Les 10 contrôles indispensables de la cybersécurité
Vous avez établi un plan en matière de cybersécurité et vous le croyez robuste? « Attendez-vous quand même à une brèche et assumez toujours qu’une action malveillante peut arriver. » C’est ainsi que notre expert en sécurité informatique Francis Venne approche chaque projet afin de prévenir le pire et anticiper le moindre événement. Afin de vous aider à renforcer votre plan de réaction, voici ses 10 recommandations pour lutter continuellement contre les cybermenaces.
Ces points de validation vous permettront d’établir une base solide sur laquelle bâtir toutes vos autres mesures en matière de cybersécurité. Il ne s’agit que d’une case départ ou d’une liste à cocher pour vous assurer que vos fondations soient bien protégées.
C’est un travail rigoureux et continu que notre équipe en sécurité informatique, chapeautée par Francis Venne, consolide et accentue de manière préventive et réactive au quotidien. Nos processus méticuleux protègent autant nventive que les clients avec lesquels elle travaille afin de développer ensemble des solutions numériques sécuritaires à l’épreuve des cyberattaques.
- Avoir un plan de gestion des incidents
Même si on peut se sentir à l’abri d’attaques, il est primordial de savoir les anticiper. Mettre sur pied un plan de réponse aux incidents pour permettre à votre équipe d’identifier une panoplie de cybermenaces potentielles en amont – et de comprendre comment bien prendre les devants si elles devaient arriver – est donc primordial.
Vous serez ensuite mieux outillés pour établir un plan de continuité d’affaire (Business Continuity Plan) afin de demeurer opérationnel durant l’incident, en y incluant un plan des mesures de récupération préventives (Disaster Recovery Plan) pour mieux défendre l’infrastructure affectée et réagir plus rapidement.
Dresser un inventaire complet du système informatique et des mesures en place est essentiel, en plus de tenir à jour un registre des incidents passés et comment ils ont été résolus.
- Instaurer une politique de gestion des risques
En sachant quels sont les risques, il est beaucoup plus simple de les minimiser. Établir une politique de gestion des risques, vous garantit non seulement une plus grande vigilance, mais aussi un manuel des bonnes pratiques à consulter en cas de brèche, de doute ou de question.
Ce document doit ensuite demeurer vivant : lorsqu’on s’aperçoit d’un élément manquant ou qu’on procède à une mise à jour, ils doivent y être inscrits puis bien communiqués à toute l’équipe.
- Former les employé·e·s
La plupart du temps, les cyberattaques se produisent à travers des actions internes de négligence qui compromettent la sécurité des systèmes, comme de l’hameçonnage ou la fuite de données involontaire.
«Une chaine est aussi solide que son maillon le plus faible. Si tes portes sont blindées, mais tes employé·e·s les laissent grandes ouvertes, tu ne peux pas être bien protégé.»
Francis Venne, Responsable de la sécurité informatique
Avec la mise en place de formations régulières, le personnel sera d’autant plus conscientisé et alerte aux menaces malveillantes, permettant à votre organisation d’éviter des fautes d’inattention.
- Faire les bonnes vérifications à l’embauche
Au-delà des mesures internes suivant l’embauche de l’employé·e, il est impératif de mettre en place des contrôles avant son entrée en poste. C’est pourquoi la vérification des antécédents judiciaires est une des étapes nécessaires du processus d’embauche dans le milieu des technologies.
L’entreprise doit également s’assurer que les mesures en place ne soient pas ébruitées à des sources malintentionnées. Il lui est alors fortement recommandé de faire signer un accord de non-divulgation à tout son personnel afin de veiller à ce que toute information confidentielle le demeure.
- Contrôler l’accès au bâtiment, aux appareils et au réseau
Il va sans dire que la sécurité de son entreprise va au-delà de la sécurité informatique. Elle commence par la sécurité physique du bâtiment et des appareils qui exploitent son système.
Limiter l’accès au bureau à l’aide de cartes, de clés ou de tourniquets permet de s’assurer que les bonnes personnes soient autorisées à entrer. Une fois à l’intérieur, il est essentiel de contrôler qui peut avoir accès au wifi sécurisé et aux logiciels partagés avec les clients.
À l’ère du mode de travail hybride, il faut également sécuriser les accès à distance en se protégeant par des politiques de télétravail robustes. Seuls les appareils contrôlés peuvent être utilisés en développement.
- Appliquer le principe du moindre privilège
La gestion des identités et des accès (IAM) doit être un pilier fondamental de votre plan de cybersécurité. Il s’agit d’un processus permettant de bien désigner les rôles qui nécessitent certains accès, et lesquels peuvent s’en passer.
