EasyPrey Cybersécurité et systèmes informatiques en entreprise Cibler et investir judicieusement
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
//EasyPrey – IL D DIR OU OU À l’in E G IGE T R P té E S A N rie TI T ur ON – Cybersécurité et systèmes informatiques en entreprise Cibler et investir judicieusement // Par Simon Fontaine, président ARS Solutions affaires et technologies
//EasyPrey Cybersécurité et systèmes informatiques en entreprise Cibler et investir judicieusement // Par Simon Fontaine, président ARS Solutions affaires et technologies
TABLE DES MATIÈRES À PROPOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 CYBERSÉCURITÉ ET SYSTÈMES INFORMATIQUES EN ENTREPRISE CIBLER ET INVESTIR JUDICIEUSEMENT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 IDENTIFIEZ LES ÉLÉMENTS CLÉS ET ASSUREZ-VOUS QUE RIEN N’AIT ÉTÉ OUBLIÉ . . . . . . 9 CANEVAS : SYSTÈMES ET DONNÉES CRITIQUES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 N’OUBLIEZ PAS LE CLOUD ! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 CONCLUSION . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 L’ASPECT LÉGAL DU CLOUD : QUOI ÉVALUER ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 BO NU S SIGNER SON CONTRAT CLOUD SANS AVOIR LA TÊTE DANS LES NUAGES. . . . . . . . . . . . . . . 19 TÉMOIGNAGES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
À PROPOS EASY PREY – HOW TO PROTECT YOUR BUSINESS FROM DATA BREACH, CYBERCRIME & EMPLOYEE FRAUD Peu méfiantes et souvent imprudentes, les PME sont vues comme des « proies faciles (easy prey) » par les pirates informatiques. La cybercriminalité a connu une hausse exponentielle et est devenue de plus en plus sophistiquée. Pour contrer les menaces lui étant liées, les dirigeants d’entreprise doivent plus que jamais mettre en place des mesures de sécurité adaptées à leurs besoins s’ils veulent assurer la continuité de leurs affaires. C’est pourquoi Simon Fontaine, président d’ARS Solutions affaires et technologies, a été sélectionné à nouveau par CelebrityPress™ - un leader en publications technologiques, pour faire équipe avec d’autres entrepreneurs de partout en Amérique du Nord afin de coécrire un second livre intitulé, Easy Prey – How to protect your business from data breach, cybercrime & employee fraud.* Alors que le livre aborde les différents aspects de la cybercriminalité en entreprise, Simon a écrit un chapitre intitulé « Cibler et investir judicieusement » qui soutient que la façon dont la sécurité est typiquement abordée est trop générale et ne prend pas en considération ce qui est réellement important à sécuriser pour les entreprises. La nécessité d’impliquer la direction sur la question TI et de sécuriser les éléments critiques en optant pour une approche personnalisée et non générale telle que l’industrie le suggère prend tout son sens. « Ce qui a de la valeur pour les dirigeants est très subjectif. Chaque entreprise est unique, tout comme sa sécurité. La plupart des audits de sécurité n’atteignent pas les buts escomptés et ne sont que des « copiés-collés ». Conséquemment, les entreprises paient des frais non justifiés pour des résultats qui ne sont pas adaptés à leurs besoins et qui les font passer à côté de leur objectif premier qui est de sécuriser ce qui est le plus important », affirme Simon. Aborder la sécurité en entreprise dans cette perspective permet non seulement de mieux comprendre les enjeux, mais d’arrimer les technologies aux besoins d’affaires et de minimiser les investissements inutiles. Le chapitre inclut aussi un outil simple, efficace et facile à suivre qui permet de cibler les éléments essentiels à sécuriser et d’évaluer les impacts financiers. Cybersécurité et systèmes informatiques en entreprise 2 ars-solutions.ca Cibler et investir judicieusement © ARS Solutions / 2017
Vous avez entre vos mains la version française du chapitre écrit par Simon. Le jour de sa sortie, Easy Prey s’est classé best-seller dans 3 catégories sur Amazon, soit en 1re place dans la catégorie Computers & Technology, en 3e place dans Computer Viruses et en 5e place dans Security & Encryption. Il est également l’un des auteurs du best-seller The Business Owner’s Essential Guide To I.T. and All Things Digital – Vol.2 – 17 critical facts every business must know to maximize their company’s efficiency, security, employee productivity and profit . Depuis plus de 25 ans, Simon Fontaine et son équipe aident les dirigeants d’entreprise à utiliser tout le potentiel des technologies de l’information dans un but d’accroissement d’efficacité, de productivité et de performance. Il en résulte un environnement stable, sécuritaire et performant qui amène la paix d’esprit aux dirigeants et leur permet de réduire considérablement leurs coûts globaux d’opérations. Pour Simon, la technologie doit simplifier le travail et contribuer à l’atteinte des objectifs d’affaires des entreprises. Son but est d’aider les entrepreneurs à obtenir des résultats concrets en abordant les technologies différemment de ce qui se fait présentement, pas en investissant plus, mais autrement. Il a bâti un processus qui lui permet de garantir des résultats à 100 % lorsque la recette est suivie. Beauceron d’origine – une région du Québec reconnue pour la qualité de ses entrepreneurs – et provenant lui-même d’une famille d’entrepreneurs de père en fils, Simon a toujours côtoyé de près le monde des affaires. Ayant un intérêt marqué pour les technologies, il a fondé sa propre organisation en 1989. ARS Solutions compte plus de 400 000 projets et interventions à travers le Québec auprès d’entreprises des secteurs manufacturiers, services professionnels et points de vente de 50 à 1 000 employés. Elle est reconnue pour sa capacité à relever des défis technologiques et à livrer des résultats. Cybersécurité et systèmes informatiques en entreprise © ARS Solutions / 2017 Cibler et investir judicieusement ars-solutions.ca 3
