Langue

  • Français

La sécurité dans un champ de mines numérique: conseils de chefs des TI

La sécurité dans un champs de mines numériques

« Cela aurait pu arriver à n’importe qui d’entre nous. »

Récemment, on m’a demandé d’animer une table ronde ThinkTank Numérique sur la cybersécurité auprès de chefs des TI canadiens, en partenariat avec la CIO Association of Canada. Il s’agissait d’un sujet d’actualité et d’une discussion fort intéressante, puisque les nouvelles font mention d’une importante brèche de sécurité chaque semaine.

J’ai commencé par parler de quelques entreprises récemment touchées par une brèche importante. Je leur ai dit : « Nous savons à quoi ressemble une mauvaise réaction ». Il est facile de prédire les dommages qu’une brèche importante causera à une organisation, et nous connaissons la suite quasi inévitable de l’histoire : des dirigeants quittent l’organisation et doivent témoigner devant les commissions gouvernementales.

Donc, que faut-il faire pour faire bouger les choses? Les chefs des TI qui ont pris part à la rencontre ont donné des réponses intéressantes.

La protection est essentielle, mais il faut aussi mettre l’accent sur les politiques de cybersécurité

Les organisations d’aujourd’hui savent qu’elles doivent se doter de technologies de sécurité de pointe comme les coupe-feu de nouvelle génération et les systèmes de gestion des incidents de sécurité. Leur conseil d’administration prévoit donc l’acquisition de telles technologies dans leur budget.

Elles savent aussi qu’elles doivent adopter des politiques de cybersécurité adéquates (une politique sur les mots de passe sécuritaires, par exemple) et qu’elles doivent absolument mettre à jour les logiciels vulnérables. Toutefois, les chefs des services de l’information sont d’accord : l’installation de correctifs n’est pas aussi facile qu’il le paraît. Il faudrait des mois à une grande organisation pour garantir la sécurité de tous ses systèmes. Voilà pourquoi il est important de catégoriser les données et de corriger les problèmes les plus importants en premier. Une organisation doit d’abord et avant tout assurer la sécurité de ses actifs inestimables.

Tout le monde était d’accord sur ce point. Un des participants a ajouté : « 15 % de nos données sont essentielles. Lorsque nous avons installé les correctifs pour contrer WannaCry, nous avons établi des priorités parce que même si vous disposez des meilleurs outils de gestion des correctifs du monde, vous ne pouvez pas tout faire. » Posez-vous les questions suivantes :

  • Pourquoi voudraient-ils obtenir mes données?
  • Quelles données voudraient-ils obtenir?

Certains chefs des TI ont mentionné des mesures de protection additionnelles comme l’envoi d’avis quotidiens visant à sensibiliser les membres de l’équipe à l’égard de la sécurité et à les avertir de nouvelles menaces potentielles. D’autres ont intégré la cybersécurité au processus d’intégration des employés en réservant du temps lors des séances d’accueil pour aborder les réalités et les défis liés à la sécurité.

Les chefs des TI adoptent aussi des approches novatrices comme la sécurité intégrée afin de sécuriser les systèmes avant leur mise en service. Nous avons parlé de l’approche « BeyondCorp » de Google et de la politique « zéro confiance », selon laquelle le statut d’un employé ne lui permet pas automatiquement d’accéder au réseau et aux données de l’organisation. Tout le monde est traité comme un étranger et est visé par les mêmes mesures de sécurité strictes lors de l’ouverture d’une session. Il s’agit d’une approche qui pourrait s’appliquer aux organisations qui, comme TELUS, emploient un pourcentage élevé de travailleurs mobiles.

Apprenez à connaître les menaces

Le nuage public et les médias sociaux s’intègrent de plus en plus aux plateformes de l’économie numérique, et les menaces se retrouvent là où vos données sont accessibles. Les pages des médias sociaux sont remplies de logiciels malveillants (maliciels). Le trafic web est chiffré par défaut, et nous devons nous concentrer davantage sur la protection des points d’extrémité.

Il existe bien d’autres dangers potentiels : des robots de plus en plus sophistiqués qui arrivent à contourner les mesures de sécurité traditionnelles, des maliciels visant l’Internet des objets et des API mobiles non sécurisées. Les fuites de données sur les clients à partir d’applications mobiles sont fréquentes, et les pirates ont découvert comment accéder à ces applications. D’ailleurs, un jeu mobile populaire était soupçonné d’exposer les joueurs à une foule de risque en raison de la quantité d’information personnelle qu’il obtenait des joueurs.

Envisagez l’adoption de stratégies différentes

« Les rançongiciels et les attaques par déni de service distribué me tiennent éveillé la nuit », nous a rapporté un des chefs des TI. Ainsi, afin d’atténuer les risques, l’organisation pour laquelle il travaille a décidé de stocker le moins de renseignements possible sur les clients. Par exemple, elle évite de conserver les numéros de carte de crédit ou les numéros d’assurance sociale des clients. Ce chef des TI préfère laisser les banques traiter les données financières et laisser les RH conserver les renseignements chiffrés sur les employés. L’organisation reste tout de même vulnérable aux pirates cherchant à s’en prendre à son réseau.

D’autres organisations ne peuvent mener leurs activités sans les renseignements sur les clients et doivent donc trouver un moyen de les sécuriser. Par exemple, les institutions financières ont besoin des renseignements des clients pour traiter les transactions en leur nom. Pour elles, les essais de pénétration sont essentiels. Elles en mènent régulièrement pour assurer la protection de leurs systèmes. Le chiffrement peut s’avérer tout aussi important, car il rend les renseignements inutiles pour les pirates, même s’ils sont en mesure d’y accéder.

Préparez-vous

Même si vous vous dotez des meilleures mesures de protection, vous devez toujours présumer que vous ne pouvez pas faire face à toutes les attaques malveillantes. Vous devez donc être en mesure de détecter les brèches (de nombreuses organisations ne savent même pas qu’elles ont été piratées) et d’y réagir, et être prêts à récupérer les données.

La divulgation d’une brèche de données aux clients touchés est un aspect important de la reprise après sinistre. En ce moment, il n’y a pratiquement aucune exigence à cet égard au Canada, mais tous les chefs des TI savent que la situation est sur le point de changer. Le gouvernement s’apprête à modifier la Loi sur la protection des renseignements personnels numériques afin d’exiger une telle divulgation. Toutefois, même avant l’entrée en vigueur de nouvelles lois, les organisations doivent songer à la façon dont elles réagiront en cas de brèche.

Alors si les pirates ont toujours une longueur d’avance, que les brèches sont inévitables, et que « nous ignorons ce que nous ignorons », que peuvent faire les organisations? Une des meilleures approches consiste à vous assurer que vos fournisseurs de services numériques sont de véritables partenaires et qu’ils ont les mêmes préoccupations que vous en matière de sécurité. Vous pouvez aussi faire appel à des experts en sécurité qui peuvent aider votre organisation à se protéger et à se rétablir aussi rapidement et efficacement que possible.

Apprenez-en davantage sur les solutions de sécurité offertes à votre entreprise. 

Pour obtenir des conseils sur la protection de votre organisation, regardez notre webinaire sur les rançongiciels, enregistré en partenariat avec LogRythm (en anglais seulement).

Comments are closed.