7 PROTECTIONS CRITIQUES - ESSENTIELLES EN TI À METTRE EN PLACE PAR LES PME RAPPORT - ARS Solutions
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
7 PROTECTIONS CRITIQUES RAPPORT ESSENTIELLES EN TI SUR LA À METTRE EN PLACE PAR LES PME SÉCURITÉ POUR SE PROTÉGER DES CYBERCRIMINELS Réalisé en collaboration avec Joli-Cœur, Lacasse, avocats
© ARS Solutions – 2016 Rapport sur la sécurité – 7 protections critiques essentielles en TI ars-solutions.ca 2
TABLE DES MATIÈRES LA MOITIÉ DES CYBERATTAQUES VOUS SONT DESTINÉES ................................................................... 4 7 BONNES PRATIQUES À METTRE EN PLACE ........................................................................................ 5 1. La menace de sécurité numéro 1 pour toute entreprise est... vous! ....................................... 5 Formez vos employés pour en faire des alliés ........................................................................................ 5 Cas vécu d’hameçonnage .................................................................................................................... 5 Prévention .............................................................................................................................. 7 2. Exigez des mots de passe et codes d'authentification forts pour verrouiller les appareils mobiles. ................................................................................................................................ 7 3. Gardez votre réseau et tous les appareils à jour. ........................................................................ 8 4. Ayez un excellent plan de sauvegarde. ........................................................................................ 9 La sauvegarde de vos données - Prérequis ........................................................................................... 9 5. Ne permettez pas à vos employés d'accéder aux données de l'entreprise avec des périphériques personnels qui ne sont pas surveillés, contrôlés et approuvés par votre département TI. ............................................................................................................................. 10 Mettez en place une Politique d’Utilisation Acceptable (PUA) ................................................................ 11 Si l’employé quitte ses fonctions… ..................................................................................................... 11 6. Ayez un bon pare-feu. .................................................................................................................. 12 7. La sécurité de vos données dans le Cloud. ............................................................................... 12 TOP 10 DES ACTIVITÉS OBLIGATOIRES POUR UN RÉSEAU SÉCURITAIRE ET PERFORMANT ....................14 LE MONITORING – COMMENT ET POURQUOI? ...................................................................................15 QUI EST ARS SOLUTIONS AFFAIRES ET TECHNOLOGIES? ....................................................................15 QUELQUES TÉMOIGNAGES DE NOS CLIENTS ......................................................................................15 ANNEXE A – EXEMPLE D’UN COURRIEL FRAUDULEUX ................................................................................. 19 © ARS Solutions – 2016 Rapport sur la sécurité – 7 protections critiques essentielles en TI ars-solutions.ca 3
LA MOITIÉ DES CYBERATTAQUES VOUS SONT DESTINÉES... Le nombre de piratages informatiques a connu une hausse exponentielle en 2015 et la tendance devrait se maintenir pour 2016. Les cybercriminels auront plus que jamais les PME dans leur mire. Pourquoi? Parce qu’elles représentent des proies faciles. Chaque jour, près d’un million de nouvelles menaces sont libérées et la moitié des cyberattaques qui se produisent sont destinées aux PME pour soutirer de l’information sur leurs clients, les numéros de cartes de crédit et informations bancaires1. En fait, la National Security Agency (NSA)2 rapporte qu'une PME sur cinq a été victime de cybercriminalité au cours de la dernière année. Et ce nombre croît rapidement, car de plus en plus d'entreprises utilisent le Cloud, les appareils mobiles et stockent de l’information en ligne. Vous n'en avez tout simplement pas entendu parler parce que les entreprises tentent de les garder sous silence par peur d’attirer la mauvaise presse, les poursuites, les amendes et par fierté. Alors si vous pensiez être peu à risque parce que vous n’êtes ni une banque ni une grande entreprise comme Home Depot ou JP Morgan, détrompez-vous! Qui sont ces cybercriminels? Présentement, des organismes financés en Chine, en Russie et en Ukraine utilisent des logiciels sophistiqués pour pirater des milliers de PME comme la vôtre pour soutirer de l’information. Certaines de ces organisations sont même financées par leur propre gouvernement pour attaquer des compagnies étrangères. Comment s’en prémunir? En tant que dirigeant, on doit assurer la pérennité de l’entreprise. Toutefois, il n’est pas toujours facile d’évaluer notre pourcentage de risque et de savoir par où commencer à travers la complexité que peut représenter la notion de sécurité dans une PME… Sans tomber dans le mélodrame ni s’empêcher de dormir la nuit, il ne faut pas ignorer non plus cette réalité. Il existe des moyens pour se protéger des cybercriminels, alors ne soyons pas leur prochaine victime. 1 CNN Money, [En ligne], http://money.cnn.com/2015/04/14/technology/security/cyber-attack-hacks-security 2L'Agence nationale de la sécurité (NSA) est un organisme responsable de la sécurité des systèmes d’information et de traitement des données du gouvernement américain. Elle est le principal centre d'alerte en matière de cybersécurité. (Source : Wikipédia) © ARS Solutions – 2016 Rapport sur la sécurité – 7 protections critiques essentielles en TI ars-solutions.ca 4