C’est le principe du contrôle d’accès basé sur les rôles (RBAC) qui réduit de beaucoup la probabilité d’un accident. Il est alors indispensable de bien définir les rôles et les réévaluer régulièrement s’il y a du roulement dans l’équipe.
Limiter le téléchargement de logiciels et la restriction d’utilisation des machines pour le travail seulement deviennent des éléments incontournables pour éviter de graves erreurs. En plus, si l’on instaure en parallèle des politiques de cryptage et de mots de passe complexes à facteurs multiples, on ajoute des briques solides à notre forteresse.
- Sécuriser le cycle de développement logiciel
Toute entreprise TI doit aussi s’assurer d’avoir un processus de développement sécurisé et respecté à l’interne afin de garantir des actions volontaires et prévenir les fautes à la chaîne d’approvisionnement.
En suivant la méthodologie AGILE, le code peut être revu par les pairs afin d’identifier les défauts de conception, tout en l’optimisant afin qu’il soit à jour et sécuritaire. Ensuite, les applications sont déployées en pipelines pour réduire le plus possible le risque d’erreurs humaines durant la mise en production. Grâce à l’analyse de code statique (SAST) avec des outils réputés comme Snyk, il est alors possible d’identifier automatiquement des vulnérabilités qui auraient pu échapper à l’œil vigilant des développeurs. Ce type d’outil permet aussi de scanner les dépendances et l’infrastructure en tant que code (IaC) des projets.
Avant même d’écrire une ligne de code ou de se lancer dans la collecte de données, notre équipe se questionne sur la manière la plus sécuritaire et efficace de procéder. Durant le développement de solutions numériques, les accès aux dépôts de code sont limités et assignés aux experts autorisés. S’il advenait qu’une transition se produise au sein de l’équipe, l’employé·e ne devrait plus avoir la capacité de modifier le code source d’un projet si son rôle ne le requiert plus. Les équipes TI et de sécurité devraient alors faire un audit interne tous les six mois afin de nettoyer les accès.
Ainsi, un développeur ne peut pas choisir de faire une modification sans que celle-ci soit documentée, revue par ses pairs et approuvée par le client. Même chose pour la mise en ligne : jamais une solution numérique ne sera déployée sans qu’elle ait été validée et bien évaluée au préalable par le client.
- Tenir à jour son antivirus, son coupe-feu et son parc informatique
Pour Francis Venne, la mise à jour des systèmes est une évidence. « Avoir une bonne hygiène informatique, c’est indispensable. Les mises à jour existent dû à des vulnérabilités découvertes par les chercheurs. » La forteresse est aussi forte que le veut la défense de son périmètre.
En plus, ces mesures sont souvent des options externes pour lesquelles on verse un certain montant d’argent. Bien configurer ses outils nous permet alors d’éviter de payer pour une fonctionnalité qui fonctionne à moitié.
- Créer des sauvegardes (et ne pas oublier de les tester!)
Mettre en place des « back-ups », c’est bien, mais s’assurer qu’ils fonctionnent et qu’ils sont accessibles en cas d’urgence, c’est mieux! Combien de temps faut-il pour le télécharger? Et pour les données critiques, combien de temps peut-on vivre sans? Est-ce que l’entreprise peut fonctionner le temps qu’on les récupère?
Une fois créé, il faut évidemment veiller à bien le sécuriser et le crypter. Il est également utile de fournir une estimation de la valeur du système en détaillant l’achat de nouveau matériel, le temps qu’il faut pour l’opérer et la valeur des données qu’il contient. Ainsi, vous serez en meilleure position pour déterminer quel système prioriser en cas de panne ou d’attaque.
- Gérer la fin de vie des appareils
Pour s’assurer d’une solution numérique performante, il est indispensable de bien outiller nos experts et de pouvoir la tester sur des appareils dernier cri. Il faut alors se munir de nouveaux appareils et se départir des machines désuètes.
Avant de les déposer au point de collecte, il est impératif de veiller à ce qu’elles soient vides et qu’il ne reste aucune donnée client stockée. Une fois qu’on en est certain, on peut faire affaire avec un fournisseur certifié qui vous procurera un certificat de destruction.
Il va sans dire que le même principe doit être appliqué aux documents papier! Il est indispensable d’avoir une déchiqueteuse pour bien se débarrasser de documents confidentiels.
Les procédures en matière de cybersécurité ne peuvent pas être une arrière-pensée. Il s’agit d’un processus en continu où elles doivent être constamment améliorées, optimisées et mises à jour. Ce qui était sécuritaire hier ne l’est peut-être plus aujourd’hui. C’est sur ces grands principes que reposent nos validations quotidiennes internes, afin que nos clients puissent collaborer avec nous sur la création de leurs solutions numériques en pleine confiance.