CelebrityPress™ décrit ce livre : Les experts ayant participé à la rédaction de ce livre démontrent comment sécuriser les systèmes et les données clients contre les cybercriminels. La nécessité de sécuriser les entreprises et de former le personnel en matière de cybersécurité est devenue critique. Les entreprises de toutes tailles ne peuvent plus assumer que leurs opérations informatiques sont fiables. Les professionnels - comme ceux du Celebrity Experts - sont appelés à veiller à ce qu’elles ne deviennent pas des « proies faciles » (easy prey) par les cybercriminels. *Les profits de ce livre seront versés au St. Jude Children’s Research Hospital. Le livre est disponible en anglais seulement sur Amazon. Cybersécurité et systèmes informatiques en entreprise 4 ars-solutions.ca Cibler et investir judicieusement © ARS Solutions / 2017
CYBERSÉCURITÉ ET SYSTÈMES INFORMATIQUES EN ENTREPRISE – CIBLER ET INVESTIR JUDICIEUSEMENT La sécurité de vos systèmes est sûrement importante pour vous. Afin de protéger votre entreprise, vous avez probablement mis en place les recommandations qui vous ont été suggérées suivant l’audit de sécurité que vous avez dûment payé. Toutefois, si vous n’avez pas suivi les étapes décrites dans le présent chapitre, vous avez assurément passé à côté du plus important et n’êtes pas mieux sécurisé aujourd’hui. Voici pourquoi. La façon dont la sécurité est typiquement abordée est trop générale et ne prend pas en considération ce qui est réellement important à sécuriser pour VOTRE entreprise. Au cours des 15 dernières années, voici ce que j’ai observé lors des mandats de Planification Stratégique Affaires-TI que j’ai réalisés avec plusieurs dirigeants d’entreprise. 1. Ce qui doit être sécurisé est différent d’une entreprise à l’autre. Alors pourquoi les audits sont généraux et toujours faits selon la même approche ? Et pourquoi recommande-t-on les mêmes solutions à tous les clients ? 2. Ce qui est important à sécuriser est habituellement mal identifié et sa valeur en cas de perte est rarement bien évaluée. 3. Cette information n’est généralement pas bien communiquée au responsable de la sécurité des systèmes. Sachant cela, comment fait-on pour avoir des audits efficaces qui ciblent l’essentiel ? L’information essentielle à sécuriser doit provenir d’abord et avant tout de la direction et doit être clairement communiquée au responsable. On ne doit laisser aucune place aux erreurs et aux mauvaises interprétations. L’approche doit rester simple et vous ne devriez PAS avoir à payer pour des solutions qui sont « copiées-collées ». Cybersécurité et systèmes informatiques en entreprise © ARS Solutions / 2017 Cibler et investir judicieusement ars-solutions.ca 5
Les renseignements contenus dans ce chapitre vous aideront à : > Adopter une approche plus personnalisée à votre entreprise ; > Avoir la certitude que vos systèmes sont mieux sécurisés ; > Avoir la preuve que le travail est bien fait ; > Éviter de payer des frais inutiles pour des solutions générales et investir davantage dans ce qui compte réellement pour votre organisation ; > Avoir l’assurance que le niveau de sécurité exigé est maintenu tout au long de l’année, le manque de rigueur étant une faiblesse connue en informatique ; > Avoir un outil de suivi simple, efficace et facile à utiliser sous forme de canevas. Les 5 exemples suivants sont tirés de mes rencontres clients. Ils devraient vous surprendre et vous convaincre. Cas 1 La sécurité informatique telle que vue par le président et propriétaire de plusieurs commerces au détail... « Le document le plus important à sécuriser est sans aucun doute le fichier comprenant tous les codes de systèmes d’alarme qui permettent d’accéder à l’ensemble de mes magasins ». Ici, on comprend bien l’importance de ce fichier en particulier. Même avec les meilleures intentions du monde et la meilleure ressource technique, il est certain qu’un audit n’aurait pas servi puisque lors des vérifications, cette petite pièce d’information (critique) n’aurait pas été prise en considération. Cas 2 Des données d’une valeur inestimable... Ce n’est qu’après avoir fait l’exercice d’identifier ce qui a de la valeur pour son entreprise qu’un dirigeant réalisa que l’information contenue dans sa base de données s’évaluait à plus de 5 millions de dollars et qu’en cas de perte, ces informations ne pourraient pas être récupérées. L’information de nature personnelle et confidentielle était jumelée à une table de conversion qui permettait de garder l’anonymat des individus et des informations. Cette table effectuait une relation entre la personne et ses données personnelles. Cybersécurité et systèmes informatiques en entreprise 6 ars-solutions.ca Cibler et investir judicieusement © ARS Solutions / 2017