7 BONNES PRATIQUES À METTRE EN PLACE 1. La menace de sécurité numéro 1 pour toute entreprise est... vous! Qu'on le veuille ou non, presque toutes les brèches de sécurité dans les entreprises sont dues à un clic d’un employé, au téléchargement ou à l'ouverture d'un fichier qui est infecté, soit sur un site Web ou dans un courriel. Une fois que le pirate s’est introduit dans votre réseau, il utilise le courrier électronique de la personne et/ou l'accès pour infecter tous les autres ordinateurs. Formez vos employés pour en faire des alliés L’hameçonnage (courriels intelligemment conçus pour ressembler à des messages légitimes provenant d'un site Web ou d’un fournisseur de confiance) est encore un phénomène très courant. Les filtrages anti- pourriel et antivirus ne peuvent pas protéger à 100 % votre réseau contre l’hameçonnage si un employé clique, donnant ainsi l’accès à votre réseau. Voilà pourquoi il est essentiel d’informer vos employés sur la façon de repérer une escroquerie en ligne. Les cybercriminels sont extrêmement intelligents et peuvent duper les utilisateurs d'ordinateurs, même les appareils les plus sophistiqués. Il suffit d’un manque d’attention et le tour est joué. Il est donc crucial de faire des rappels constants auprès de vos employés et de les éduquer face aux risques de la cybercriminalité. Pour vous aider, nous avons conçu une série d’astuces en sécurité contenant à la fois les meilleures pratiques en entreprise et des conseils techniques de base. Elles seront envoyées par courriel aux deux semaines et chaque action proposée aidera à améliorer la sécurité de votre organisation. N’hésitez pas à diffuser l’information ou à inscrire vos employés afin de les impliquer dans le processus et à leur faire des rappels régulièrement afin de les garder alertes. Cas vécu d’hameçonnage Si vous receviez ce message en ouvrant votre ordinateur, sauriez-vous quoi faire? L’hameçonnage arrive plus souvent qu’on pense et pas qu’aux autres… Le fait de demander une somme d’argent en échange de vos données s’appelle le rançonnage. Selon une étude menée par l’Université de Kent en février 2014, plus de 40 % des gens qui ont été victime de CryptoLocker3 ont payé la rançon demandée. Le rapport SecureWorks de Dell indique que ce malware coûte plus de 30 millions de dollars tous les 100 jours. 3CryptoLocker est un logiciel malveillant de type cheval de Troie et qui tourne sous Windows. Le programme se diffuse principalement via des courriels infectés, déguisés en factures UPS, Fedex ou de banque. Une fois activé, il chiffre les données personnelles de l'utilisateur et demande une rançon pour les déverrouiller. Le message d'alerte s'accompagne d'un compte à rebours de 72 ou 100 heures et menace de supprimer les données si la rançon n'est pas payée. Une fois arrivé à zéro, il augmente en réalité fortement le montant de cette dernière. (Source : Wikipédia) © ARS Solutions – 2016 Rapport sur la sécurité – 7 protections critiques essentielles en TI ars-solutions.ca 5
Le client qui a vécu cette situation n’a pas subi de conséquence grave puisque ses données étaient bien sécurisées. Par contre, les vérifications effectuées lors du diagnostic ont révélé que la menace était bien réelle. Les outils mis en place pour assurer la sécurité ont fait une partie du travail. Toutefois, il a quand même été nécessaire de faire une mise à niveau de la sécurité de l’environnement. Mais comment savoir si la menace est sérieuse ou non? Le contenu d'un courriel ou d'un message texte hameçon vise à déclencher une réaction impulsive de votre part. On vous demande alors une réponse immédiate sous un faux prétexte. Dans tous les cas, il n’y a pas de chance à prendre. Les réactions sont souvent les mêmes : on s’interroge, on doute, on se fâche, on panique et voilà que le processus est amorcé... Comment se présente un courriel d’hameçonnage? Nous vous prions de vérifier les renseignements de la transaction ci-dessous : > Dans le cadre des efforts continus que nous déployons pour protéger votre compte et réduire les cas de fraude, nous avons remarqué que votre profil bancaire en ligne a besoin d'être mis à jour; > Cher titulaire de compte en ligne; > Votre compte n'est pas accessible à l'heure actuelle; > Important message d'intérêt public de la part de; > Vous avez 1 message relatif à la sécurité à lire; > Nous avons le regret de vous informer que nous avons dû bloquer l'accès à votre compte bancaire; > Pour réactiver votre compte, composez le numéro