EasyPrey Cybersécurité et systèmes informatiques en entreprise Cibler et investir judicieusement
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
//EasyPrey
– IL D DIR
OU OU
À
l’in E G IGE
T R
P
té E S A N
rie TI T
ur ON
–
Cybersécurité et systèmes informatiques en entreprise
Cibler et investir judicieusement
// Par Simon Fontaine, président
ARS Solutions affaires et technologies
//EasyPrey
Cybersécurité et systèmes informatiques en entreprise
Cibler et investir judicieusement
// Par Simon Fontaine, président
ARS Solutions affaires et technologies
TABLE DES MATIÈRES
À PROPOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
CYBERSÉCURITÉ ET SYSTÈMES INFORMATIQUES EN ENTREPRISE
CIBLER ET INVESTIR JUDICIEUSEMENT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
IDENTIFIEZ LES ÉLÉMENTS CLÉS ET ASSUREZ-VOUS QUE RIEN N’AIT ÉTÉ OUBLIÉ . . . . . . 9
CANEVAS : SYSTÈMES ET DONNÉES CRITIQUES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
N’OUBLIEZ PAS LE CLOUD ! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
CONCLUSION . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
L’ASPECT LÉGAL DU CLOUD : QUOI ÉVALUER ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
BO
NU
S
SIGNER SON CONTRAT CLOUD SANS AVOIR LA TÊTE DANS LES NUAGES. . . . . . . . . . . . . . . 19
TÉMOIGNAGES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21À PROPOS
EASY PREY – HOW TO PROTECT
YOUR BUSINESS FROM DATA BREACH,
CYBERCRIME & EMPLOYEE FRAUD
Peu méfiantes et souvent imprudentes, les PME sont vues comme des « proies
faciles (easy prey) » par les pirates informatiques. La cybercriminalité a connu une
hausse exponentielle et est devenue de plus en plus sophistiquée. Pour contrer
les menaces lui étant liées, les dirigeants d’entreprise doivent plus que jamais
mettre en place des mesures de sécurité adaptées à leurs besoins s’ils veulent
assurer la continuité de leurs affaires.
C’est pourquoi Simon Fontaine, président d’ARS Solutions affaires et technologies,
a été sélectionné à nouveau par CelebrityPress™ - un leader en publications
technologiques, pour faire équipe avec d’autres entrepreneurs de partout en
Amérique du Nord afin de coécrire un second livre intitulé, Easy Prey – How to
protect your business from data breach, cybercrime & employee fraud.*
Alors que le livre aborde les différents aspects de la cybercriminalité en entreprise,
Simon a écrit un chapitre intitulé « Cibler et investir judicieusement » qui soutient
que la façon dont la sécurité est typiquement abordée est trop générale et ne
prend pas en considération ce qui est réellement important à sécuriser pour les
entreprises. La nécessité d’impliquer la direction sur la question TI et de sécuriser
les éléments critiques en optant pour une approche personnalisée et non générale
telle que l’industrie le suggère prend tout son sens. « Ce qui a de la valeur pour les
dirigeants est très subjectif. Chaque entreprise est unique, tout comme sa sécurité. La
plupart des audits de sécurité n’atteignent pas les buts escomptés et ne sont que des
« copiés-collés ». Conséquemment, les entreprises paient des frais non justifiés pour
des résultats qui ne sont pas adaptés à leurs besoins et qui les font passer à côté de
leur objectif premier qui est de sécuriser ce qui est le plus important », affirme Simon.
Aborder la sécurité en entreprise dans cette perspective permet non seulement
de mieux comprendre les enjeux, mais d’arrimer les technologies aux besoins
d’affaires et de minimiser les investissements inutiles. Le chapitre inclut aussi un
outil simple, efficace et facile à suivre qui permet de cibler les éléments essentiels
à sécuriser et d’évaluer les impacts financiers.
Cybersécurité et systèmes informatiques en entreprise
2 ars-solutions.ca Cibler et investir judicieusement © ARS Solutions / 2017Vous avez entre vos mains la version française du chapitre écrit par Simon. Le
jour de sa sortie, Easy Prey s’est classé best-seller dans 3 catégories sur Amazon,
soit en 1re place dans la catégorie Computers & Technology, en 3e place dans
Computer Viruses et en 5e place dans Security & Encryption. Il est également l’un
des auteurs du best-seller The Business Owner’s Essential Guide To I.T. and All
Things Digital – Vol.2 – 17 critical facts every business must know to maximize
their company’s efficiency, security, employee productivity and profit .
Depuis plus de 25 ans, Simon Fontaine et son équipe aident les dirigeants
d’entreprise à utiliser tout le potentiel des technologies de l’information dans un
but d’accroissement d’efficacité, de productivité et de performance. Il en résulte
un environnement stable, sécuritaire et performant qui amène la paix d’esprit
aux dirigeants et leur permet de réduire considérablement leurs coûts globaux
d’opérations.
Pour Simon, la technologie doit simplifier le travail et contribuer à l’atteinte des
objectifs d’affaires des entreprises. Son but est d’aider les entrepreneurs à obtenir
des résultats concrets en abordant les technologies différemment de ce qui se fait
présentement, pas en investissant plus, mais autrement. Il a bâti un processus qui
lui permet de garantir des résultats à 100 % lorsque la recette est suivie.
Beauceron d’origine – une région du Québec reconnue pour la qualité de ses
entrepreneurs – et provenant lui-même d’une famille d’entrepreneurs de père
en fils, Simon a toujours côtoyé de près le monde des affaires. Ayant un intérêt
marqué pour les technologies, il a fondé sa propre organisation en 1989. ARS
Solutions compte plus de 400 000 projets et interventions à travers le Québec
auprès d’entreprises des secteurs manufacturiers, services professionnels et
points de vente de 50 à 1 000 employés. Elle est reconnue pour sa capacité à
relever des défis technologiques et à livrer des résultats.