Après vérifications, la base de données ainsi que la table de conversion n’étaient pas sécurisées ni sauvegardées et peu de gens connaissaient l’existence même de ces informations. Cas 3 Le travail d’une vie sur une clé USB... Lors d’une rencontre avec le président d’une entreprise manufacturière, j’ai été surpris d’apprendre que la recette unique de plus de 30 années de travail était sauvegardée sur une clé USB placée dans la poche de sa chemise. Il m’a confié que la pérennité de son entreprise en dépendait et que s’il l’a perdait, il devrait fermer ses portes. Il a même insisté sur le fait que toutes les autres informations (y compris les états financiers, les informations des RH et sa liste de prix) avaient une importance moindre à ses yeux comparativement à cette clé USB. Après vérifications, les informations sur cette clé USB n’étaient même pas cryptées et protégées à l’aide d’un mot de passe ni même sauvegardées. Cas 4 Des commandes en ligne qui valent leur pesant d’or... Cet exemple est tiré d’une entreprise qui offre des créations graphiques de haut niveau pour des autocars, des camions et des remorques. Les clients passent leurs commandes en utilisant le service en ligne exclusif à cette entreprise qui permet de visualiser à l’écran le résultat final et les coûts associés à leurs projets. La préoccupation principale du président est avant tout de bloquer l’accès aux données de son entreprise, aux listes de prix et aux informations de sa clientèle. Tous les efforts sont mis en ce sens. Cas 5 Une réflexion qui s’avère payante pour une entreprise... Plusieurs mois après avoir réalisé la Planification Stratégique Affaires-TI d’une entreprise manufacturière, le directeur général m’informa de l’existence d’un équipement hautement critique pour l’entreprise. Il insista sur le fait que s’il brisait, la production entière de son usine serait arrêtée. Cybersécurité et systèmes informatiques en entreprise © ARS Solutions / 2017 Cibler et investir judicieusement ars-solutions.ca 7
Il me confia que toute la personnalisation des commandes de ses clients ainsi que les configurations sont numériquement entreposées dans cet équipement. Il faisait référence à un robot jumelé à un ordinateur vieux de 6 ans et dont seule une équipe de support située en Allemagne possédait la clé d’accès à cette information. Après vérifications, aucune protection ni sauvegarde n’avait été effectuée sur cet équipement. Cette information a été soulevée grâce au travail de réflexion et de sensibilisation quant à la sécurité lors des rencontres de Planification Stratégique. En effet, j’ai remarqué que, même plusieurs mois après avoir fait cette réflexion, les gens demeurent alertes, attentifs et sensibilisés à ce qui est réellement important pour l’organisation. C’est dans cette optique que la sécurité doit être abordée. Voici comment la plupart des audits* de sécurité sont effectués : > Inspection de vos copies de sécurité ; > Vérification de l’antivirus et de la présence de virus ; > Tests internes et externes d’intrusion ; > Vérification des mises à jour de sécurité ; > Validation de la liste des administrateurs autorisés à accéder à votre réseau ; > Vérification de la sécurité des répertoires. *Veuillez noter que cette liste de vérifications est uniquement utilisée à titre de référence pour démontrer ce qui est généralement effectué lors d’un audit de sécurité. Si l’auditeur n’est pas suffisamment informé sur ce qui est essentiel pour votre organisation, il n’en tiendra tout simplement pas compte dans ses vérifications et l’audit sera alors inutile et incomplet. Bien sûr, il est tout de même important d’effectuer les vérifications citées précédemment et de ne rien négliger. Cependant, le but n’est pas de tout sécuriser, mais de trouver le bon équilibre. Vous ne voulez pas être aussi sécurisé que la NSA (National Security Agency) ; ça ne ferait aucun sens... Cybersécurité et systèmes informatiques en entreprise 8 ars-solutions.ca Cibler et investir judicieusement © ARS Solutions / 2017
IDENTIFIEZ LES ÉLÉMENTS CLÉS ET ASSUREZ-VOUS QUE RIEN N’AIT ÉTÉ OUBLIÉ Voici comment : Étape 1 Impliquez la haute direction Premièrement, lors de votre prochaine réunion de direction, faites un tour de table et demandez à chacun quelle est l’information la plus importante à sécuriser dans l’entreprise et sa valeur en cas de perte. Ce simple exercice ne vous prendra que 5 minutes et vous pourriez être surpris des réponses. Prenez des notes. Vous aurez à coup sûr différents points de vue, tous aussi valables les uns que les autres. Peut-être ferez-vous certaines découvertes ? Maintenant, pouvez-vous affirmer avec 100 % de certitude que votre organisation est bien protégée ? Deuxièmement, réservez environ une heure à l’agenda de votre prochaine rencontre pour une discussion plus élaborée. Je peux vous assurer d’une chose : il sera bénéfique pour votre organisation de faire participer l’ensemble des membres de la direction à ce processus. Chacun ayant des informations pertinentes à transmettre dont vous n’êtes peut-être pas au courant. Vous avez tout à gagner. La technologie joue un rôle de plus en plus important en entreprise, alors cette heure sera bien investie. C’est la pérennité de votre entreprise qui est en jeu. En prenant le temps de bien faire cet exercice, vous vous assurerez que la rencontre sera productive et utile. N’hésitez pas à demander de l’aide. Votre consultant TI devrait pouvoir vous assister. Il est souvent difficile d’attribuer une valeur à vos données, mais vous devriez insister sur ce point, car en connaissant la valeur de ce qui est important, il est plus facile de savoir combien investir. Avoir la paix d’esprit, éliminer tout doute et savoir que tout a été fait pour protéger votre entreprise ainsi que les données de vos clients est ce que vous désirez. Les surprises ne sont pas toujours une bonne chose... Cybersécurité et systèmes informatiques en entreprise © ARS Solutions / 2017 Cibler et investir judicieusement ars-solutions.ca 9
