas accessible à l'heure actuelle;
> Important message d'intérêt public de la part de;
> Vous avez 1 message relatif à la sécurité à lire;
> Nous avons le regret de vous informer que nous avons dû bloquer l'accès à votre compte bancaire;
> Pour réactiver votre compte, composez le numéro suivant...
Si vous avez malencontreusement répondu aux courriels…
Agissez rapidement et faites vérifier votre réseau. Les programmes malveillants sont à toutes fins
pratiques invisibles. Ils sont difficiles à détecter, car généralement ils n’apparaissent pas dans la liste des
programmes installés et peuvent se réactiver à tout moment.
Quels sont les signes de leur présence sur votre réseau?
> Lenteurs du réseau;
> L’ordinateur fige plus souvent;
> Pannes;
> Frais de télécommunications anormalement élevés.
Un diagnostic révèlera s’il s’agit d’une vraie menace et vous permettra de savoir quoi faire. Vous pourrez
ainsi évaluer la situation et serez en mesure de prendre la meilleure décision.
© ARS Solutions – 2016 Rapport sur la sécurité – 7 protections critiques essentielles en TI ars-solutions.ca
6Voici ce qu’il faut faire
> Soyez vigilant : prenez l'habitude de vérifier la barre d'adresse du site Web afin de voir si elle est
différente de celle sur laquelle vous avez cliqué dans le courriel (voir exemple en Annexe A);
> Ne répondez pas à ces courriels ou messages textes;
> Ne cliquez jamais sur les hyperliens;
> Ne fournissez l'information demandée sous aucun prétexte.
Prévention
> Tel qu’expliqué précédemment, formez et gardez informé le personnel de votre entreprise sur les
bonnes pratiques de sécurité. Cette stratégie sera peu dispendieuse et très efficace;
> Assurez-vous d’avoir en place ce qu’il faut. Le monitoring en continu de votre réseau doit être pris au
sérieux. Cette tâche est trop souvent mise de côté pour des urgences quotidiennes…
> Faites les mises à jour des logiciels recommandés par les manufacturiers et les fournisseurs. Mettez
régulièrement à jour l’antivirus, les logiciels anti-espions, les anti-pourriels et les pare-feux afin de
protéger votre réseau;
> Faites auditer votre réseau annuellement;
> En informatique, la rigueur est votre alliée. Il est donc important de mettre en place les
recommandations énumérées ci-haut.
2. Exigez des mots de passe et codes d'authentification forts pour verrouiller
les appareils mobiles.
Les mots de passe doivent comporter au moins 8 à 10 caractères et contenir des lettres minuscules et
majuscules, symboles et au moins un numéro.
Par exemple, vous pouvez remplacer au hasard des lettres par des symboles, comme $@lut au lieu de
Salut. Vous pouvez inverser l’orthographe d’un mot ou créer un acronyme à partir d’une phrase. Ainsi,
« partenariat » deviendra « tairanetrap » et « Voyage dans le sud cette année » deviendra « VDLSCA »… Il
est recommandé de les changer aux 6 mois.
Sur un téléphone cellulaire, il est primordial d’y ajouter un mot de passe. En cas de vol, cela pourrait éviter
que les données soient compromises. D’où l’importance d’avoir des mots de passe difficiles à deviner,
évitant ainsi de mettre votre organisation à risque. À éviter : code postal, numéro de téléphone, date de
naissance, nom d’un enfant ou d’un animal de compagnie.
© ARS Solutions – 2016 Rapport sur la sécurité – 7 protections critiques essentielles en TI ars-solutions.ca
7TOP 10 des mots de passe les plus prisés des hackers
Rapid74 - une entreprise spécialisée en sécurité
informatique, est à la tête du projet Heisenberg qui
s’appuie sur plusieurs honeypots déployés à travers le
monde. Ces derniers permettent de collecter différentes
informations sur les hackers, notamment sur la manière
dont ils procèdent pour attaquer certaines infrastructures.