Cybersécurité et systèmes informatiques en entreprise
© ARS Solutions / 2017 Cibler et investir judicieusement ars-solutions.ca 3CelebrityPress™ décrit ce livre :
Les experts ayant participé à la rédaction de ce livre démontrent comment sécuriser
les systèmes et les données clients contre les cybercriminels. La nécessité de
sécuriser les entreprises et de former le personnel en matière de cybersécurité
est devenue critique. Les entreprises de toutes tailles ne peuvent plus assumer
que leurs opérations informatiques sont fiables. Les professionnels - comme ceux
du Celebrity Experts - sont appelés à veiller à ce qu’elles ne deviennent pas des
« proies faciles » (easy prey) par les cybercriminels.
*Les profits de ce livre seront versés au St. Jude Children’s Research Hospital.
Le livre est disponible en anglais seulement sur Amazon.
Cybersécurité et systèmes informatiques en entreprise
4 ars-solutions.ca Cibler et investir judicieusement © ARS Solutions / 2017CYBERSÉCURITÉ ET SYSTÈMES
INFORMATIQUES EN ENTREPRISE –
CIBLER ET INVESTIR JUDICIEUSEMENT
La sécurité de vos systèmes est sûrement importante pour vous. Afin de protéger
votre entreprise, vous avez probablement mis en place les recommandations
qui vous ont été suggérées suivant l’audit de sécurité que vous avez dûment
payé. Toutefois, si vous n’avez pas suivi les étapes décrites dans le présent chapitre,
vous avez assurément passé à côté du plus important et n’êtes pas mieux sécurisé
aujourd’hui.
Voici pourquoi.
La façon dont la sécurité est typiquement abordée est trop générale et ne prend pas
en considération ce qui est réellement important à sécuriser pour VOTRE entreprise.
Au cours des 15 dernières années, voici ce que j’ai observé lors des mandats
de Planification Stratégique Affaires-TI que j’ai réalisés avec plusieurs dirigeants
d’entreprise.
1. Ce qui doit être sécurisé est différent d’une entreprise à l’autre. Alors pourquoi
les audits sont généraux et toujours faits selon la même approche ? Et pourquoi
recommande-t-on les mêmes solutions à tous les clients ?
2. Ce qui est important à sécuriser est habituellement mal identifié et sa valeur en
cas de perte est rarement bien évaluée.
3. Cette information n’est généralement pas bien communiquée au responsable
de la sécurité des systèmes. Sachant cela, comment fait-on pour avoir des
audits efficaces qui ciblent l’essentiel ?
L’information essentielle à sécuriser doit provenir d’abord et avant tout de la direction
et doit être clairement communiquée au responsable. On ne doit laisser aucune place
aux erreurs et aux mauvaises interprétations. L’approche doit rester simple et vous ne
devriez PAS avoir à payer pour des solutions qui sont « copiées-collées ».
Cybersécurité et systèmes informatiques en entreprise
© ARS Solutions / 2017 Cibler et investir judicieusement ars-solutions.ca 5Les renseignements contenus dans ce chapitre vous aideront à :
> Adopter une approche plus personnalisée à votre entreprise ;
> Avoir la certitude que vos systèmes sont mieux sécurisés ;
> Avoir la preuve que le travail est bien fait ;
> Éviter de payer des frais inutiles pour des solutions générales et investir
davantage dans ce qui compte réellement pour votre organisation ;
> Avoir l’assurance que le niveau de sécurité exigé est maintenu tout au long de
l’année, le manque de rigueur étant une faiblesse connue en informatique ;
> Avoir un outil de suivi simple, efficace et facile à utiliser sous forme de canevas.
Les 5 exemples suivants sont tirés de mes rencontres clients. Ils devraient vous
surprendre et vous convaincre.
Cas 1
La sécurité informatique telle que vue par le président et propriétaire de plusieurs
commerces au détail...
« Le document le plus important à sécuriser est sans aucun doute le fichier
comprenant tous les codes de systèmes d’alarme qui permettent d’accéder à
l’ensemble de mes magasins ».
Ici, on comprend bien l’importance de ce fichier en particulier. Même avec les
meilleures intentions du monde et la meilleure ressource technique, il est certain
qu’un audit n’aurait pas servi puisque lors des vérifications, cette petite pièce
d’information (critique) n’aurait pas été prise en considération.
Cas 2
Des données d’une valeur inestimable...
Ce n’est qu’après avoir fait l’exercice d’identifier ce qui a de la valeur pour son
entreprise qu’un dirigeant réalisa que l’information contenue dans sa base de
données s’évaluait à plus de 5 millions de dollars et qu’en cas de perte, ces
informations ne pourraient pas être récupérées. L’information de nature personnelle
et confidentielle était jumelée à une table de conversion qui permettait de garder
l’anonymat des individus et des informations. Cette table effectuait une relation
entre la personne et ses données personnelles.
Cybersécurité et systèmes informatiques en entreprise
6 ars-solutions.ca Cibler et investir judicieusement © ARS Solutions / 2017Après vérifications, la base de données ainsi que la table de conversion n’étaient
pas sécurisées ni sauvegardées et peu de gens connaissaient l’existence même
de ces informations.
Cas 3
Le travail d’une vie sur une clé USB...
Lors d’une rencontre avec le président d’une entreprise manufacturière, j’ai été
surpris d’apprendre que la recette unique de plus de 30 années de travail était
sauvegardée sur une clé USB placée dans la poche de sa chemise. Il m’a confié
que la pérennité de son entreprise en dépendait et que s’il l’a perdait, il devrait
fermer ses portes.
Il a même insisté sur le fait que toutes les autres informations (y compris les états
financiers, les informations des RH et sa liste de prix) avaient une importance
moindre à ses yeux comparativement à cette clé USB.