Étape 2 Identifier ce qui doit être protégé (données sensibles et services critiques) Bien sûr, vous devez vous protéger contre la perte de données, mais les pirates cherchent également à rendre votre entreprise inopérante (déni de service) en ciblant votre infrastructure informatique. Il existe deux types d’attaques : > Catégorie 1 : Une attaque destinée à voler ou à détruire les données d’une entreprise (données sensibles) ; > Catégorie 2 : Une attaque destinée à perturber ou à interrompre les opérations d’une entreprise (services critiques). Voici quelques exemples : Catégorie 1 : Données sensibles > Liste de prix ; > Données confidentielles des employés ou des clients ; > Propriété intellectuelle (recettes, plans, dessins) ; > Documents relatifs à la paie. Catégorie 2 : Perturbation ou interruption des opérations de l’entreprise (services TI et processus) > Logiciels de production (ERP, bases de données, etc.) ; > Logiciels de points de vente (POS/PDV) ; > Traitement des cartes de crédit. Afin de vous faciliter la tâche, j’ai créé un canevas exercice sur les systèmes et données critiques à cibler (vous référer à la page 11). Il vous aidera à sortir les éléments essentiels de ces deux catégories et à évaluer leur degré de criticité ainsi que l’impact financier associé. Ce canevas deviendra un important cadre de référence. Il servira d’outil de travail pour les audits et d’outil de suivi pour les membres de la direction. Il permettra également une évaluation critique de l’entretien des processus de sécurité mis en place, d’éviter toute confusion et de s’assurer que la ressource responsable s’en charge. Ce tableau vous assurera le succès de ce processus. Cybersécurité et systèmes informatiques en entreprise 10 ars-solutions.ca Cibler et investir judicieusement © ARS Solutions / 2017
SYSTÈMES ET DONNÉES CRITIQUES Date : Données sensibles Impacts Date de l'audit Signature de l'auditeur Documents additionnels Statut 1. Ex. : Liste de clients A : Plusieurs milliers de dollars 16-12-15 Voir annexe A 2. Ex. : Recette manufacturière A : Plusieurs milliers de dollars 16-12-15 Services TI essentiels Impacts Date de l'audit Signature de l'auditeur Documents additionnels Statut 1. ERP A : Plusieurs milliers de dollars 16-12-15 Voir annexe B 2. VOIP A : Plusieurs milliers de dollars 16-12-15 Observations - Données sensibles 1. Tous les utilisateurs ont accès aux listes de clients. 2. Il n’y a pas de copie de sauvegarde de faite de la recette de l’entreprise. Recommandations - Données sensibles Date de réalisation Statut 1. Mettre des niveaux de sécurité selon les attentes de l’entreprise. 17-02-05 Complet 2. Prendre une copie de sauvegarde et sortir l’information de l’entreprise. Observations - Services TI essentiels 1. On n’a pas les codes sources du logiciel CRM. En cas de panne, le service prendra plusieurs jours à être remonté. 2. Il n’y a pas de plan de relève de prévu en cas de panne du système ERP. Recommandations - Services TI essentiels Date de réalisation Statut 1. Obtenir les codes sources et tester. 17-08-10 Complet 2. Prévoir un plan B, tester et informer les personnes responsables. Responsables signatures Responsable de la direction : Prénom Nom Signature Responsable TI : Prénom Nom Signature Légende Impacts (financiers, légaux) Statut A = Majeur B = Mineur = Critique = à suivre Vous trouverez une version éditable du canevas au www.ars-solutions.ca/easyprey. On parvient rapidement à la conclusion que cet exercice donnera des résultats différents d’une compagnie à l’autre. Cette approche plus personnalisée a pour avantage de guider le processus de vérifications en fonction du besoin de l’entreprise et ainsi d’éviter des coûts inutiles avec des audits qui ne sont rien de moins qu’un « copier-coller » d’autres entreprises. Je dois souligner que la participation de la direction à cet exercice est un incontournable. Votre entreprise en sortira gagnante ! Étape 3 L’audit et la mise à niveau Une fois le canevas complété, un audit donnera au comité de direction des informations précises sur l’état actuel des éléments ciblés. Il devrait expliquer la mise à niveau nécessaire, si requise, et les coûts qui y sont rattachés. Cybersécurité et systèmes informatiques en entreprise © ARS Solutions / 2017 Cibler et investir judicieusement ars-solutions.ca 11
Étape 4 La maintenance et les suivis La clé du succès réside dans l’entretien rigoureux du niveau de sécurité et les suivis. Il s’agit souvent d’un aspect négligé en informatique, nous devrions y prêter plus attention. En plus d’effectuer des audits réguliers (une ou deux fois par année), il est essentiel d’incorporer ces vérifications dans votre routine mensuelle de maintenance. Il est important de souligner que l’approche décrite ici ne devrait en aucun cas remplacer les meilleures pratiques de sécurité telles les maintenances régulières, la vérification de la présence de virus et la mise à jour de l’antivirus, la formation auprès des employés afin de les sensibiliser davantage au danger d’ouvrir des courriels frauduleux, etc. Cybersécurité et systèmes informatiques en entreprise 12 ars-solutions.ca Cibler et investir judicieusement © ARS Solutions / 2017
N’OUBLIEZ PAS LE CLOUD ! L’approche dont nous avons parlé précédemment s’applique aussi aux infor- mations que vous avez stockées dans le Cloud. Ce qui est critique et essentiel pour votre entreprise ne change pas parce que vous l’avez confié à un tiers. Même en ayant les meilleures pratiques et les dernières technologies, il n’en reste pas moins que l’erreur humaine est le maillon faible en informatique. Un seul clic de souris peut contourner les systèmes les mieux sécurisés. Qu’adviendrait-il si vous n’aviez plus accès à vos données ou applications pendant des jours ou pire encore, si tout était perdu ? Qu’est-ce qui est inclus dans votre contrat de service avec votre fournisseur Cloud ? Revoyez en détail ce qui l’est et ne l’est pas. Allez au-delà de ce que votre représentant vous a dit et lisez-le attentivement pour vous assurer que vous le comprenez bien. Mieux vaut prévenir que guérir. Cybersécurité et systèmes informatiques en entreprise © ARS Solutions / 2017 Cibler et investir judicieusement ars-solutions.ca 13