Ces stratégies utilisées par les sociétés de sécurité
informatique fonctionnent comme des leurres et sont
spécialement conçues pour attirer les pirates. En gros,
les honeypots permettent d’identifier et de suivre toutes
les activités des cybercriminels en vue de se protéger
contre d’éventuelles attaques.
Depuis un an, l’entreprise a pu analyser plus de 220 000
tentatives de connexions enregistrées, dont plus de
5 000 adresses IP situées dans 119 pays différents,
principalement en provenance de la Chine (39.9%) et
des États-Unis (24.9%).
Si vous utilisez l’un de ces noms d’utilisateur et/ou l’un
de ces mots de passe, il serait préférable pour vous de le
changer immédiatement.
3. Gardez votre réseau et tous les appareils à jour.
De nouvelles failles sont souvent trouvées dans les logiciels que vous utilisez couramment, tels qu’Adobe,
Flash ou QuickTime. Par conséquent, il est essentiel de faire les mises à jour de vos systèmes et
applications lors des maintenances. Elles peuvent être automatisées afin que vous n’ayez pas à vous
soucier de manquer une mise à jour importante.
4Fondée à Boston en 2000, Rapid7 est une entreprise qui offre des solutions de sécurité informatique. Elle compte plus de 550 employés et
possède un chiffre d’affaires évalué à plus de 105 millions de dollars.
© ARS Solutions – 2016 Rapport sur la sécurité – 7 protections critiques essentielles en TI ars-solutions.ca
84. Ayez un excellent plan de sauvegarde.
Cela peut déjouer les attaques de « ransomware (rancongiciel) » les plus agressives (et nouvelles), où un
pirate bloque vos fichiers et les garde en otage jusqu'à ce que vous payez une rançon. Si vos fichiers sont
sauvegardés, vous n’aurez pas à payer un pirate pour les récupérer.
Une bonne sauvegarde vous protégera aussi contre un employé qui, accidentellement (ou
intentionnellement), supprime ou écrase des fichiers, des catastrophes naturelles, incendies, dégâts d’eau,
pannes matérielles et une foule d'autres problèmes de perte de données.
Encore une fois, vos sauvegardes doivent être automatisées et monitorées. Le pire moment pour tester
vos sauvegardes est lorsque vous en avez désespérément besoin pour travailler!
La sauvegarde de vos données - Prérequis
Il faut vous assurer que toutes vos données importantes sont sauvegardées et qu’en cas de besoin, vous
pourriez les récupérer rapidement et facilement. Combien de journées de travail au maximum pouvez-vous
tolérer de perdre en cas de problème?
Advenant une panne majeure, avez-vous tout ce qu’il faut pour être opérationnel? Il est primordial
d’avoir une copie complète :
> De vos données;
> De vos applications (logiciels comptables, production, etc.) et systèmes d’exploitation (Windows, Linux,
etc.);
> De la configuration personnalisée (réseau et applications), incluant la sécurité, que vous avez bâtie au
fil des ans.
Êtes-vous certain que votre solution actuelle de sauvegarde convient aux attentes de l’entreprise? Quel est
votre niveau de tolérance à la panne? En cas de panne de vos systèmes, combien de jours ou même
d’heures pouvez-vous vous permettre d’être arrêté sans affecter sérieusement les opérations de votre
entreprise? La solution en place doit être en cohérence avec votre réalité d’entreprise.
En plus d’avoir une copie complète de vos données dans vos bureaux, vous devriez également avoir une
copie identique répliquée à l’extérieur et facile d’accès, c’est-à-dire sans avoir de démarche légale à faire
pour l’obtenir. L’important est d’avoir en tout temps le contrôle de vos données à 100 %. La réplication à
elle seule n’est pas une garantie de remise en fonction rapide. Il faut entre autres tenir compte de la
performance des équipements et du cryptage des données qui peuvent faire varier les délais de
récupération. De plus, les tests de récupération effectués à partir de quelques fichiers sont insuffisants.
Même s’ils sont réussis, ils ne garantissent pas que l’ensemble de vos systèmes serait facile à remonter en
cas de nécessité. Faire des tests de simulation complets demeure votre meilleure garantie.