suivant... Si vous avez malencontreusement répondu aux courriels… Agissez rapidement et faites vérifier votre réseau. Les programmes malveillants sont à toutes fins pratiques invisibles. Ils sont difficiles à détecter, car généralement ils n’apparaissent pas dans la liste des programmes installés et peuvent se réactiver à tout moment. Quels sont les signes de leur présence sur votre réseau? > Lenteurs du réseau; > L’ordinateur fige plus souvent; > Pannes; > Frais de télécommunications anormalement élevés. Un diagnostic révèlera s’il s’agit d’une vraie menace et vous permettra de savoir quoi faire. Vous pourrez ainsi évaluer la situation et serez en mesure de prendre la meilleure décision. © ARS Solutions – 2016 Rapport sur la sécurité – 7 protections critiques essentielles en TI ars-solutions.ca 6
Voici ce qu’il faut faire > Soyez vigilant : prenez l'habitude de vérifier la barre d'adresse du site Web afin de voir si elle est différente de celle sur laquelle vous avez cliqué dans le courriel (voir exemple en Annexe A); > Ne répondez pas à ces courriels ou messages textes; > Ne cliquez jamais sur les hyperliens; > Ne fournissez l'information demandée sous aucun prétexte. Prévention > Tel qu’expliqué précédemment, formez et gardez informé le personnel de votre entreprise sur les bonnes pratiques de sécurité. Cette stratégie sera peu dispendieuse et très efficace; > Assurez-vous d’avoir en place ce qu’il faut. Le monitoring en continu de votre réseau doit être pris au sérieux. Cette tâche est trop souvent mise de côté pour des urgences quotidiennes… > Faites les mises à jour des logiciels recommandés par les manufacturiers et les fournisseurs. Mettez régulièrement à jour l’antivirus, les logiciels anti-espions, les anti-pourriels et les pare-feux afin de protéger votre réseau; > Faites auditer votre réseau annuellement; > En informatique, la rigueur est votre alliée. Il est donc important de mettre en place les recommandations énumérées ci-haut. 2. Exigez des mots de passe et codes d'authentification forts pour verrouiller les appareils mobiles. Les mots de passe doivent comporter au moins 8 à 10 caractères et contenir des lettres minuscules et majuscules, symboles et au moins un numéro. Par exemple, vous pouvez remplacer au hasard des lettres par des symboles, comme $@lut au lieu de Salut. Vous pouvez inverser l’orthographe d’un mot ou créer un acronyme à partir d’une phrase. Ainsi, « partenariat » deviendra « tairanetrap » et « Voyage dans le sud cette année » deviendra « VDLSCA »… Il est recommandé de les changer aux 6 mois. Sur un téléphone cellulaire, il est primordial d’y ajouter un mot de passe. En cas de vol, cela pourrait éviter que les données soient compromises. D’où l’importance d’avoir des mots de passe difficiles à deviner, évitant ainsi de mettre votre organisation à risque. À éviter : code postal, numéro de téléphone, date de naissance, nom d’un enfant ou d’un animal de compagnie. © ARS Solutions – 2016 Rapport sur la sécurité – 7 protections critiques essentielles en TI ars-solutions.ca 7
TOP 10 des mots de passe les plus prisés des hackers Rapid74 - une entreprise spécialisée en sécurité informatique, est à la tête du projet Heisenberg qui s’appuie sur plusieurs honeypots déployés à travers le monde. Ces derniers permettent de collecter différentes informations sur les hackers, notamment sur la manière dont ils procèdent pour attaquer certaines infrastructures. Ces stratégies utilisées par les sociétés de sécurité informatique fonctionnent comme des leurres et sont spécialement conçues pour attirer les pirates. En gros, les honeypots permettent d’identifier et de suivre toutes les activités des cybercriminels en vue de se protéger contre d’éventuelles attaques. Depuis un an, l’entreprise a pu analyser plus de 220 000 tentatives de connexions enregistrées, dont plus de 5 000 adresses IP situées dans 119 pays différents, principalement en provenance de la Chine (39.9%) et des États-Unis (24.9%). Si vous utilisez l’un de ces noms d’utilisateur et/ou l’un de ces mots de passe, il serait préférable pour vous de le changer immédiatement. 3. Gardez votre réseau et tous les appareils à jour. De nouvelles failles sont souvent trouvées dans les logiciels que vous utilisez couramment, tels qu’Adobe, Flash ou QuickTime. Par conséquent, il est essentiel de faire les mises à jour de vos systèmes et applications lors des maintenances. Elles peuvent être automatisées afin que vous n’ayez pas à vous soucier de manquer une mise à jour importante. 4Fondée à Boston en 2000, Rapid7 est une entreprise qui offre des solutions de sécurité informatique. Elle compte plus de 550 employés et possède un chiffre d’affaires évalué à plus de 105 millions de dollars. © ARS Solutions – 2016 Rapport sur la sécurité – 7 protections critiques essentielles en TI ars-solutions.ca 8