CONCLUSION En plus de simplifier, de réduire les coûts et de rendre plus efficace l’approche de la sécurité dans votre entreprise, le processus décrit ici est plus personnalisé à votre réalité, ce qui est le résultat escompté. Après tout, votre entreprise est unique, tout comme sa sécurité... Il est donc important que chaque audit soit exécuté en ce sens. L’information essentielle à sécuriser doit d’abord provenir de la direction et être clairement communiquée aux personnes impliquées. N’hésitez pas à vous servir de notre outil de gestion pour dirigeant comme cadre de référence. Il vous aidera à cibler les éléments clés à sécuriser. Il en va de la pérennité de votre entreprise. Vous serez ainsi certain d’investir aux bons endroits et éviterez les dépenses inutiles. En cas de doute, n’hésitez pas à nous contacter, nous vous aiderons dans votre démarche. Simon Fontaine simon.fontaine@ars-solutions.ca 418 872-4744, poste 222 Cybersécurité et systèmes informatiques en entreprise 14 ars-solutions.ca Cibler et investir judicieusement © ARS Solutions / 2017
BO NU S L’ASPECT LÉGAL DU CLOUD : QUOI ÉVALUER ? Écrit en collaboration avec Joli-Cœur Lacasse Avocats. L’attrait du Cloud est bien réel, car il permet l’accessibilité de vos données en tout temps par Internet, une solution logicielle mise à jour en continu et des frais reliés à votre consommation. Tôt ou tard, vous aurez à décider si vous faites le saut avec vos données d’entreprise. Prenez en considération les éléments suivants pour assurer la sécurité physique et légale de vos données confiées à un fournisseur Cloud : A. Évaluez objectivement la sensibilité des données que vous vous apprêtez à faire héberger sur l’infrastructure informatique d’un tiers. L’évaluation de la sensibilité des données que vous proposez de mettre dans le Cloud est un exercice absolument fondamental à la sécurité de l’opération et à une prise de décision éclairée pour l’usage du Cloud public pour votre entreprise. Pouvez-vous vous permettre la perte, l’accès illicite ou la divulgation, par exemple, de vos données stratégiques, de vos recettes industrielles, du vol de numéros de cartes de crédit de vos clients ou des numéros d’assurance sociale ou des données médicales que vous auriez pu colliger entre autres sur vos employés ? Considérez le Cloud public pour des données de faible à moyenne sensibilité, d’autant que les serveurs informatiques du fournisseur sont offerts en mode multi-locataires et que vous n’êtes pas à l’abri d’une divulgation inattendue de vos données à un colocataire. Sur ce point, vérifiez que votre fournisseur a des mesures concrètes de ségrégation des données entre locataires. Les données sensibles sont encore mieux hébergées sur un serveur sécurisé à l’interne, à moins de pouvoir vous payer un Cloud privé à même votre organisation, mais les coûts ne sont plus les mêmes. Cybersécurité et systèmes informatiques en entreprise © ARS Solutions / 2017 Cibler et investir judicieusement ars-solutions.ca 15
B. Exigez le cryptage de vos données pendant le transport et aussi au repos sur les serveurs du fournisseur Cloud. Vérifiez que le fournisseur protège vos données pendant leur transport sur Internet via le protocole SSL et possède un certificat de haut niveau (le plus élevé étant de 2048 bits). Vérifiez que le fournisseur offre aussi le cryptage des données au repos sur ses serveurs et quelle est la norme applicable, par exemple, la norme AES- 256 ou du moins, s’il vous permet d’utiliser des outils externes vous permettant de crypter vos données sur ses serveurs... C. Vérifiez la réputation et les certifications internationales du fournisseur. « Googlez » le nom de votre fournisseur et vérifiez les derniers incidents rapportés qui le concernent. A-t-il bien réagi et supporté sa clientèle ? Est-il critiqué de toute part ou poursuivi par les autorités compétentes ? Examinez avec le plus grand soin les accréditations internationales que possède votre fournisseur. Par exemple de type ISO 27002 sur les contrôles de sécurité des systèmes informatiques ou de type SSAE16 s’il traite pour vous des données financières. Ou mieux encore, s’il détient les toutes nouvelles normes de gestion spécialement édictées en 2014 pour les fournisseurs de services Cloud : soit la norme ISO 27017 relative aux contrôles de sécurité pour les fournisseurs Cloud ou la norme ISO 27018 visant la protection des renseignements personnels par un fournisseur Cloud et qui répond à la majorité des problématiques touchant la protection des renseignements personnels dont vous êtes responsables en tout temps malgré votre impartition dans le Cloud. À tout événement, ces certifications font l’objet d’un audit externe annuel pour être maintenues. Exigez d’en recevoir copie chaque année, quitte à signer une entente de confidentialité avec le fournisseur pour les obtenir. Vous verrez ainsi s’il y a eu des problématiques sur son infrastructure ou sa gestion des incidents en cours d’année et si le fournisseur a su corriger la situation à la satisfaction de l’organisme certificateur. D. Vérifiez attentivement les processus de gestion des incidents de sécurité informatique du fournisseur. Quelles sont les mesures prises par le fournisseur en cas de perte de données ou d’accès ou de communication non autorisés ? Quelles sont les mesures de signalement des incidents de sécurité à vos données ? Rappelez-vous que la loi fédérale sur la « Protection des renseignements personnels numériques » exige que vous mainteniez (via votre fournisseur Cloud) des registres des incidents de sécurité aux données Cybersécurité et systèmes informatiques en entreprise 16 ars-solutions.ca Cibler et investir judicieusement © ARS Solutions / 2017