© ARS Solutions – 2016 Rapport sur la sécurité – 7 protections critiques essentielles en TI ars-solutions.ca
9À éviter : accumuler des données inutiles, car les coûts d’entreposage et de gestion (sécurité,
vérification, contrôle) sont de plus en plus élevés.
5. Ne permettez pas à vos employés d'accéder aux données de l'entreprise
avec des périphériques personnels qui ne sont pas surveillés, contrôlés et
approuvés par votre département TI.
L'utilisation de dispositifs personnels et mobiles au travail est en pleine expansion. Grâce à la commodité
du Cloud, vos employés et vous pouvez accéder à presque tout type de données de l'entreprise à distance.
Tout ce qu'il faut est un nom d'utilisateur et un mot de passe. Les employés vous demanderont même s’ils
peuvent apporter leurs propres dispositifs personnels au travail (BYOD) et utiliseront leur smartphone pour
à peu près tout.
Cette tendance a considérablement augmenté la
complexité de maintenir un réseau et vos données
d'entreprise sécuritaires.
En fait, le plus grand danger avec le Cloud n’est
pas que votre fournisseur de services ou société
d'hébergement soient compromis (bien que cela
reste une possibilité).
Votre plus grande menace est que l'un de vos employés accède à une application via un dispositif
personnel qui est infecté, donnant ainsi accès à l’ensemble de votre réseau à un pirate.
En résumé, si vous laissez vos employés utiliser des appareils personnels, vous devez vous assurer que
ces dispositifs soient correctement sécurisés, monitorés et entretenus par un professionnel. Aussi, ne
laissez pas les employés télécharger des logiciels ou des fichiers non autorisés. Une des voies d'accès les
plus rapides pour les cybercriminels est de duper les utilisateurs peu méfiants à télécharger volontairement
des logiciels malveillants en les intégrants dans des fichiers téléchargeables qui paraissent inoffensifs.
Cependant, la plupart des employés ne voudront pas que vous les suiviez et surveilliez leurs appareils
personnels. Ils ne voudront pas non plus que vous effaciez leurs appareils à distance en cas de perte ou de
vol. Toutefois, c’est exactement ce que vous devez faire pour protéger votre entreprise. Nous suggérons
que vous permettiez aux employés d'accéder aux fichiers liés au travail, aux applications Cloud et aux
courriels via des appareils appartenant à la société, et ne jamais permettre aux employés d'accéder à ces
fichiers sur leurs appareils personnels ou WiFi publics s’ils ne sont pas contrôlés rigoureusement par
l’entreprise.
© ARS Solutions – 2016 Rapport sur la sécurité – 7 protections critiques essentielles en TI ars-solutions.ca
10Mettez en place une Politique d’Utilisation Acceptable (PUA)
Cette dernière décrit comment les employés sont autorisés à utiliser les appareils appartenant à votre
entreprise, logiciels, accès à Internet et courriels. Nous vous recommandons fortement de mettre en place
une politique qui limite les sites Web auxquels les employés peuvent accéder. Aussi, vous devez appliquer
cette politique aux logiciels de filtrage de contenus et pare-feux. Définissez également des autorisations et
règles qui régiront les sites auxquels vos employés pourront avoir accès et ce qu'ils feront en ligne pendant
les heures de travail avec des appareils vous appartenant.
Avoir ce type de politique en place est particulièrement important si vos employés utilisent leurs propres
appareils personnels ou ordinateurs personnels pour accéder aux courriels et données de la société. Avec
autant d'applications dans le nuage, un employé peut accéder à une application critique de l’entreprise sur
tout appareil avec un navigateur, ce qui vous expose considérablement aux risques.
Si un employé se connecte dans les applications de l’entreprise à partir du Cloud en utilisant un
périphérique personnel infecté ou non protégé, cela crée une passerelle pour un pirate et lui facilite l’accès
à votre réseau. C’est pourquoi nous ne recommandons pas aux employés de travailler à distance ou à
domicile via leurs propres dispositifs personnels s’ils ne sont pas contrôlés et sécurisés.