4. Ayez un excellent plan de sauvegarde. Cela peut déjouer les attaques de « ransomware (rancongiciel) » les plus agressives (et nouvelles), où un pirate bloque vos fichiers et les garde en otage jusqu'à ce que vous payez une rançon. Si vos fichiers sont sauvegardés, vous n’aurez pas à payer un pirate pour les récupérer. Une bonne sauvegarde vous protégera aussi contre un employé qui, accidentellement (ou intentionnellement), supprime ou écrase des fichiers, des catastrophes naturelles, incendies, dégâts d’eau, pannes matérielles et une foule d'autres problèmes de perte de données. Encore une fois, vos sauvegardes doivent être automatisées et monitorées. Le pire moment pour tester vos sauvegardes est lorsque vous en avez désespérément besoin pour travailler! La sauvegarde de vos données - Prérequis Il faut vous assurer que toutes vos données importantes sont sauvegardées et qu’en cas de besoin, vous pourriez les récupérer rapidement et facilement. Combien de journées de travail au maximum pouvez-vous tolérer de perdre en cas de problème? Advenant une panne majeure, avez-vous tout ce qu’il faut pour être opérationnel? Il est primordial d’avoir une copie complète : > De vos données; > De vos applications (logiciels comptables, production, etc.) et systèmes d’exploitation (Windows, Linux, etc.); > De la configuration personnalisée (réseau et applications), incluant la sécurité, que vous avez bâtie au fil des ans. Êtes-vous certain que votre solution actuelle de sauvegarde convient aux attentes de l’entreprise? Quel est votre niveau de tolérance à la panne? En cas de panne de vos systèmes, combien de jours ou même d’heures pouvez-vous vous permettre d’être arrêté sans affecter sérieusement les opérations de votre entreprise? La solution en place doit être en cohérence avec votre réalité d’entreprise. En plus d’avoir une copie complète de vos données dans vos bureaux, vous devriez également avoir une copie identique répliquée à l’extérieur et facile d’accès, c’est-à-dire sans avoir de démarche légale à faire pour l’obtenir. L’important est d’avoir en tout temps le contrôle de vos données à 100 %. La réplication à elle seule n’est pas une garantie de remise en fonction rapide. Il faut entre autres tenir compte de la performance des équipements et du cryptage des données qui peuvent faire varier les délais de récupération. De plus, les tests de récupération effectués à partir de quelques fichiers sont insuffisants. Même s’ils sont réussis, ils ne garantissent pas que l’ensemble de vos systèmes serait facile à remonter en cas de nécessité. Faire des tests de simulation complets demeure votre meilleure garantie. © ARS Solutions – 2016 Rapport sur la sécurité – 7 protections critiques essentielles en TI ars-solutions.ca 9
À éviter : accumuler des données inutiles, car les coûts d’entreposage et de gestion (sécurité, vérification, contrôle) sont de plus en plus élevés. 5. Ne permettez pas à vos employés d'accéder aux données de l'entreprise avec des périphériques personnels qui ne sont pas surveillés, contrôlés et approuvés par votre département TI. L'utilisation de dispositifs personnels et mobiles au travail est en pleine expansion. Grâce à la commodité du Cloud, vos employés et vous pouvez accéder à presque tout type de données de l'entreprise à distance. Tout ce qu'il faut est un nom d'utilisateur et un mot de passe. Les employés vous demanderont même s’ils peuvent apporter leurs propres dispositifs personnels au travail (BYOD) et utiliseront leur smartphone pour à peu près tout. Cette tendance a considérablement augmenté la complexité de maintenir un réseau et vos données d'entreprise sécuritaires. En fait, le plus grand danger avec le Cloud n’est pas que votre fournisseur de services ou société d'hébergement soient compromis (bien que cela reste une possibilité). Votre plus grande menace est que l'un de vos employés accède à une application via un dispositif personnel qui est infecté, donnant ainsi accès à l’ensemble de votre réseau à un pirate. En résumé, si vous laissez vos employés utiliser des appareils personnels, vous devez vous assurer que ces dispositifs soient correctement sécurisés, monitorés et entretenus par un professionnel. Aussi, ne laissez pas les employés télécharger des logiciels ou des fichiers non autorisés. Une des voies d'accès les plus rapides pour les cybercriminels est de duper les utilisateurs peu méfiants à télécharger volontairement des logiciels malveillants en les intégrants dans des fichiers téléchargeables qui paraissent inoffensifs. Cependant, la plupart des employés ne voudront pas que vous les suiviez et surveilliez leurs appareils personnels. Ils ne voudront pas non plus que vous effaciez leurs appareils à distance en cas de perte ou de vol. Toutefois, c’est exactement ce que vous devez faire pour protéger votre entreprise. Nous suggérons que vous permettiez aux employés d'accéder aux fichiers liés au travail, aux applications Cloud et aux courriels via des appareils appartenant à la société, et ne jamais permettre aux employés d'accéder à ces fichiers sur leurs appareils personnels ou WiFi publics s’ils ne sont pas contrôlés rigoureusement par l’entreprise. © ARS Solutions – 2016 Rapport sur la sécurité – 7 protections critiques essentielles en TI ars-solutions.ca 10