Après vérifications, les informations sur cette clé USB n’étaient même pas
cryptées et protégées à l’aide d’un mot de passe ni même sauvegardées.
Cas 4
Des commandes en ligne qui valent leur pesant d’or...
Cet exemple est tiré d’une entreprise qui offre des créations graphiques de haut
niveau pour des autocars, des camions et des remorques.
Les clients passent leurs commandes en utilisant le service en ligne exclusif à cette
entreprise qui permet de visualiser à l’écran le résultat final et les coûts associés à
leurs projets. La préoccupation principale du président est avant tout de bloquer
l’accès aux données de son entreprise, aux listes de prix et aux informations de
sa clientèle. Tous les efforts sont mis en ce sens.
Cas 5
Une réflexion qui s’avère payante pour une entreprise...
Plusieurs mois après avoir réalisé la Planification Stratégique Affaires-TI d’une
entreprise manufacturière, le directeur général m’informa de l’existence d’un
équipement hautement critique pour l’entreprise. Il insista sur le fait que s’il brisait,
la production entière de son usine serait arrêtée.
Cybersécurité et systèmes informatiques en entreprise
© ARS Solutions / 2017 Cibler et investir judicieusement ars-solutions.ca 7Il me confia que toute la personnalisation des commandes de ses clients ainsi
que les configurations sont numériquement entreposées dans cet équipement.
Il faisait référence à un robot jumelé à un ordinateur vieux de 6 ans et dont seule
une équipe de support située en Allemagne possédait la clé d’accès à cette
information. Après vérifications, aucune protection ni sauvegarde n’avait été
effectuée sur cet équipement.
Cette information a été soulevée grâce au travail de réflexion et de sensibilisation
quant à la sécurité lors des rencontres de Planification Stratégique. En effet, j’ai
remarqué que, même plusieurs mois après avoir fait cette réflexion, les gens
demeurent alertes, attentifs et sensibilisés à ce qui est réellement important pour
l’organisation. C’est dans cette optique que la sécurité doit être abordée.
Voici comment la plupart des audits* de sécurité sont effectués :
> Inspection de vos copies de sécurité ;
> Vérification de l’antivirus et de la présence de virus ;
> Tests internes et externes d’intrusion ;
> Vérification des mises à jour de sécurité ;
> Validation de la liste des administrateurs autorisés à accéder à votre réseau ;
> Vérification de la sécurité des répertoires.
*Veuillez noter que cette liste de vérifications est uniquement utilisée à titre de référence pour démontrer
ce qui est généralement effectué lors d’un audit de sécurité. Si l’auditeur n’est pas suffisamment informé
sur ce qui est essentiel pour votre organisation, il n’en tiendra tout simplement pas compte dans ses
vérifications et l’audit sera alors inutile et incomplet.
Bien sûr, il est tout de même important d’effectuer les vérifications citées
précédemment et de ne rien négliger. Cependant, le but n’est pas de tout sécuriser,
mais de trouver le bon équilibre. Vous ne voulez pas être aussi sécurisé que la
NSA (National Security Agency) ; ça ne ferait aucun sens...
Cybersécurité et systèmes informatiques en entreprise
8 ars-solutions.ca Cibler et investir judicieusement © ARS Solutions / 2017IDENTIFIEZ LES ÉLÉMENTS CLÉS ET
ASSUREZ-VOUS QUE RIEN N’AIT ÉTÉ OUBLIÉ
Voici comment :
Étape 1
Impliquez la haute direction
Premièrement, lors de votre prochaine réunion de direction, faites un tour de table
et demandez à chacun quelle est l’information la plus importante à sécuriser dans
l’entreprise et sa valeur en cas de perte. Ce simple exercice ne vous prendra que
5 minutes et vous pourriez être surpris des réponses. Prenez des notes. Vous
aurez à coup sûr différents points de vue, tous aussi valables les uns que les
autres. Peut-être ferez-vous certaines découvertes ?
Maintenant, pouvez-vous affirmer avec 100 % de certitude que votre organisation est
bien protégée ?
Deuxièmement, réservez environ une heure à l’agenda de votre prochaine rencontre
pour une discussion plus élaborée. Je peux vous assurer d’une chose : il sera
bénéfique pour votre organisation de faire participer l’ensemble des membres
de la direction à ce processus. Chacun ayant des informations pertinentes à
transmettre dont vous n’êtes peut-être pas au courant. Vous avez tout à gagner.
La technologie joue un rôle de plus en plus important en entreprise, alors cette
heure sera bien investie. C’est la pérennité de votre entreprise qui est en jeu.
En prenant le temps de bien faire cet exercice, vous vous assurerez que la
rencontre sera productive et utile. N’hésitez pas à demander de l’aide. Votre
consultant TI devrait pouvoir vous assister. Il est souvent difficile d’attribuer une
valeur à vos données, mais vous devriez insister sur ce point, car en connaissant la
valeur de ce qui est important, il est plus facile de savoir combien investir.
Avoir la paix d’esprit, éliminer tout doute et savoir que tout a été fait pour protéger
votre entreprise ainsi que les données de vos clients est ce que vous désirez. Les
surprises ne sont pas toujours une bonne chose...
Cybersécurité et systèmes informatiques en entreprise
© ARS Solutions / 2017 Cibler et investir judicieusement ars-solutions.ca 9Étape 2
Identifier ce qui doit être protégé (données sensibles et services critiques)
Bien sûr, vous devez vous protéger contre la perte de données, mais les pirates
cherchent également à rendre votre entreprise inopérante (déni de service) en
ciblant votre infrastructure informatique.
Il existe deux types d’attaques :
> Catégorie 1 : Une attaque destinée à voler ou à détruire les données d’une
entreprise (données sensibles) ;
> Catégorie 2 : Une attaque destinée à perturber ou à interrompre les opérations
d’une entreprise (services critiques).