personnelles que vous possédez et que vous divulguiez clairement l’atteinte à la sécurité des données dès que possible aux personnes susceptibles de subir un préjudice grave et à tout organisme permettant de diminuer le risque de préjudice (ex. la police), à défaut de quoi vous pourriez subir des amendes importantes allant jusqu’à 10 000 $ dans le cas d’une poursuite pénale ou à 100 000 $ dans le cas d’une poursuite pour acte criminel. Vérifiez attentivement quel est le plan de reprise du fournisseur après sinistre et quels sont les processus et délais appréhendés pour vous permettre de reprendre vos activités courantes. C’est ici que la norme ISO 2018 prend son importance alors que les engagements de divulgation des incidents aux renseignements personnels sont bien établis. E. Gardez le contrôle de vos données dans le contrat. Stipulez dans le contrat que vous êtes le seul et entier propriétaire de données hébergées sur les serveurs du fournisseur Cloud et que lui et ses sous-traitants n’ont droit d’accès qu’uniquement pour donner le service promis ou assurer le support ou la maintenance du système. Stipulez que le fournisseur et ses sous- traitants ne sont pas autorisés à faire aucun usage secondaire des données hébergées ou des données système générées, par exemple, par les requêtes faites par les utilisateurs, ni à les vendre à autrui. Ne permettez au besoin qu’un usage de données anonymes aux fins du fournisseur. F. Assurez-vous de savoir dans quelle juridiction sont vos données en tout temps. Vos données peuvent être sauvegardées à l’étranger, par exemple, sur des serveurs redondants du fournisseur et il importe que vous sachiez dans quelle juridiction se trouvent vos données en tout temps. Vous devez vous informer sur la réglementation applicable en matière de protection des renseignements personnels dans ces juridictions pour répondre aux exigences de la réglementation canadienne et québécoise qui interdisent le transfert de données personnelles dans des juridictions qui n’offrent pas une protection similaire aux lois canadiennes et québécoises en cette matière. Il importe donc d’éviter des juridictions « exotiques » et que vous ayez une bonne idée des entités étrangères qui pourraient avoir accès à vos données. Cybersécurité et systèmes informatiques en entreprise © ARS Solutions / 2017 Cibler et investir judicieusement ars-solutions.ca 17
G. Assurez-vous de pouvoir récupérer efficacement vos données et que celles-ci soient effacées de façon permanente de toute l’infrastructure du fournisseur Cloud. Que ce soit en cas de faillite du fournisseur ou à l’expiration du contrat Cloud, vérifiez attentivement le délai qui vous est alloué pour récupérer vos données, dans quel format celles-ci vous seront remises : dans leur format original, dans une version propriétaire du fournisseur qui va exiger des frais et délais de conversion, quelle assistance sans frais le fournisseur est-il prêt à rendre ? Assurez-vous que le fournisseur s’engage à utiliser des normes reconnues de destruction de vos données après votre migration non seulement de son centre de données principal, mais dans toute son infrastructure, incluant ses centres à l’étranger. Rappelez-vous que le Cloud public est un modèle d’affaires qui n’est pas encore arrivé à parfaite maturité. Recherchez des fournisseurs canadiens et québécois qui ont des infrastructures de qualité et des hauts standards de gouvernance. Comme pour le reste, la sécurité se paye. Privilégiez les compagnies réputées si vous êtes pour mettre vos données d’affaires dans les mains d’un tiers. Assurez- vous aussi d’un plan B au besoin et gardez une copie régulière de vos données, à jour et exploitables à l’interne, pour assurer vos arrières et la pérennité de vos activités. Cybersécurité et systèmes informatiques en entreprise 18 ars-solutions.ca Cibler et investir judicieusement © ARS Solutions / 2017
BO NU S SIGNER SON CONTRAT CLOUD SANS AVOIR LA TÊTE DANS LES NUAGES... LE TOP 3 DES CLAUSES IMPORTANTES À NÉGOCIER Écrit en collaboration avec Joli-Cœur Lacasse Avocats. Lorsqu’on choisit d’aller dans le Cloud, c’est pour bénéficier de ses avantages : économies, accessibilité à l’information de partout et collaboration entre collègues et partenaires. Bien sûr, le niveau de service doit être égal ou supérieur à celui que vous avez actuellement dans votre entreprise. 1. Crédit pour indisponibilité des services et pièges à éviter. Il est primordial de vérifier le niveau mensuel de disponibilité. Il faut viser un taux d’au moins 99.9 % (8h45 potentielles d’indisponibilité sur l’année). La majorité des fournisseurs offrent un crédit sur le mois suivant en cas de manquement. Cependant, le fardeau de la preuve vous appartient ! Assurez-vous que le fournisseur met à votre disposition les outils de monitoring afin de pouvoir démontrer éventuellement qu’il y a bien eu manquement. Prévoyez également un droit de résiliation. 2. La confirmation de la propriété des données et autres usages. Le contrat doit prévoir que l’entière propriété des données confiées vous appartient et que votre fournisseur ne les détient qu’en fiducie. Les extractions de données doivent être interdites. Obligez le fournisseur à dénoncer les incidents de sécurité qui surviennent (vol ou perte de données, accès non autorisé par des pirates, modification ou destruction non autorisée des données) afin de remplir votre propre obligation légale de dénonciation à vos clients des atteintes subies à leurs données. Cybersécurité et systèmes informatiques en entreprise © ARS Solutions / 2017 Cibler et investir judicieusement ars-solutions.ca 19