Mettez en place une Politique d’Utilisation Acceptable (PUA) Cette dernière décrit comment les employés sont autorisés à utiliser les appareils appartenant à votre entreprise, logiciels, accès à Internet et courriels. Nous vous recommandons fortement de mettre en place une politique qui limite les sites Web auxquels les employés peuvent accéder. Aussi, vous devez appliquer cette politique aux logiciels de filtrage de contenus et pare-feux. Définissez également des autorisations et règles qui régiront les sites auxquels vos employés pourront avoir accès et ce qu'ils feront en ligne pendant les heures de travail avec des appareils vous appartenant. Avoir ce type de politique en place est particulièrement important si vos employés utilisent leurs propres appareils personnels ou ordinateurs personnels pour accéder aux courriels et données de la société. Avec autant d'applications dans le nuage, un employé peut accéder à une application critique de l’entreprise sur tout appareil avec un navigateur, ce qui vous expose considérablement aux risques. Si un employé se connecte dans les applications de l’entreprise à partir du Cloud en utilisant un périphérique personnel infecté ou non protégé, cela crée une passerelle pour un pirate et lui facilite l’accès à votre réseau. C’est pourquoi nous ne recommandons pas aux employés de travailler à distance ou à domicile via leurs propres dispositifs personnels s’ils ne sont pas contrôlés et sécurisés. Si l’employé quitte ses fonctions… Êtes-vous autorisé à effacer des données de l'entreprise sur son téléphone ou ordinateur portable personnel? Si son téléphone est perdu ou volé, êtes-vous autorisé à effacer à distance le dispositif – manœuvre visant à supprimer toutes les photos, vidéos, textes de cet employé, etc. - afin de vous assurer que les informations de vos clients ne soient pas compromises? De plus, pour les données sensibles de votre organisation, comme des dossiers clients, informations de cartes de crédit, informations financières et autres, légalement vous ne pouvez pas autoriser vos employés à utiliser des appareils qui ne sont pas sécurisés. En ce sens, la compagnie a un devoir moral de respecter certaines règles de sécurité puisqu’elle pourrait être poursuivie. Par ailleurs, vous devez détailler ce que l'employé peut et ne peut pas faire avec les appareils et il doit en aucun cas contourner les mécanismes de sécurité que vous mettez en place, par exemple en ayant recours au rooting (Android) ou jailbreaking (Apple)5. 5 Ces méthodes permettent d'autoriser les utilisateurs de smartphones, tablettes, et autres appareils à effectuer une élévation des privilèges. Elles sont pratiquées dans le but de supprimer les limitations de l'opérateur et de certains constructeurs, ce qui permet alors de modifier ou supprimer des applications systèmes ou réglages, lancer des applications qui requièrent les droits d'administrateur, ou effectuer d'autres actions qui sont normalement impossibles pour les utilisateurs. (Source : Wikipédia) © ARS Solutions – 2016 Rapport sur la sécurité – 7 protections critiques essentielles en TI ars-solutions.ca 11
6. Ayez un bon pare-feu. Un pare-feu agit comme première ligne de défense contre les pirates, bloquant tout ce dont vous n’avez pas expressément autorisé à entrer (ou sortir) de votre réseau informatique. Toutefois, les pare-feux, comme tous les périphériques de votre réseau, doivent être surveillés par des outils spécialisés et maintenus régulièrement en appliquant les correctifs recommandés par les manufacturiers. Sinon, ils sont complètement inutiles. Ces processus de sécurité devraient être mis en place en plus de l’entretien de routine effectué par votre responsable ou partenaire TI. Voir en page 15, le top 10 des activités obligatoires pour un réseau sécuritaire et performant. 7. La sécurité de vos données dans le Cloud. L’attrait du Cloud permettant l’accessibilité de vos données en tout temps par Internet, une solution logicielle mise à jour en continu et des frais reliés à votre consommation est bien réel et tôt ou tard vous aurez à décider si vous faites le saut avec vos données d’entreprise. Prenez en considération les éléments suivants pour assurer la sécurité physique et légale de vos données confiées à un fournisseur Cloud : A. Évaluez objectivement la sensibilité des données que vous vous apprêtez à faire héberger sur l’infrastructure informatique d’un tiers. L’évaluation de la sensibilité des données que vous proposez de mettre dans le Cloud est un exercice absolument fondamental à la sécurité de l’opération et à une prise de décision éclairée pour l’usage du Cloud public pour votre entreprise. Pouvez-vous vous permettre la perte, l’accès illicite ou la divulgation, par exemple, de vos données stratégiques, de vos recettes industrielles, du vol de numéros de cartes de crédit de vos clients ou des numéros d’assurance sociale ou des données médicales que vous auriez pu colliger entre autres sur vos employés? Considérez le Cloud public pour des données de faible à moyenne sensibilité, d’autant que les serveurs informatiques du fournisseur sont offerts en mode multi-locataires et que vous n’êtes pas à l’abri d’une divulgation inattendue de vos données à un colocataire. Sur ce point, vérifiez que votre fournisseur a des mesures concrètes de ségrégation des données entre locataires. Les données de sensibilité critiques sont encore mieux hébergées sur un serveur sécurisé à l’interne, à moins de pouvoir vous payer un Cloud privé à même votre organisation, mais les coûts ne sont plus les mêmes. © ARS Solutions – 2016 Rapport sur la sécurité – 7 protections critiques essentielles en TI ars-solutions.ca 12