Voici quelques exemples :
Catégorie 1 : Données sensibles
> Liste de prix ;
> Données confidentielles des employés ou des clients ;
> Propriété intellectuelle (recettes, plans, dessins) ;
> Documents relatifs à la paie.
Catégorie 2 : Perturbation ou interruption des opérations de l’entreprise
(services TI et processus)
> Logiciels de production (ERP, bases de données, etc.) ;
> Logiciels de points de vente (POS/PDV) ;
> Traitement des cartes de crédit.
Afin de vous faciliter la tâche, j’ai créé un canevas exercice sur les systèmes et
données critiques à cibler (vous référer à la page 11). Il vous aidera à sortir les
éléments essentiels de ces deux catégories et à évaluer leur degré de criticité
ainsi que l’impact financier associé. Ce canevas deviendra un important cadre
de référence. Il servira d’outil de travail pour les audits et d’outil de suivi pour
les membres de la direction. Il permettra également une évaluation critique de
l’entretien des processus de sécurité mis en place, d’éviter toute confusion et de
s’assurer que la ressource responsable s’en charge. Ce tableau vous assurera le
succès de ce processus.
Cybersécurité et systèmes informatiques en entreprise
10 ars-solutions.ca Cibler et investir judicieusement © ARS Solutions / 2017SYSTÈMES ET DONNÉES CRITIQUES
Date :
Données sensibles Impacts Date de l'audit Signature de l'auditeur Documents additionnels Statut
1. Ex. : Liste de clients A : Plusieurs milliers de dollars 16-12-15
Voir annexe A
2. Ex. : Recette manufacturière A : Plusieurs milliers de dollars 16-12-15
Services TI essentiels Impacts Date de l'audit Signature de l'auditeur Documents additionnels Statut
1. ERP A : Plusieurs milliers de dollars 16-12-15
Voir annexe B
2. VOIP A : Plusieurs milliers de dollars 16-12-15
Observations - Données sensibles
1. Tous les utilisateurs ont accès aux listes de clients.
2. Il n’y a pas de copie de sauvegarde de faite de la recette de l’entreprise.
Recommandations - Données sensibles Date de réalisation Statut
1. Mettre des niveaux de sécurité selon les attentes de l’entreprise. 17-02-05 Complet
2. Prendre une copie de sauvegarde et sortir l’information de l’entreprise.
Observations - Services TI essentiels
1. On n’a pas les codes sources du logiciel CRM. En cas de panne, le service prendra plusieurs jours à être remonté.
2. Il n’y a pas de plan de relève de prévu en cas de panne du système ERP.
Recommandations - Services TI essentiels Date de réalisation Statut
1. Obtenir les codes sources et tester. 17-08-10 Complet
2. Prévoir un plan B, tester et informer les personnes responsables.
Responsables signatures
Responsable de la direction : Prénom Nom Signature
Responsable TI :
Prénom Nom Signature
Légende
Impacts (financiers, légaux) Statut
A = Majeur B = Mineur = Critique = à suivre
Vous trouverez une version éditable du canevas au
www.ars-solutions.ca/easyprey.
On parvient rapidement à la conclusion que cet exercice donnera des résultats
différents d’une compagnie à l’autre. Cette approche plus personnalisée a
pour avantage de guider le processus de vérifications en fonction du besoin de
l’entreprise et ainsi d’éviter des coûts inutiles avec des audits qui ne sont rien
de moins qu’un « copier-coller » d’autres entreprises. Je dois souligner que la
participation de la direction à cet exercice est un incontournable. Votre entreprise
en sortira gagnante !
Étape 3
L’audit et la mise à niveau
Une fois le canevas complété, un audit donnera au comité de direction des
informations précises sur l’état actuel des éléments ciblés. Il devrait expliquer la
mise à niveau nécessaire, si requise, et les coûts qui y sont rattachés.
Cybersécurité et systèmes informatiques en entreprise
© ARS Solutions / 2017 Cibler et investir judicieusement ars-solutions.ca 11Étape 4
La maintenance et les suivis
La clé du succès réside dans l’entretien rigoureux du niveau de sécurité et les
suivis. Il s’agit souvent d’un aspect négligé en informatique, nous devrions y prêter
plus attention. En plus d’effectuer des audits réguliers (une ou deux fois par
année), il est essentiel d’incorporer ces vérifications dans votre routine mensuelle
de maintenance.
Il est important de souligner que l’approche décrite ici ne devrait en aucun cas
remplacer les meilleures pratiques de sécurité telles les maintenances régulières,
la vérification de la présence de virus et la mise à jour de l’antivirus, la formation
auprès des employés afin de les sensibiliser davantage au danger d’ouvrir des
courriels frauduleux, etc.
Cybersécurité et systèmes informatiques en entreprise
12 ars-solutions.ca Cibler et investir judicieusement © ARS Solutions / 2017N’OUBLIEZ PAS LE CLOUD !
L’approche dont nous avons parlé précédemment s’applique aussi aux infor-
mations que vous avez stockées dans le Cloud. Ce qui est critique et essentiel
pour votre entreprise ne change pas parce que vous l’avez confié à un tiers.
Même en ayant les meilleures pratiques et les dernières technologies, il n’en reste
pas moins que l’erreur humaine est le maillon faible en informatique. Un seul clic
de souris peut contourner les systèmes les mieux sécurisés. Qu’adviendrait-il si
vous n’aviez plus accès à vos données ou applications pendant des jours ou pire
encore, si tout était perdu ?
Qu’est-ce qui est inclus dans votre contrat de service avec votre fournisseur
Cloud ? Revoyez en détail ce qui l’est et ne l’est pas. Allez au-delà de ce que
votre représentant vous a dit et lisez-le attentivement pour vous assurer que vous
le comprenez bien. Mieux vaut prévenir que guérir.