3. L’évaluation de la sécurité des installations. Vérifiez les moyens de sécurité mis en œuvre par le fournisseur afin d’avoir un niveau de protection adéquat : cryptage des données « en transit » sur Internet (protocole TLS/SSL) et « au repos » sur les systèmes du fournisseur, processus de sauvegarde et de redondance des données, plan de recouvrement des opérations en cas de sinistre… Il est également important d’évaluer les mesures techniques et opérationnelles du fournisseur en ce qui concerne la sécurité et la confidentialité de vos données. Cybersécurité et systèmes informatiques en entreprise 20 ars-solutions.ca Cibler et investir judicieusement © ARS Solutions / 2017
TÉMOIGNAGES « La sécurité informatique doit être considérée par tous les membres de la direction... Nous avons lu attentivement le chapitre de Simon et sommes en accord avec le fait que la sécurité informatique doit être considérée par tous les membres de la direction afin d’être optimisée et en lien avec nos objectifs d’affaires. Suite à la mise en place de notre plan directeur ainsi que le choix Germain Blais d’impartition que nous avons fait il y a au moins cinq ans avec l’équipe Président d’ARS, nous réussissons à assurer un environnement sécuritaire pour Beauce Atlas nos systèmes et données. Nous sommes conscients que la sécurité est l’affaire de tous. La communication des enjeux auprès des employés est la clé d’un environnement efficace et disponible pour nos opérations. » Serge Marcoux, CPA Contrôleur financier Beauce Atlas « Ce qu’on retrouve dans le chapitre de Simon est très pertinent et amène la réflexion de revenir à la base… J’ai pris connaissance du chapitre que Simon a écrit dans le cadre du projet « Easy Prey ». Il nous fait réfléchir sur l’aspect d’avoir un focus pour chaque entreprise selon ses opérations. La sécurité est différente pour chacun. Je suis d’accord avec l’idée que, dans ce domaine, chaque cas doit être pris un par un. Nous avons d’ailleurs entrepris ces réflexions avec l’équipe d’ARS. » Roger Bergeron Président Fromagerie Bergeron Cybersécurité et systèmes informatiques en entreprise © ARS Solutions / 2017 Cibler et investir judicieusement ars-solutions.ca 21
« J’ai bien aimé l’exercice proposé au comité de gestion et je compte bien le faire avec l’aide d’ARS... Je considère ARS parmi les grands joueurs de l’industrie des TI. Je trouve le chapitre de Simon excellent ! Il nous tient en haleine tout au long de notre lecture. Je suis persuadé qu’il piquera la curiosité des dirigeants d’entreprises. Simon nous amène à nous questionner et à savoir si effectivement nous sommes ou non en sécurité avec nos systèmes. J’ai bien aimé l’exercice proposé au comité de gestion et je compte bien le faire avec l’assistance de Simon pour réviser notre niveau de sécurité. J’ai beaucoup aimé ma lecture et l’outil proposé. Bravo ! » Pier Veilleux Président Turbo Images « Enfin une approche TI qui prend en compte l’ADN unique d’une organisation et qui pose les bonnes questions aux bonnes personnes ! Voilà un écrit des plus intéressants et certainement peu abordé en développement d’entreprises. L’approche proposée est stratégique et personnalisée, ce qui la rend réellement pertinente. Trop souvent, et malheureusement souvent avec les analyses TI, on aborde les systèmes et leur efficacité d’une manière purement opérationnelle et sans lien évident avec les objectifs stratégiques de croissance d’une organisation donnée. J’avoue que les questions posées ne sont pas habituelles pour l’ensemble des directeurs et que même moi je devrai m’y pencher sérieusement afin de donner des réponses pertinentes. On pense davantage fonctionnement TI que sécurité des données et protection de l’ADN de distinction d’un projet d’entreprise. Pourtant, c’est la base même de la pérennité d’une œuvre. » Élaine Drolet Directrice générale Bain Ultra Cybersécurité et systèmes informatiques en entreprise 22 ars-solutions.ca Cibler et investir judicieusement © ARS Solutions / 2017
« L’architecture TI est rarement regardée dans son ensemble, mais plutôt toujours dans des situations ad hoc… J’ai trouvé très intéressante la lecture du chapitre de Simon. Je comprends que c’est l’approche qu’ARS a appliquée chez nous et qui a révélé plusieurs lacunes au niveau de notre structure. Nous avons établi, avec l’aide d’ARS, un plan d’action afin de combler la majeure partie des lacunes que nous avions et le comité de direction a été impliqué dans ce processus. Il est primordial que tous les membres de la direction s’impliquent dans un tel exercice. » Éric Boulanger, CPA, CMA Contrôleur, directeur financier Maison Orphée inc. « C’est intéressant de prendre une approche où la haute direction prend le temps de réfléchir à ce qui a de la valeur pour son entreprise… J’ai parcouru le chapitre de Simon. C’est intéressant de prendre une approche où la haute direction prend le temps de réfléchir à ce qui a de la valeur pour son entreprise. On pense souvent à la base de données du système ERP, à nos données clients, à nos recettes de fabrication. On pense rarement à l’information qui permet de faire fonctionner les équipements. » Élisabeth Bélanger PDG/CEO Maison Orphée inc. Cybersécurité et systèmes informatiques en entreprise © ARS Solutions / 2017 Cibler et investir judicieusement ars-solutions.ca 23