Si l’employé quitte ses fonctions…
Êtes-vous autorisé à effacer des données de l'entreprise sur son téléphone ou ordinateur portable
personnel? Si son téléphone est perdu ou volé, êtes-vous autorisé à effacer à distance le dispositif –
manœuvre visant à supprimer toutes les photos, vidéos, textes de cet employé, etc. - afin de vous assurer
que les informations de vos clients ne soient pas compromises?
De plus, pour les données sensibles de votre organisation, comme des dossiers clients, informations de
cartes de crédit, informations financières et autres, légalement vous ne pouvez pas autoriser vos employés
à utiliser des appareils qui ne sont pas sécurisés. En ce sens, la compagnie a un devoir moral de
respecter certaines règles de sécurité puisqu’elle pourrait être poursuivie.
Par ailleurs, vous devez détailler ce que l'employé peut et ne peut pas faire avec les appareils et il doit en
aucun cas contourner les mécanismes de sécurité que vous mettez en place, par exemple en ayant
recours au rooting (Android) ou jailbreaking (Apple)5.
5
Ces méthodes permettent d'autoriser les utilisateurs de smartphones, tablettes, et autres appareils à effectuer une élévation des privilèges. Elles
sont pratiquées dans le but de supprimer les limitations de l'opérateur et de certains constructeurs, ce qui permet alors de modifier ou supprimer
des applications systèmes ou réglages, lancer des applications qui requièrent les droits d'administrateur, ou effectuer d'autres actions qui sont
normalement impossibles pour les utilisateurs. (Source : Wikipédia)
© ARS Solutions – 2016 Rapport sur la sécurité – 7 protections critiques essentielles en TI ars-solutions.ca
116. Ayez un bon pare-feu.
Un pare-feu agit comme première ligne de défense contre les pirates, bloquant tout ce dont vous n’avez
pas expressément autorisé à entrer (ou sortir) de votre réseau informatique. Toutefois, les pare-feux,
comme tous les périphériques de votre réseau, doivent être surveillés par des outils spécialisés et
maintenus régulièrement en appliquant les correctifs recommandés par les manufacturiers. Sinon, ils sont
complètement inutiles. Ces processus de sécurité devraient être mis en place en plus de l’entretien de
routine effectué par votre responsable ou partenaire TI. Voir en page 15, le top 10 des activités obligatoires
pour un réseau sécuritaire et performant.
7. La sécurité de vos données dans le Cloud.
L’attrait du Cloud permettant l’accessibilité de vos données en tout temps par Internet, une solution
logicielle mise à jour en continu et des frais reliés à votre consommation est bien réel et tôt ou tard vous
aurez à décider si vous faites le saut avec vos données d’entreprise.
Prenez en considération les éléments suivants pour assurer la sécurité physique et légale de vos données
confiées à un fournisseur Cloud :
A. Évaluez objectivement la sensibilité des données que vous vous apprêtez à faire héberger
sur l’infrastructure informatique d’un tiers.
L’évaluation de la sensibilité des données que vous proposez de mettre dans le Cloud est un exercice
absolument fondamental à la sécurité de l’opération et à une prise de décision éclairée pour l’usage du
Cloud public pour votre entreprise. Pouvez-vous vous permettre la perte, l’accès illicite ou la divulgation,
par exemple, de vos données stratégiques, de vos recettes industrielles, du vol de numéros de cartes
de crédit de vos clients ou des numéros d’assurance sociale ou des données médicales que vous
auriez pu colliger entre autres sur vos employés?
Considérez le Cloud public pour des données de faible à moyenne sensibilité, d’autant que les serveurs
informatiques du fournisseur sont offerts en mode multi-locataires et que vous n’êtes pas à l’abri d’une
divulgation inattendue de vos données à un colocataire. Sur ce point, vérifiez que votre fournisseur a
des mesures concrètes de ségrégation des données entre locataires. Les données de sensibilité
critiques sont encore mieux hébergées sur un serveur sécurisé à l’interne, à moins de pouvoir vous
payer un Cloud privé à même votre organisation, mais les coûts ne sont plus les mêmes.