Cybersécurité et systèmes informatiques en entreprise
© ARS Solutions / 2017 Cibler et investir judicieusement ars-solutions.ca 13CONCLUSION
En plus de simplifier, de réduire les coûts et de rendre plus efficace l’approche de
la sécurité dans votre entreprise, le processus décrit ici est plus personnalisé à
votre réalité, ce qui est le résultat escompté.
Après tout, votre entreprise est unique, tout comme sa sécurité... Il est donc
important que chaque audit soit exécuté en ce sens. L’information essentielle à
sécuriser doit d’abord provenir de la direction et être clairement communiquée
aux personnes impliquées.
N’hésitez pas à vous servir de notre outil de gestion pour dirigeant comme cadre
de référence. Il vous aidera à cibler les éléments clés à sécuriser. Il en va de la
pérennité de votre entreprise. Vous serez ainsi certain d’investir aux bons endroits
et éviterez les dépenses inutiles.
En cas de doute, n’hésitez pas à nous contacter, nous vous aiderons dans votre
démarche.
Simon Fontaine
simon.fontaine@ars-solutions.ca
418 872-4744, poste 222
Cybersécurité et systèmes informatiques en entreprise
14 ars-solutions.ca Cibler et investir judicieusement © ARS Solutions / 2017BO
NU
S
L’ASPECT LÉGAL DU CLOUD :
QUOI ÉVALUER ?
Écrit en collaboration avec Joli-Cœur Lacasse Avocats.
L’attrait du Cloud est bien réel, car il permet l’accessibilité de vos données en tout
temps par Internet, une solution logicielle mise à jour en continu et des frais reliés
à votre consommation. Tôt ou tard, vous aurez à décider si vous faites le saut
avec vos données d’entreprise.
Prenez en considération les éléments suivants pour assurer la sécurité physique
et légale de vos données confiées à un fournisseur Cloud :
A. Évaluez objectivement la sensibilité des données que vous vous apprêtez à faire
héberger sur l’infrastructure informatique d’un tiers.
L’évaluation de la sensibilité des données que vous proposez de mettre dans le
Cloud est un exercice absolument fondamental à la sécurité de l’opération et à
une prise de décision éclairée pour l’usage du Cloud public pour votre entreprise.
Pouvez-vous vous permettre la perte, l’accès illicite ou la divulgation, par exemple,
de vos données stratégiques, de vos recettes industrielles, du vol de numéros
de cartes de crédit de vos clients ou des numéros d’assurance sociale ou des
données médicales que vous auriez pu colliger entre autres sur vos employés ?
Considérez le Cloud public pour des données de faible à moyenne sensibilité,
d’autant que les serveurs informatiques du fournisseur sont offerts en mode
multi-locataires et que vous n’êtes pas à l’abri d’une divulgation inattendue de
vos données à un colocataire. Sur ce point, vérifiez que votre fournisseur a des
mesures concrètes de ségrégation des données entre locataires. Les données
sensibles sont encore mieux hébergées sur un serveur sécurisé à l’interne, à
moins de pouvoir vous payer un Cloud privé à même votre organisation, mais les
coûts ne sont plus les mêmes.
Cybersécurité et systèmes informatiques en entreprise
© ARS Solutions / 2017 Cibler et investir judicieusement ars-solutions.ca 15B. Exigez le cryptage de vos données pendant le transport et aussi au repos sur les
serveurs du fournisseur Cloud.
Vérifiez que le fournisseur protège vos données pendant leur transport sur Internet
via le protocole SSL et possède un certificat de haut niveau (le plus élevé étant de
2048 bits). Vérifiez que le fournisseur offre aussi le cryptage des données au repos
sur ses serveurs et quelle est la norme applicable, par exemple, la norme AES-
256 ou du moins, s’il vous permet d’utiliser des outils externes vous permettant
de crypter vos données sur ses serveurs...
C. Vérifiez la réputation et les certifications internationales du fournisseur.
« Googlez » le nom de votre fournisseur et vérifiez les derniers incidents rapportés
qui le concernent. A-t-il bien réagi et supporté sa clientèle ? Est-il critiqué de toute
part ou poursuivi par les autorités compétentes ?
Examinez avec le plus grand soin les accréditations internationales que possède
votre fournisseur. Par exemple de type ISO 27002 sur les contrôles de sécurité
des systèmes informatiques ou de type SSAE16 s’il traite pour vous des données
financières. Ou mieux encore, s’il détient les toutes nouvelles normes de gestion
spécialement édictées en 2014 pour les fournisseurs de services Cloud : soit la
norme ISO 27017 relative aux contrôles de sécurité pour les fournisseurs Cloud
ou la norme ISO 27018 visant la protection des renseignements personnels par
un fournisseur Cloud et qui répond à la majorité des problématiques touchant
la protection des renseignements personnels dont vous êtes responsables
en tout temps malgré votre impartition dans le Cloud. À tout événement, ces
certifications font l’objet d’un audit externe annuel pour être maintenues. Exigez
d’en recevoir copie chaque année, quitte à signer une entente de confidentialité
avec le fournisseur pour les obtenir. Vous verrez ainsi s’il y a eu des problématiques
sur son infrastructure ou sa gestion des incidents en cours d’année et si le fournisseur
a su corriger la situation à la satisfaction de l’organisme certificateur.
D. Vérifiez attentivement les processus de gestion des incidents de sécurité
informatique du fournisseur.