B. Exigez l’encryption de vos données pendant le transport et aussi au repos sur les serveurs du fournisseur Cloud. Vérifiez que le fournisseur protège vos données pendant leur transport sur Internet via le protocole SSL et possède un certificat de haut niveau (le plus élevé étant de 2048 bits). Vérifiez que le fournisseur offre aussi l’encryption des données au repos sur ses serveurs et quelle est la norme applicable, par exemple, la norme AES-256 ou du moins, s’il vous permet d’utiliser des outils externes vous permettant d’encrypter vos données sur ses serveurs... C. Vérifiez la réputation et les certifications internationales du fournisseur. « Googlez » le nom de votre fournisseur et vérifiez les derniers incidents rapportés qui le concernent. A- t-il bien réagi et supporté sa clientèle? Est-il critiqué de toute part ou poursuivi par les autorités compétentes? Examinez avec le plus grand soin les accréditations internationales que possède votre fournisseur. Par exemple de type ISO 27002 sur les contrôles de sécurité des systèmes informatiques ou de type SSAE16 s’il traite pour vous des données financières. Ou mieux encore, s’il détient les toutes nouvelles normes de gestion spécialement édictées en 2014 pour les fournisseurs de services Cloud : soit la norme ISO 27017 relative aux contrôles de sécurité pour les fournisseurs Cloud ou la norme ISO 27018 visant la protection des renseignements personnels par un fournisseur Cloud et qui répond à la majorité des problématiques touchant la protection des renseignements personnels dont vous êtes responsables en tout temps malgré votre impartition dans le Cloud. À tout événement, ces certifications font l’objet d’un audit externe annuel pour être maintenues. Exigez d’en recevoir copie chaque année, quitte à signer une entente de confidentialité avec le fournisseur pour les obtenir. Vous verrez ainsi s’il y a eu des problématiques sur son infrastructure ou sa gestion des incidents en cours d’année et si le fournisseur a su corriger la situation à la satisfaction de l’organisme certificateur. D. Vérifiez attentivement les processus de gestion des incidents de sécurité informatique du fournisseur. Quelles sont les mesures prises par le fournisseur en cas de perte de données ou d’accès ou de communication non autorisés? Quelles sont les mesures de signalement des incidents de sécurité à vos données? Rappelez-vous que sous peu, la nouvelle loi fédérale sur la « Protection des renseignements numériques » exigera que vous mainteniez (via votre fournisseur Cloud) des registres des incidents de sécurité aux données personnelles que vous possédez et que vous divulguiez clairement l’atteinte à la sécurité des données dès que possible aux personnes susceptibles de subir un préjudice grave et à tout organisme permettant de diminuer le risque de préjudice (ex. la police), à défaut de quoi vous pourriez subir des amendes importantes allant jusqu’à 10 000$ dans le cas d’une poursuite pénale ou à 100 000$ dans le cas d’une poursuite pour acte criminel. Vérifiez attentivement quel est le plan de reprise du fournisseur après sinistre et quels sont les processus et délais appréhendés pour vous permettre de reprendre vos activités courantes. C’est ici que la norme © ARS Solutions – 2016 Rapport sur la sécurité – 7 protections critiques essentielles en TI ars-solutions.ca 13
ISO 2018 prend son importance alors que les engagements de divulgation des incidents aux renseignements personnels sont bien établis. E. Gardez le contrôle de vos données dans le contrat. Stipulez dans le contrat que vous êtes le seul et entier propriétaire de données hébergées sur les serveurs du fournisseur Cloud et que lui et ses sous-traitants n’ont droit d’accès qu’uniquement pour donner le service promis ou assurer le support ou la maintenance du système. Stipulez que le fournisseur et ses sous-traitants ne sont pas autorisés à faire aucun usage secondaire des données hébergées ou des données système générées, par exemple, par les requêtes faites par les utilisateurs, ni à les vendre à autrui. Ne permettez au besoin qu’un usage de données anonymes aux fins du fournisseur. F. Assurez-vous de savoir dans quelle juridiction sont vos données en tout temps. Vos données peuvent être sauvegardées à l’étranger, par exemple, sur des serveurs redondants du fournisseur et il importe que vous sachiez dans quelle juridiction se trouvent vos données en tout temps. Vous devez vous informer sur la réglementation applicable en matière de protection des renseignements personnels dans ces juridictions pour répondre aux exigences de la réglementation canadienne et québécoise qui interdisent le transfert de données personnelles dans des juridictions qui n’offrent pas une protection similaire aux lois canadiennes et québécoises en cette matière. Il importe donc d’éviter des juridictions « exotiques » et que vous ayez une bonne idée des entités étrangères qui pourraient avoir accès à vos données. G. Assurez- vous