© ARS Solutions – 2016 Rapport sur la sécurité – 7 protections critiques essentielles en TI ars-solutions.ca
12B. Exigez l’encryption de vos données pendant le transport et aussi au repos sur les serveurs
du fournisseur Cloud.
Vérifiez que le fournisseur protège vos données pendant leur transport sur Internet via le protocole SSL
et possède un certificat de haut niveau (le plus élevé étant de 2048 bits). Vérifiez que le fournisseur
offre aussi l’encryption des données au repos sur ses serveurs et quelle est la norme applicable, par
exemple, la norme AES-256 ou du moins, s’il vous permet d’utiliser des outils externes vous permettant
d’encrypter vos données sur ses serveurs...
C. Vérifiez la réputation et les certifications internationales du fournisseur.
« Googlez » le nom de votre fournisseur et vérifiez les derniers incidents rapportés qui le concernent. A-
t-il bien réagi et supporté sa clientèle? Est-il critiqué de toute part ou poursuivi par les autorités
compétentes?
Examinez avec le plus grand soin les accréditations internationales que possède votre fournisseur. Par
exemple de type ISO 27002 sur les contrôles de sécurité des systèmes informatiques ou de type
SSAE16 s’il traite pour vous des données financières. Ou mieux encore, s’il détient les toutes nouvelles
normes de gestion spécialement édictées en 2014 pour les fournisseurs de services Cloud : soit la
norme ISO 27017 relative aux contrôles de sécurité pour les fournisseurs Cloud ou la norme ISO 27018
visant la protection des renseignements personnels par un fournisseur Cloud et qui répond à la majorité
des problématiques touchant la protection des renseignements personnels dont vous êtes responsables
en tout temps malgré votre impartition dans le Cloud. À tout événement, ces certifications font l’objet
d’un audit externe annuel pour être maintenues. Exigez d’en recevoir copie chaque année, quitte à
signer une entente de confidentialité avec le fournisseur pour les obtenir. Vous verrez ainsi s’il y a eu
des problématiques sur son infrastructure ou sa gestion des incidents en cours d’année et si le
fournisseur a su corriger la situation à la satisfaction de l’organisme certificateur.
D. Vérifiez attentivement les processus de gestion des incidents de sécurité informatique du
fournisseur.
Quelles sont les mesures prises par le fournisseur en cas de perte de données ou d’accès ou de
communication non autorisés? Quelles sont les mesures de signalement des incidents de sécurité à
vos données? Rappelez-vous que sous peu, la nouvelle loi fédérale sur la « Protection des
renseignements numériques » exigera que vous mainteniez (via votre fournisseur Cloud) des
registres des incidents de sécurité aux données personnelles que vous possédez et que vous
divulguiez clairement l’atteinte à la sécurité des données dès que possible aux personnes susceptibles
de subir un préjudice grave et à tout organisme permettant de diminuer le risque de préjudice (ex. la
police), à défaut de quoi vous pourriez subir des amendes importantes allant jusqu’à 10 000$ dans le
cas d’une poursuite pénale ou à 100 000$ dans le cas d’une poursuite pour acte criminel. Vérifiez
attentivement quel est le plan de reprise du fournisseur après sinistre et quels sont les processus et
délais appréhendés pour vous permettre de reprendre vos activités courantes. C’est ici que la norme
© ARS Solutions – 2016 Rapport sur la sécurité – 7 protections critiques essentielles en TI ars-solutions.ca
13ISO 2018 prend son importance alors que les engagements de divulgation des incidents aux
renseignements personnels sont bien établis.