Quelles sont les mesures prises par le fournisseur en cas de perte de données ou d’accès
ou de communication non autorisés ? Quelles sont les mesures de signalement des
incidents de sécurité à vos données ? Rappelez-vous que la loi fédérale sur la
« Protection des renseignements personnels numériques » exige que vous mainteniez
(via votre fournisseur Cloud) des registres des incidents de sécurité aux données
Cybersécurité et systèmes informatiques en entreprise
16 ars-solutions.ca Cibler et investir judicieusement © ARS Solutions / 2017personnelles que vous possédez et que vous divulguiez clairement l’atteinte à la
sécurité des données dès que possible aux personnes susceptibles de subir un
préjudice grave et à tout organisme permettant de diminuer le risque de préjudice
(ex. la police), à défaut de quoi vous pourriez subir des amendes importantes
allant jusqu’à 10 000 $ dans le cas d’une poursuite pénale ou à 100 000 $ dans
le cas d’une poursuite pour acte criminel. Vérifiez attentivement quel est le plan
de reprise du fournisseur après sinistre et quels sont les processus et délais
appréhendés pour vous permettre de reprendre vos activités courantes. C’est
ici que la norme ISO 2018 prend son importance alors que les engagements de
divulgation des incidents aux renseignements personnels sont bien établis.
E. Gardez le contrôle de vos données dans le contrat.
Stipulez dans le contrat que vous êtes le seul et entier propriétaire de données
hébergées sur les serveurs du fournisseur Cloud et que lui et ses sous-traitants
n’ont droit d’accès qu’uniquement pour donner le service promis ou assurer le
support ou la maintenance du système. Stipulez que le fournisseur et ses sous-
traitants ne sont pas autorisés à faire aucun usage secondaire des données
hébergées ou des données système générées, par exemple, par les requêtes
faites par les utilisateurs, ni à les vendre à autrui. Ne permettez au besoin qu’un
usage de données anonymes aux fins du fournisseur.
F. Assurez-vous de savoir dans quelle juridiction sont vos données en tout temps.
Vos données peuvent être sauvegardées à l’étranger, par exemple, sur des
serveurs redondants du fournisseur et il importe que vous sachiez dans quelle
juridiction se trouvent vos données en tout temps. Vous devez vous informer
sur la réglementation applicable en matière de protection des renseignements
personnels dans ces juridictions pour répondre aux exigences de la
réglementation canadienne et québécoise qui interdisent le transfert de données
personnelles dans des juridictions qui n’offrent pas une protection similaire aux
lois canadiennes et québécoises en cette matière. Il importe donc d’éviter des
juridictions « exotiques » et que vous ayez une bonne idée des entités étrangères
qui pourraient avoir accès à vos données.
Cybersécurité et systèmes informatiques en entreprise
© ARS Solutions / 2017 Cibler et investir judicieusement ars-solutions.ca 17G. Assurez-vous de pouvoir récupérer efficacement vos données et que celles-ci
soient effacées de façon permanente de toute l’infrastructure du fournisseur Cloud.
Que ce soit en cas de faillite du fournisseur ou à l’expiration du contrat Cloud,
vérifiez attentivement le délai qui vous est alloué pour récupérer vos données,
dans quel format celles-ci vous seront remises : dans leur format original, dans une
version propriétaire du fournisseur qui va exiger des frais et délais de conversion,
quelle assistance sans frais le fournisseur est-il prêt à rendre ? Assurez-vous que
le fournisseur s’engage à utiliser des normes reconnues de destruction de vos
données après votre migration non seulement de son centre de données principal,
mais dans toute son infrastructure, incluant ses centres à l’étranger.
Rappelez-vous que le Cloud public est un modèle d’affaires qui n’est pas encore
arrivé à parfaite maturité. Recherchez des fournisseurs canadiens et québécois
qui ont des infrastructures de qualité et des hauts standards de gouvernance.
Comme pour le reste, la sécurité se paye. Privilégiez les compagnies réputées si
vous êtes pour mettre vos données d’affaires dans les mains d’un tiers. Assurez-
vous aussi d’un plan B au besoin et gardez une copie régulière de vos données,
à jour et exploitables à l’interne, pour assurer vos arrières et la pérennité de vos
activités.
Cybersécurité et systèmes informatiques en entreprise
18 ars-solutions.ca Cibler et investir judicieusement © ARS Solutions / 2017BO
NU
S
SIGNER SON CONTRAT CLOUD
SANS AVOIR LA TÊTE DANS LES NUAGES...
LE TOP 3 DES CLAUSES IMPORTANTES À NÉGOCIER
Écrit en collaboration avec Joli-Cœur Lacasse Avocats.
Lorsqu’on choisit d’aller dans le Cloud, c’est pour bénéficier de ses avantages :
économies, accessibilité à l’information de partout et collaboration entre collègues et
partenaires. Bien sûr, le niveau de service doit être égal ou supérieur à celui que vous
avez actuellement dans votre entreprise.
1. Crédit pour indisponibilité des services et pièges à éviter.
Il est primordial de vérifier le niveau mensuel de disponibilité. Il faut viser un taux
d’au moins 99.9 % (8h45 potentielles d’indisponibilité sur l’année). La majorité
des fournisseurs offrent un crédit sur le mois suivant en cas de manquement.
Cependant, le fardeau de la preuve vous appartient ! Assurez-vous que le
fournisseur met à votre disposition les outils de monitoring afin de pouvoir
démontrer éventuellement qu’il y a bien eu manquement. Prévoyez également un
droit de résiliation.
2. La confirmation de la propriété des données et autres usages.
Le contrat doit prévoir que l’entière propriété des données confiées vous
appartient et que votre fournisseur ne les détient qu’en fiducie. Les extractions de
données doivent être interdites. Obligez le fournisseur à dénoncer les incidents
de sécurité qui surviennent (vol ou perte de données, accès non autorisé par des
pirates, modification ou destruction non autorisée des données) afin de remplir
votre propre obligation légale de dénonciation à vos clients des atteintes subies
à leurs données.
Cybersécurité et systèmes informatiques en entreprise
© ARS Solutions / 2017 Cibler et investir judicieusement ars-solutions.ca 193. L’évaluation de la sécurité des installations.