de pouvoir récupérer efficacement vos données et que celles-ci soient effacées de façon permanente de toute l’infrastructure du fournisseur Cloud. Que ce soit en cas de faillite du fournisseur ou à l’expiration du contrat Cloud, vérifiez attentivement le délai qui vous est alloué pour récupérer vos données, dans quel format celles-ci vous seront remises : dans leur format original, dans une version propriétaire du fournisseur qui va exiger des frais et délais de conversion, quelle assistance sans frais le fournisseur est-il prêt à rendre? Assurez-vous que le fournisseur s’engage à utiliser des normes reconnues de destruction de vos données après votre migration non seulement de son centre de données principal, mais dans toute son infrastructure, incluant ses centres à l’étranger. Rappelez–vous que le Cloud public est un modèle d’affaires qui n’est pas encore arrivé à parfaite maturité. Recherchez des fournisseurs canadiens et québécois qui ont des infrastructures de qualité et des hauts standards de gouvernance. Comme pour le reste, la sécurité se paye. Privilégiez les compagnies réputées si vous êtes pour mettre vos données d’affaires dans les mains d’un tiers. Assurez-vous aussi d’un plan B au besoin et gardez une copie régulière de vos données, à jour et exploitables à l’interne, pour assurer vos arrières et la pérennité de vos activités. © ARS Solutions – 2016 Rapport sur la sécurité – 7 protections critiques essentielles en TI ars-solutions.ca 14
TOP 10 DES ACTIVITÉS OBLIGATOIRES POUR UN RÉSEAU SÉCURITAIRE ET PERFORMANT 1. Surveillance des équipements et services (logiciels) critiques pour l'entreprise. Exemples : détection et suppression de logiciels espions, envoi d’alertes vous informant d’éventuels problèmes, de tentatives de connexion, du statut des sauvegardes, etc.; 2. Application des mises à jour de sécurité de façon régulière : Microsoft, antivirus, etc., incluant les postes de travail et les serveurs; 3. Vérification de l’ensemble du processus de sauvegarde de données en tenant compte des modifications effectuées sur votre architecture réseau; 4. Sauvegarde de la configuration personnalisée de votre réseau (par exemple, la personnalisation de votre logiciel maison ou la configuration des équipements de télécommunications) incluant la sécurité; 5. Installation, configuration et mises à jour des filtres anti-pourriels (SPAM); 6. Vérification de la performance des équipements et logiciels. Ajustements des configurations des systèmes dans un but d’optimisation et éviter la dégradation de la performance du réseau (ce qui peut révéler un problème de sécurité ou la présence de virus); 7. Mise à jour des micrologiciels d’équipements tels que les pare-feux; 8. Recommandations des travaux à faire avec le degré d’urgence et impacts si non effectués; 9. Suivi régulier des travaux qui n’ont pas été adressés; 10. Mise à jour de la documentation du réseau. ACTIVITÉS OPTIONNELLES RECOMMANDÉES 1. Audit annuel de l’ensemble du réseau (interne et externe); 2. Maintien du schéma de votre réseau; 3. Effectuer des tests complets de restauration (récupérer un courriel n’est pas un test suffisant); 4. Évaluation du plan de relève en place en cas de panne majeure ou de sinistre. LE MONITORING – COMMENT ET POURQUOI? La surveillance de vos équipements permet d’anticiper les troubles techniques qui s’amorcent sur votre réseau et d’intercepter toute activité anormale en plus de maintenir un bon niveau de performance. Vous ferez d’une pierre plusieurs coups. Pour être efficace et pertinente, cette surveillance doit être effectuée en CONTINU par une ressource responsable de cette tâche qui alloue QUOTIDIENNEMENT du temps à cette fonction. L’information importante détenue par les entreprises augmente leur dépendance face aux TIC stimulant ainsi un engouement des organisations cybercriminelles. Les moyens entrepris par les cybercriminels sont © ARS Solutions – 2016 Rapport sur la sécurité – 7 protections critiques essentielles en TI ars-solutions.ca 15
de plus en plus astucieux et sophistiqués pour arriver à leurs fins. C'est principalement la raison pour laquelle vous devez rester vigilant. Le monitoring vous aidera à garder l’œil ouvert. Bien sûr, vous devez prendre en considération les cas d’employés malveillants, d’équipements volés, de bris et de pannes d’équipements, de feu et de vandalisme. Tous peuvent arrêter votre réseau ou détruire de l'information qui vous appartient. N’oubliez pas que, par la loi, toute entreprise qui détient des informations personnelles et privées (médicales, financières ou autres informations concernant les clients comme les adresses électroniques) en est responsable et peut faire face à des poursuites judiciaires. Ce sont tous des éléments qui peuvent rendre votre réseau inopérable, créer des pannes, détruire ou corrompre les données de l’entreprise. Une chose est certaine, si vous avez à faire face à l’un de ces malheureux événements, vous serez bousculé par l’urgence et forcé d’agir pour réparer les dégâts. Ainsi, vous payerez beaucoup plus! Au final, travailler à prévenir ces problèmes et garder votre réseau sécuritaire et performant est beaucoup moins dispendieux et dommageable. Les faits sont là. Effectuez la maintenance et la surveillance de votre réseau pour le garder performant, sécurisé et ainsi assurer la productivité de votre entreprise. © ARS Solutions – 2016 Rapport sur la sécurité – 7 protections critiques essentielles en TI ars-solutions.ca 16