E. Gardez le contrôle de vos données dans le contrat.
Stipulez dans le contrat que vous êtes le seul et entier propriétaire de données hébergées sur les
serveurs du fournisseur Cloud et que lui et ses sous-traitants n’ont droit d’accès qu’uniquement pour
donner le service promis ou assurer le support ou la maintenance du système. Stipulez que le
fournisseur et ses sous-traitants ne sont pas autorisés à faire aucun usage secondaire des données
hébergées ou des données système générées, par exemple, par les requêtes faites par les utilisateurs,
ni à les vendre à autrui. Ne permettez au besoin qu’un usage de données anonymes aux fins du
fournisseur.
F. Assurez-vous de savoir dans quelle juridiction sont vos données en tout temps.
Vos données peuvent être sauvegardées à l’étranger, par exemple, sur des serveurs redondants du
fournisseur et il importe que vous sachiez dans quelle juridiction se trouvent vos données en tout
temps. Vous devez vous informer sur la réglementation applicable en matière de protection des
renseignements personnels dans ces juridictions pour répondre aux exigences de la réglementation
canadienne et québécoise qui interdisent le transfert de données personnelles dans des juridictions qui
n’offrent pas une protection similaire aux lois canadiennes et québécoises en cette matière. Il importe
donc d’éviter des juridictions « exotiques » et que vous ayez une bonne idée des entités étrangères qui
pourraient avoir accès à vos données.
G. Assurez- vous de pouvoir récupérer efficacement vos données et que celles-ci soient
effacées de façon permanente de toute l’infrastructure du fournisseur Cloud.
Que ce soit en cas de faillite du fournisseur ou à l’expiration du contrat Cloud, vérifiez attentivement le
délai qui vous est alloué pour récupérer vos données, dans quel format celles-ci vous seront remises :
dans leur format original, dans une version propriétaire du fournisseur qui va exiger des frais et délais
de conversion, quelle assistance sans frais le fournisseur est-il prêt à rendre? Assurez-vous que le
fournisseur s’engage à utiliser des normes reconnues de destruction de vos données après votre
migration non seulement de son centre de données principal, mais dans toute son infrastructure,
incluant ses centres à l’étranger.
Rappelez–vous que le Cloud public est un modèle d’affaires qui n’est pas encore arrivé à parfaite
maturité. Recherchez des fournisseurs canadiens et québécois qui ont des infrastructures de qualité et
des hauts standards de gouvernance. Comme pour le reste, la sécurité se paye. Privilégiez les
compagnies réputées si vous êtes pour mettre vos données d’affaires dans les mains d’un tiers.
Assurez-vous aussi d’un plan B au besoin et gardez une copie régulière de vos données, à jour et
exploitables à l’interne, pour assurer vos arrières et la pérennité de vos activités.
© ARS Solutions – 2016 Rapport sur la sécurité – 7 protections critiques essentielles en TI ars-solutions.ca
14TOP 10 DES ACTIVITÉS OBLIGATOIRES POUR UN RÉSEAU SÉCURITAIRE
ET PERFORMANT
1. Surveillance des équipements et services (logiciels) critiques pour l'entreprise. Exemples : détection et
suppression de logiciels espions, envoi d’alertes vous informant d’éventuels problèmes, de tentatives
de connexion, du statut des sauvegardes, etc.;
2. Application des mises à jour de sécurité de façon régulière : Microsoft, antivirus, etc., incluant les
postes de travail et les serveurs;
3. Vérification de l’ensemble du processus de sauvegarde de données en tenant compte des
modifications effectuées sur votre architecture réseau;
4. Sauvegarde de la configuration personnalisée de votre réseau (par exemple, la personnalisation de
votre logiciel maison ou la configuration des équipements de télécommunications) incluant la sécurité;
5. Installation, configuration et mises à jour des filtres anti-pourriels (SPAM);
6. Vérification de la performance des équipements et logiciels. Ajustements des configurations des
systèmes dans un but d’optimisation et éviter la dégradation de la performance du réseau (ce qui peut
révéler un problème de sécurité ou la présence de virus);
7. Mise à jour des micrologiciels d’équipements tels que les pare-feux;
8. Recommandations des travaux à faire avec le degré d’urgence et impacts si non effectués;
9. Suivi régulier des travaux qui n’ont pas été adressés;
10. Mise à jour de la documentation du réseau.
ACTIVITÉS OPTIONNELLES RECOMMANDÉES
1. Audit annuel de l’ensemble du réseau (interne et externe);
2. Maintien du schéma de votre réseau;
3. Effectuer des tests complets de restauration (récupérer un courriel n’est pas un test suffisant);
4. Évaluation du plan de relève en place en cas de panne majeure ou de sinistre.