Vérifiez les moyens de sécurité mis en œuvre par le fournisseur afin d’avoir un
niveau de protection adéquat : cryptage des données « en transit » sur Internet
(protocole TLS/SSL) et « au repos » sur les systèmes du fournisseur, processus
de sauvegarde et de redondance des données, plan de recouvrement des
opérations en cas de sinistre… Il est également important d’évaluer les mesures
techniques et opérationnelles du fournisseur en ce qui concerne la sécurité et la
confidentialité de vos données.
Cybersécurité et systèmes informatiques en entreprise
20 ars-solutions.ca Cibler et investir judicieusement © ARS Solutions / 2017TÉMOIGNAGES
« La sécurité informatique doit être considérée par tous les
membres de la direction...
Nous avons lu attentivement le chapitre de Simon et sommes en accord avec le
fait que la sécurité informatique doit être considérée par tous les membres de la
direction afin d’être optimisée et en lien avec nos objectifs d’affaires.
Suite à la mise en place de notre plan directeur ainsi que le choix
Germain Blais d’impartition que nous avons fait il y a au moins cinq ans avec l’équipe
Président d’ARS, nous réussissons à assurer un environnement sécuritaire pour
Beauce Atlas nos systèmes et données.
Nous sommes conscients que la sécurité est l’affaire de tous. La communication
des enjeux auprès des employés est la clé d’un environnement efficace et
disponible pour nos opérations. »
Serge Marcoux, CPA
Contrôleur financier
Beauce Atlas
« Ce qu’on retrouve dans le chapitre de Simon est très
pertinent et amène la réflexion de revenir à la base…
J’ai pris connaissance du chapitre que Simon a écrit dans le cadre du projet
« Easy Prey ». Il nous fait réfléchir sur l’aspect d’avoir un focus pour chaque
entreprise selon ses opérations. La sécurité est différente pour chacun. Je suis
d’accord avec l’idée que, dans ce domaine, chaque cas doit être pris un par un.
Nous avons d’ailleurs entrepris ces réflexions avec l’équipe d’ARS. »
Roger Bergeron
Président
Fromagerie Bergeron
Cybersécurité et systèmes informatiques en entreprise
© ARS Solutions / 2017 Cibler et investir judicieusement ars-solutions.ca 21« J’ai bien aimé l’exercice proposé au comité de gestion et
je compte bien le faire avec l’aide d’ARS...
Je considère ARS parmi les grands joueurs de l’industrie des TI.
Je trouve le chapitre de Simon excellent ! Il nous tient en haleine tout au long
de notre lecture. Je suis persuadé qu’il piquera la curiosité des dirigeants
d’entreprises.
Simon nous amène à nous questionner et à savoir si effectivement nous sommes ou non en
sécurité avec nos systèmes. J’ai bien aimé l’exercice proposé au comité de gestion et je compte
bien le faire avec l’assistance de Simon pour réviser notre niveau de sécurité.
J’ai beaucoup aimé ma lecture et l’outil proposé. Bravo ! »
Pier Veilleux
Président
Turbo Images
« Enfin une approche TI qui prend en compte l’ADN unique
d’une organisation et qui pose les bonnes questions aux
bonnes personnes !
Voilà un écrit des plus intéressants et certainement peu abordé en développement
d’entreprises. L’approche proposée est stratégique et personnalisée, ce qui la
rend réellement pertinente. Trop souvent, et malheureusement souvent
avec les analyses TI, on aborde les systèmes et leur efficacité d’une
manière purement opérationnelle et sans lien évident avec les objectifs stratégiques de
croissance d’une organisation donnée.
J’avoue que les questions posées ne sont pas habituelles pour l’ensemble des directeurs et que même
moi je devrai m’y pencher sérieusement afin de donner des réponses pertinentes. On pense davantage
fonctionnement TI que sécurité des données et protection de l’ADN de distinction d’un projet d’entreprise.
Pourtant, c’est la base même de la pérennité d’une œuvre. »
Élaine Drolet
Directrice générale
Bain Ultra
Cybersécurité et systèmes informatiques en entreprise
22 ars-solutions.ca Cibler et investir judicieusement © ARS Solutions / 2017« L’architecture TI est rarement regardée dans son ensemble,
mais plutôt toujours dans des situations ad hoc…
J’ai trouvé très intéressante la lecture du chapitre de Simon. Je comprends que
c’est l’approche qu’ARS a appliquée chez nous et qui a révélé plusieurs lacunes
au niveau de notre structure.
Nous avons établi, avec l’aide d’ARS, un plan d’action afin de combler
la majeure partie des lacunes que nous avions et le comité de direction
a été impliqué dans ce processus. Il est primordial que tous les membres de la direction s’impliquent
dans un tel exercice. »
Éric Boulanger, CPA, CMA
Contrôleur, directeur financier
Maison Orphée inc.
« C’est intéressant de prendre une approche où la haute
direction prend le temps de réfléchir à ce qui a de la valeur
pour son entreprise…
J’ai parcouru le chapitre de Simon. C’est intéressant de prendre une approche
où la haute direction prend le temps de réfléchir à ce qui a de la valeur pour son
entreprise.
On pense souvent à la base de données du système ERP, à nos données
clients, à nos recettes de fabrication. On pense rarement à l’information qui permet de faire fonctionner
les équipements. »
Élisabeth Bélanger
PDG/CEO
Maison Orphée inc.
Cybersécurité et systèmes informatiques en entreprise
© ARS Solutions / 2017 Cibler et investir judicieusement ars-solutions.ca 23« J’ai constaté que le contenu du chapitre de Simon est
bien vulgarisé et très accessible aux dirigeants.
Comme le chapitre de Simon traite de la sécurité des technologies de
l’information, je m’attendais à ce que ce soit complexe comme langage. Au
contraire, il se lit très bien. J’ai beaucoup aimé la présentation de cas réels.