« J’ai constaté que le contenu du chapitre de Simon est bien vulgarisé et très accessible aux dirigeants. Comme le chapitre de Simon traite de la sécurité des technologies de l’information, je m’attendais à ce que ce soit complexe comme langage. Au contraire, il se lit très bien. J’ai beaucoup aimé la présentation de cas réels. Il est évident que les membres de la direction ne prennent généralement pas suffisamment de temps pour identifier clairement ce qui doit être protégé et donner des consignes en ce sens. Chez Ver-Mac, nous avons aujourd’hui beaucoup plus de postes sur le plancher de production qu’il y a 10 ans. La lecture du chapitre m’a permis de réaliser qu’ils contiennent des informations très importantes pour notre entreprise. On entend de plus en plus parler de sécurité et on ne sait jamais si on est vraiment bien protégé. Même les vérificateurs comptables vont de plus en plus loin en ce sens. Si on veut une paix d’esprit, on va devoir se pencher sur la question en comité de direction. J’adhère à l’idée que l’information doit être décidée et communiquée par les dirigeants. » Andrée Dumas Directrice générale Signalisation Ver-Mac inc. « Nous sommes trop souvent débordés par nos nombreuses priorités quotidiennes pour prendre un recul afin d’évaluer les risques de perte de données... Avec une méthode bien adaptée à nos besoins, il peut être relativement facile de cibler et de protéger nos données clés et ainsi éviter une rupture coûteuse pour l’organisation. Cela vaut la peine de prendre le temps d’y réfléchir sachant que la pérennité de l’entreprise en dépend. Avec les bons outils, l’exercice devient accessible à des dirigeants et efficace en termes de résultats. C’est ce que Simon nous propose dans son chapitre. » Daniel Frenette Directeur général Alutrec inc. Cybersécurité et systèmes informatiques en entreprise 24 ars-solutions.ca Cibler et investir judicieusement © ARS Solutions / 2017
« Il serait important que les dirigeants prennent quelques heures et suivent les recommandations de Simon dans ce livre… La majorité des dirigeants que je connais ne semblent pas être préoccupés par la sécurité informatique de leur entreprise, car ils se sentent bien protégés en confiant cette tâche à leur responsable des TI. Malheureusement, ce sentiment de sécurité pourrait se changer en cauchemar si des données importantes se perdaient. Cette responsabilité appartient aux dirigeants afin d’assurer la pérennité de leur entreprise. » Jean-Pierre Lauzier Expert-conseil en vente, mise en marché et service à la clientèle Auteur du best-seller : Le Cœur aux ventes JPL Communications inc. « Simon sait trouver la façon de réduire les coûts et d’être efficace… Dans son chapitre, il nous démontre que toute l’information n’a pas toujours la même valeur et ne mérite pas d’être protégée de la même façon… Les gestionnaires d’entreprise doivent apprendre à identifier eux-mêmes leurs informations stratégiques et ensuite s’assurer que leurs départements et sous-traitants en TI les protègent adéquatement. Sinon, l’entreprise voit ses procédures standardisées par des spécialistes techniques qui ne comprennent pas le modèle d’affaires et qui imposent LEUR vision, sans à la fin atteindre les objectifs de base voulus. Seuls les entrepreneurs peuvent faire la différence réelle entre ce qui est critique ou l’est moins. Assurez-vous de bien le communiquer à votre service TI ! » Dominique Duchesne, ing. Adm A. Consultant et entrepreneur CEB Services Conseils Cybersécurité et systèmes informatiques en entreprise © ARS Solutions / 2017 Cibler et investir judicieusement ars-solutions.ca 25
« Grâce au professionnalisme et à l’expertise d’ARS, je sais où je m’en vais dans la prochaine année ! Le chapitre de Monsieur Fontaine est simple à lire et rempli d’exemples concrets. J’ai compris à quel point il était important d’impliquer les membres de la direction dans le processus de sécurisation des données. C’est une étape à laquelle je n’avais pas pensé et qui sera appliquée en début d’année. On pense souvent à tort tout connaître, mais des informations cruciales peuvent nous échapper si nous ne faisons pas une tournée des membres clés. Bien qu’il soit essentiel de prendre en sauvegarde les données sensibles, j’ai réalisé la nécessité de sécuriser aussi les équipements et processus TI ayant une grande importance pour la pérennité de notre entreprise. Les recommandations de Monsieur Fontaine représentent un bon cadre de référence en termes de sécurité informatique. » Hélène Garneau Vice-présidente au contrôle interne Les Bois de plancher PG inc. Cybersécurité et systèmes informatiques en entreprise 26 ars-solutions.ca Cibler et investir judicieusement © ARS Solutions / 2017
NOTES Cybersécurité et systèmes informatiques en entreprise © ARS Solutions / 2017 Cibler et investir judicieusement ars-solutions.ca 27
Cybersécurité et systèmes informatiques en entreprise 28 ars-solutions.ca Cibler et investir judicieusement © ARS Solutions / 2017
Cybersécurité et systèmes informatiques en entreprise © ARS Solutions / 2017 Cibler et investir judicieusement ars-solutions.ca 29
Cybersécurité et systèmes informatiques en entreprise 30 ars-solutions.ca Cibler et investir judicieusement © ARS Solutions / 2017
//EasyPrey Cybersécurité et systèmes informatiques en entreprise Cibler et investir judicieusement « Ce qui a de la valeur pour les dirigeants est très subjectif. Chaque entreprise est unique, tout comme sa sécurité. La plupart des audits de sécurité n’atteignent pas les buts escomptés et ne sont que des « copiés-collés ». Conséquemment, les entreprises paient des frais non justifiés pour des résultats qui ne sont pas adaptés à leurs besoins et qui les font passer à côté de leur objectif premier qui est de sécuriser ce qui est le plus important. » Simon Fontaine, président ARS Solutions affaires et technologies 6655, boul. Pierre-Bertrand, bureau 301, Québec (Québec) G2K 1M1 418 872.4744 info@ars-solutions.ca ars-solutions.ca
Vous pouvez aussi lire