LE MONITORING – COMMENT ET POURQUOI?
La surveillance de vos équipements permet d’anticiper les troubles techniques qui s’amorcent sur votre
réseau et d’intercepter toute activité anormale en plus de maintenir un bon niveau de performance. Vous
ferez d’une pierre plusieurs coups. Pour être efficace et pertinente, cette surveillance doit être effectuée en
CONTINU par une ressource responsable de cette tâche qui alloue QUOTIDIENNEMENT du temps à cette
fonction.
L’information importante détenue par les entreprises augmente leur dépendance face aux TIC stimulant
ainsi un engouement des organisations cybercriminelles. Les moyens entrepris par les cybercriminels sont
© ARS Solutions – 2016 Rapport sur la sécurité – 7 protections critiques essentielles en TI ars-solutions.ca
15de plus en plus astucieux et sophistiqués pour arriver à leurs fins. C'est principalement la raison pour
laquelle vous devez rester vigilant. Le monitoring vous aidera à garder l’œil ouvert.
Bien sûr, vous devez prendre en considération les cas d’employés malveillants, d’équipements volés, de
bris et de pannes d’équipements, de feu et de vandalisme. Tous peuvent arrêter votre réseau ou détruire
de l'information qui vous appartient. N’oubliez pas que, par la loi, toute entreprise qui détient des
informations personnelles et privées (médicales, financières ou autres informations concernant les clients
comme les adresses électroniques) en est responsable et peut faire face à des poursuites judiciaires. Ce
sont tous des éléments qui peuvent rendre votre réseau inopérable, créer des pannes, détruire ou
corrompre les données de l’entreprise.
Une chose est certaine, si vous avez à faire face à l’un de ces malheureux événements, vous serez
bousculé par l’urgence et forcé d’agir pour réparer les dégâts. Ainsi, vous payerez beaucoup plus!
Au final, travailler à prévenir ces problèmes et garder votre réseau sécuritaire et performant est
beaucoup moins dispendieux et dommageable.
Les faits sont là. Effectuez la maintenance et la surveillance de votre réseau pour le garder performant,
sécurisé et ainsi assurer la productivité de votre entreprise.
© ARS Solutions – 2016 Rapport sur la sécurité – 7 protections critiques essentielles en TI ars-solutions.ca
16QUI EST ARS SOLUTIONS AFFAIRES ET TECHNOLOGIES?
Depuis plus de 25 ans, ARS aide les PME à être plus efficaces et plus performantes en abordant les
technologies autrement. Pas en investissant plus, mais différemment et de manière ciblée. Elle garantit à
sa clientèle un environnement TI stable, sécuritaire et optimal ainsi que des choix technologiques judicieux
dans un alignement avec les ambitions d’affaires des dirigeants.
Ses méthodes de travail spécifiques – basées sur la rigueur, la minutie et sur des actions ciblées et
réfléchies – lui permettent de garantir à ses clients qu’ils atteindront 100 % des résultats visés, sans quoi ils
ne paient pas la facture.
Ces méthodes se manifestent à travers l’ensemble de ses services offerts – Planification Stratégique
Affaires-TI, implantations des technologies ciblées, gestion et surveillance d’infrastructures et
développement d’applications.
ARS fait la différence plus particulièrement dans les entreprises où la tolérance aux pannes de systèmes
est très faible et qui préconisent un niveau de proactivité supérieur.
Elle compte près de 400 000 interventions et projets à travers le Québec auprès d’entreprises des secteurs
manufacturiers, services professionnels et points de vente de 50 à 1000 employés. Elle est reconnue pour
sa capacité à relever des défis technologiques et à livrer des résultats.