Il est évident que les membres de la direction ne prennent généralement pas
suffisamment de temps pour identifier clairement ce qui doit être protégé et
donner des consignes en ce sens. Chez Ver-Mac, nous avons aujourd’hui beaucoup plus de postes
sur le plancher de production qu’il y a 10 ans. La lecture du chapitre m’a permis de réaliser
qu’ils contiennent des informations très importantes pour notre entreprise. On entend de plus
en plus parler de sécurité et on ne sait jamais si on est vraiment bien protégé. Même les vérificateurs
comptables vont de plus en plus loin en ce sens. Si on veut une paix d’esprit, on va devoir se pencher sur la
question en comité de direction. J’adhère à l’idée que l’information doit être décidée et communiquée par
les dirigeants. »
Andrée Dumas
Directrice générale
Signalisation Ver-Mac inc.
« Nous sommes trop souvent débordés par nos nombreuses
priorités quotidiennes pour prendre un recul afin d’évaluer
les risques de perte de données...
Avec une méthode bien adaptée à nos besoins, il peut être relativement facile de
cibler et de protéger nos données clés et ainsi éviter une rupture coûteuse pour
l’organisation. Cela vaut la peine de prendre le temps d’y réfléchir sachant que la
pérennité de l’entreprise en dépend. Avec les bons outils, l’exercice devient
accessible à des dirigeants et efficace en termes de résultats. C’est ce que Simon nous propose dans
son chapitre. »
Daniel Frenette
Directeur général
Alutrec inc.
Cybersécurité et systèmes informatiques en entreprise
24 ars-solutions.ca Cibler et investir judicieusement © ARS Solutions / 2017« Il serait important que les dirigeants prennent quelques
heures et suivent les recommandations de Simon dans ce
livre…
La majorité des dirigeants que je connais ne semblent pas être préoccupés
par la sécurité informatique de leur entreprise, car ils se sentent bien protégés
en confiant cette tâche à leur responsable des TI. Malheureusement, ce
sentiment de sécurité pourrait se changer en cauchemar si des
données importantes se perdaient.
Cette responsabilité appartient aux dirigeants afin d’assurer la pérennité de leur entreprise. »
Jean-Pierre Lauzier
Expert-conseil en vente, mise en marché et service à la clientèle
Auteur du best-seller : Le Cœur aux ventes
JPL Communications inc.
« Simon sait trouver la façon de réduire les coûts et d’être
efficace…
Dans son chapitre, il nous démontre que toute l’information n’a pas toujours la
même valeur et ne mérite pas d’être protégée de la même façon…
Les gestionnaires d’entreprise doivent apprendre à identifier eux-mêmes
leurs informations stratégiques et ensuite s’assurer que leurs départements et
sous-traitants en TI les protègent adéquatement.
Sinon, l’entreprise voit ses procédures standardisées par des spécialistes techniques qui ne
comprennent pas le modèle d’affaires et qui imposent LEUR vision, sans à la fin atteindre les
objectifs de base voulus.
Seuls les entrepreneurs peuvent faire la différence réelle entre ce qui est critique ou l’est moins.
Assurez-vous de bien le communiquer à votre service TI ! »
Dominique Duchesne, ing. Adm A.
Consultant et entrepreneur
CEB Services Conseils
Cybersécurité et systèmes informatiques en entreprise
© ARS Solutions / 2017 Cibler et investir judicieusement ars-solutions.ca 25« Grâce au professionnalisme et à l’expertise d’ARS, je sais
où je m’en vais dans la prochaine année !
Le chapitre de Monsieur Fontaine est simple à lire et rempli d’exemples concrets.
J’ai compris à quel point il était important d’impliquer les membres de la
direction dans le processus de sécurisation des données. C’est une étape à
laquelle je n’avais pas pensé et qui sera appliquée en début d’année. On pense
souvent à tort tout connaître, mais des informations cruciales peuvent nous
échapper si nous ne faisons pas une tournée des membres clés.
Bien qu’il soit essentiel de prendre en sauvegarde les données sensibles, j’ai réalisé la nécessité de sécuriser
aussi les équipements et processus TI ayant une grande importance pour la pérennité de notre entreprise.
Les recommandations de Monsieur Fontaine représentent un bon cadre de référence en termes
de sécurité informatique. »
Hélène Garneau
Vice-présidente au contrôle interne
Les Bois de plancher PG inc.
Cybersécurité et systèmes informatiques en entreprise
26 ars-solutions.ca Cibler et investir judicieusement © ARS Solutions / 2017NOTES
Cybersécurité et systèmes informatiques en entreprise
© ARS Solutions / 2017 Cibler et investir judicieusement ars-solutions.ca 27Cybersécurité et systèmes informatiques en entreprise 28 ars-solutions.ca Cibler et investir judicieusement © ARS Solutions / 2017
Cybersécurité et systèmes informatiques en entreprise © ARS Solutions / 2017 Cibler et investir judicieusement ars-solutions.ca 29
Cybersécurité et systèmes informatiques en entreprise 30 ars-solutions.ca Cibler et investir judicieusement © ARS Solutions / 2017
//EasyPrey Cybersécurité et systèmes informatiques en entreprise Cibler et investir judicieusement « Ce qui a de la valeur pour les dirigeants est très subjectif. Chaque entreprise est unique, tout comme sa sécurité. La plupart des audits de sécurité n’atteignent pas les buts escomptés et ne sont que des « copiés-collés ». Conséquemment, les entreprises paient des frais non justifiés pour des résultats qui ne sont pas adaptés à leurs besoins et qui les font passer à côté de leur objectif premier qui est de sécuriser ce qui est le plus important. » Simon Fontaine, président ARS Solutions affaires et technologies 6655, boul. Pierre-Bertrand, bureau 301, Québec (Québec) G2K 1M1 418 872.4744 info@ars-solutions.ca ars-solutions.ca
Vous pouvez aussi lire