QUI EST ARS SOLUTIONS AFFAIRES ET TECHNOLOGIES? Depuis plus de 25 ans, ARS aide les PME à être plus efficaces et plus performantes en abordant les technologies autrement. Pas en investissant plus, mais différemment et de manière ciblée. Elle garantit à sa clientèle un environnement TI stable, sécuritaire et optimal ainsi que des choix technologiques judicieux dans un alignement avec les ambitions d’affaires des dirigeants. Ses méthodes de travail spécifiques – basées sur la rigueur, la minutie et sur des actions ciblées et réfléchies – lui permettent de garantir à ses clients qu’ils atteindront 100 % des résultats visés, sans quoi ils ne paient pas la facture. Ces méthodes se manifestent à travers l’ensemble de ses services offerts – Planification Stratégique Affaires-TI, implantations des technologies ciblées, gestion et surveillance d’infrastructures et développement d’applications. ARS fait la différence plus particulièrement dans les entreprises où la tolérance aux pannes de systèmes est très faible et qui préconisent un niveau de proactivité supérieur. Elle compte près de 400 000 interventions et projets à travers le Québec auprès d’entreprises des secteurs manufacturiers, services professionnels et points de vente de 50 à 1000 employés. Elle est reconnue pour sa capacité à relever des défis technologiques et à livrer des résultats. © ARS Solutions – 2016 Rapport sur la sécurité – 7 protections critiques essentielles en TI ars-solutions.ca 17
CE QU’ILS DISENT DE NOUS Dans nos rencontres d’équipe, j’ai instauré la minute informatique, ce qui me permet de sensibiliser notre personnel à la sécurité informatique. « De nos jours, la cybercriminalité est une réalité et nous n’avons pas d’autre choix que de nous protéger. Je consulte toutes les informations qu’ARS m’envoie, comme les bulletins et les rapports. Par la suite, je transmets aux employés les informations pertinentes pour les sensibiliser. Ils sont de plus en plus habiles à détecter les courriels frauduleux ou représentant un risque pour la sécurité de nos systèmes. Ce sont de bonnes habitudes que nous n’avons plus le choix de combiner à une bonne protection antivirus et antipourriel ainsi qu’à une solution de sauvegarde et de relève robuste comme celle d’ARS. » Louyse Trudel Agente d’administration à la direction générale AQCS La surveillance de nos systèmes nous amène la proactivité dont nous avons besoin pour demeurer en contrôle et nous libère du temps pour nous consacrer à d’autres projets. « Nous avons l’esprit plus tranquille. L’analyse de notre réseau nous a beaucoup aidés et nous a permis de voir nos forces et nos faiblesses. Nous avons beaucoup amélioré la stabilité et la performance de nos installations… Ensuite, nous étions à l’étape d’avoir une solution de sauvegarde et de relève vraiment fiable tout en simplifiant notre gestion. Nous avons donc décidé d’implanter le service de sauvegarde 2B.Back. Nous aimons beaucoup le professionnalisme qu’ARS dégage ». Alain Bédard Responsable de la gestion des systèmes d’informations Bois de Plancher PG Une tranquillité d’esprit à tous les niveaux et pour tous les membres de la direction. « Avec 2B.Back, on est maintenant sûr de la fiabilité de nos copies de sécurité. Pour nous, finies les manipulations! En plus, il occupe une position beaucoup plus stratégique en termes de Plan de relève comparativement à la solution que nous avions avant. Un souci de moins pour tous les membres de la direction. Nous avons deux succursales, une à Québec et une à Montréal. 2B.Back facilite notre gestion, peu importe où on l’on se trouve. Bravo à ARS pour sa disponibilité et sa rapidité à répondre à nos demandes ». Maurice l’Écuyer Responsable informatique Orthofab Inc. © ARS Solutions – 2016 Rapport sur la sécurité – 7 protections critiques essentielles en TI ars-solutions.ca 18
ANNEXE A – EXEMPLE D’UN COURRIEL FRAUDULEUX 1. Assurez-vous que l’adresse courriel du destinataire provienne du domaine ‘’paypal.com’’. Dans le présent cas, il aurait dû être indiqué : *****@paypal.com. 2. Prenez l'habitude de vérifier la barre d'adresse du site Web afin de voir si le nom qui s’affiche est le même que celui sur lequel vous avez cliqué dans le courriel. Dans ce cas-ci, nous devrions voir Paypal apparaitre dans la barre d’adresse et non Dynect. 19
NOTE : Si le courriel avait réellement été envoyé par Paypal, vous auriez vu ceci dans votre barre d’adresse en cliquant sur le lien : Pour les besoins de l’exercice, nous avons cliqué sur le lien à l’intérieur du courriel. Toutefois, il est fortement recommandé de ne pas cliquer sur un lien dont vous ne connaissez pas la source afin de ne pas être tenté de fournir l’information demandée. La présentation est souvent convaincante, méfiez-vous! 20
Conforme à ISO 9001-2008 6655, boul. Pierre-Bertrand, bureau 301, Québec (Québec) G2K 1M1 T 418 872-4744 | info@ars-solutions.ca | ars-solutions.ca
Vous pouvez aussi lire