© ARS Solutions – 2016 Rapport sur la sécurité – 7 protections critiques essentielles en TI ars-solutions.ca
17CE QU’ILS DISENT DE NOUS
Dans nos rencontres d’équipe, j’ai instauré la minute informatique, ce qui me permet de sensibiliser
notre personnel à la sécurité informatique.
« De nos jours, la cybercriminalité est une réalité et nous n’avons pas d’autre choix
que de nous protéger. Je consulte toutes les informations qu’ARS m’envoie, comme
les bulletins et les rapports. Par la suite, je transmets aux employés les informations
pertinentes pour les sensibiliser. Ils sont de plus en plus habiles à détecter les
courriels frauduleux ou représentant un risque pour la sécurité de nos systèmes.
Ce sont de bonnes habitudes que nous n’avons plus le choix de combiner à une bonne protection
antivirus et antipourriel ainsi qu’à une solution de sauvegarde et de relève robuste comme celle
d’ARS. »
Louyse Trudel
Agente d’administration à la direction générale
AQCS
La surveillance de nos systèmes nous amène la proactivité dont nous avons besoin pour demeurer
en contrôle et nous libère du temps pour nous consacrer à d’autres projets.
« Nous avons l’esprit plus tranquille. L’analyse de notre réseau nous a beaucoup
aidés et nous a permis de voir nos forces et nos faiblesses. Nous avons beaucoup
amélioré la stabilité et la performance de nos installations… Ensuite, nous étions
à l’étape d’avoir une solution de sauvegarde et de relève vraiment fiable tout en
simplifiant notre gestion. Nous avons donc décidé d’implanter le service de
sauvegarde 2B.Back. Nous aimons beaucoup le professionnalisme qu’ARS dégage ».
Alain Bédard
Responsable de la gestion
des systèmes d’informations
Bois de Plancher PG
Une tranquillité d’esprit à tous les niveaux et pour tous les membres de la direction.
« Avec 2B.Back, on est maintenant sûr de la fiabilité de nos copies de sécurité.
Pour nous, finies les manipulations! En plus, il occupe une position beaucoup plus
stratégique en termes de Plan de relève comparativement à la solution que nous
avions avant. Un souci de moins pour tous les membres de la direction. Nous avons
deux succursales, une à Québec et une à Montréal. 2B.Back facilite notre gestion, peu
importe où on l’on se trouve. Bravo à ARS pour sa disponibilité et sa rapidité à
répondre à nos demandes ».
Maurice l’Écuyer
Responsable informatique
Orthofab Inc.
© ARS Solutions – 2016 Rapport sur la sécurité – 7 protections critiques essentielles en TI ars-solutions.ca
18ANNEXE A – EXEMPLE D’UN COURRIEL FRAUDULEUX
1. Assurez-vous que l’adresse courriel du destinataire provienne du domaine ‘’paypal.com’’. Dans le
présent cas, il aurait dû être indiqué : *****@paypal.com.
2. Prenez l'habitude de vérifier la barre d'adresse du site Web afin de voir si le nom qui s’affiche est le
même que celui sur lequel vous avez cliqué dans le courriel. Dans ce cas-ci, nous devrions voir Paypal
apparaitre dans la barre d’adresse et non Dynect.
19NOTE : Si le courriel avait réellement été envoyé par Paypal, vous auriez vu ceci dans votre barre
d’adresse en cliquant sur le lien :
Pour les besoins de l’exercice, nous avons cliqué sur le lien à l’intérieur du courriel. Toutefois, il est
fortement recommandé de ne pas cliquer sur un lien dont vous ne connaissez pas la source afin de ne pas
être tenté de fournir l’information demandée. La présentation est souvent convaincante, méfiez-vous!
20Conforme à ISO 9001-2008 6655, boul. Pierre-Bertrand, bureau 301, Québec (Québec) G2K 1M1 T 418 872-4744 | info@ars-solutions.ca | ars-solutions.ca
Vous pouvez aussi lire
